Overslaan en naar de inhoud gaan

Hoe de FBI ineens hoaxmails verstuurde

Een domein en e-mailsysteem van de FBI zijn dit weekend misbruikt door een hacker, die honderdduizend tot honderdduizenden spammails stuurde naar nietsvermoedende consumenten en bedrijven. De hacker wist naar eigen zeggen eenvoudig binnen te komen en kaart het reponsible disclosure-beleid van de FBI aan.
E-mail, spam, phishing
© CC0/Pixabay License
CC0/Pixabay License

De hacker, die zich tegenover Krebs On Security voorstelt als Pompompurin, begon de hack door zich toegang te verschaffen tot het Law Enforcement Enterprise Portal van de Amerikaanse federale diensten. De FBI is één van de instanties die er gebruik van maakt. Pompompurin wist in dit portal een account aan te maken en merkte dat de e-mailbevestiging voor deze accountregistratie kwetsbaar was. De benodigde verificatiecode voor de site werd namelijk aan de client-zijde gegenereerd en naar de site teruggestuurd via een POST-verzoek.

Ander bericht, hetzelfde ip-adres

Dat POST-verzoek bleek aan te passen en de verificatiecode bleek te bekijken via de html-weergave op de website, schrijft Tweakers naar aanleiding van berichtgeving van Amerikaanse media. Omdat de hacker het POST-verzoek kon aanpassen, veranderde hij de geadresseerden en de berichttekst. Deze aanpassingen veranderden de afzender (de naam en het ip-adres van de FBI) niet.

Daarom kwamen de vervolgens uitgestuurde spam- en hoaxmails legitiem over. De hacker zou via scraping in een Amerikaanse datalijst meer dan honderdduizend geadresseerden gevonden hebben. Volgens Spamhaus zijn er in twee series totaal honderdduizend tot honderdduizenden e-mails verstuurd naar Amerikaanse gebruikers. De FBI was snel op de hoogte van de spamsituatie en haalde de betreffende systemen offline.

De spammail bevat een knullige tekst die geen hout snijdt, en leidt daarom niet tot een gevaarlijke situatie. Desalniettemin heeft de FBI-helpdesk zijn handen vol aan berichten van bezorgde ontvangers. De hacker zegt de e-mail gestuurd te hebben om het responsible disclosure-beleid van de FBI aan de kaak te stellen. De FBI stelt namelijk dat misbruik van zijn digitale infrastructuur kan rekenen op juridische vervolgstappen. Volgens de hacker is het daarom onmogelijk om op ethische manier kwetsbaarheden in FBI-systemen aan te kaarten.

Beveiligingsonderzoeker belachelijk gemaakt

Opvallend is dat de anonieme hacker zijn spammails gebruikt heeft om de bekende beveiligingsonderzoeker Vinny Troia belachelijk te maken. Troia wordt in de e-mail beschuldigd van banden met een afpersingsgroep die jaren geleden (zonder succes) Netflix probeerde af te persen. Bleeping Computer vermoedt dat de hacker bij de groep RaidForums hoort, die een hekel heeft aan Troia.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in