Skip to content
Al 32 jaar doordacht, gedetailleerd verslag van alles over Apple
en het TidBITS Content Network voor Apple professionals

Vorige aflevering | TidBITS Nederlands | Volgende aflevering




#1642: Phishing herkennen, nieuwe wachtwoord-eis iPhone en iPad

We hebben deze week twee achtergrondartikelen voor je. In het eerste gaan we na waarom iPhones en iPads nu elke keer een toegangscode nodig hebben als je een reservekopie wilt maken op, of synchroniseren met een Mac. (Hint: het heeft te maken met de onhandige oplossing voor een beveiligingslek.) In het tweede artikel neemt Adam Engst je mee op een rondreis vol illustraties en kanttekeningen langs recente pogingen tot phishing die het spamfilter van Gmail omzeilden, zodat jij, of de mensen aan wie je het artikel doorstuurt, kunt leren pogingen tot phishing te herkennen. In ExtraBITS word je opmerkzaam gemaakt op de samenvatting van Apple-diensten die Eddy Cue, Apple SVP, voor 2022 gemaakt heeft, op de nieuwe dienst Apple Business Connect en op de aanbeveling van Howard Oakley voor het beste formaat voor schijfkopieën. Belangrijke nieuwe versies van Mac-apps deze week zijn 1Password 8.9.13, Ulysses 29.2 en SpamSieve 2.9.51.

Artikelen
 

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.


Dit nummer werd uit het Engels vertaald door:
• Joek Roex
• Henk Verhaar
• Paul Bánsági
• Nico Seine
• Jos van den Berg
• Dirk Paul Flach
• Johan Olie
• Thierry Kumps

Verder werkten mee:
• Coördinatie: Renate Wesselingh
• Montage: Elmar Düren
• Eindredactie: Renate Wesselingh, Sander Lam & Elmar Düren

Hoe je ons kunt bereiken kun je lezen op <de contactpagina>


Adam Engst 28 reacties (Engelstalig)

iPhones en iPads vereisen nu een wachtwoord voor elke reservekopie- of synchronisatieactie

[vertaling: HV, PAB, NS]


Onlangs, zo rond eind oktober 2022, begonnen er geïrriteerde meldingen binnen te komen op TidBITS Talk, met klachten over het feit dat als een iPhone of iPad aan een Mac werd gekoppeld om een reservekopie te maken of te synchroniseren er ineens het wachtwoord van het apparaat moest worden ingegeven. De vraag om een wachtwoord onder vermelding van “Trust This Computer?” verscheen ongeacht of de verbinding via USB of wifi werd gemaakt. Het verscheen ook bij het gebruik van het hulpprogramma om reservekopieën van iOS-apparaten te maken, iMazing. Voor deze wijziging vroeg je apparaat alleen om een wachtwoord als het opnieuw was geïnstalleerd en nog niet eerder aan een Mac was gekoppeld, of als het aan een nieuwe Mac werd gekoppeld. (De vraag kon ook opkomen na een grote update maar dat gebeurde niet consequent, en is voor zover we weten ook niet gedocumenteerd.)

Trust This Computer-vraag op een iPad

Een iMazing blogbericht biedt een verklaring. In iOS/iPadOS 16.1 en iOS/iPadOS 15.7.1 heeft Apple deze vraag om een wachtwoord bij elke verbinding geïntroduceerd in reactie op een kwetsbaarheid die door beveiligingsonderzoeker Csaba Fitzl werd gemeld. In het kort komt het er op neer dat Fitzl aantoonde dat een aanvaller met fysieke toegang tot je Mac en je apparaat het AppleMobileBackup commandoregelhulpprogramma van macOS kon gebruiker om een reservekopie te maken naar een niet-beschermde locatie. Omdat lokale iOS/iPadOS reservekopieën niet versleuteld zijn tenzij je er een wachtwoord aan toekent, kan de aanvaller op deze manier proberen gebruikersgegevens te destilleren uit de elder opgeslagen reservekopie.

Het risico dat dit een doorsnee-gebruiker overkomt is verwaarloosbaar: een aanvaller zou toegang moeten hebben tot je niet-vergrendelde Mac, je iPhone of iPad en de kennis moeten hebben om specifiek dit programma te draaien. Het is het soort kwetsbaarheid dat uitgebuit wordt door spionnen, criminelen en anderen met toestemming van overheidswege, óf kwade intenties.

In plaats van te verhinderen dat AppleMobileBackup een reservekopie maakt naar een niet-standaard locatie zonder speciale toestemming, heeft Apple er voor gekozen om de kwetsbaarheid de neutraliseren door de gebruiker te dwingen het wachtwoord van het apparaat in te geven bij elke reservekopie en synchronisatie. En dat werkt wel: deze nieuwe aanpak van Apple voorkomt dat reservekopieën naar onbeveiligde locaties worden gestuurd, tenzij een aanvaller je wachtwoord kent. En als ze je wachtwoord kennen dan kunnen ze wel ergere dingen doen met je iPhone of iPad en de gegevens die er op staan.

Helaas is de oplossing van Apple wel erg kort door de bocht - het vereist een niet-triviale handeling bij elke poging om een USB of wifi-verbinding te maken door elke gebruiker van iOS/iPadOS die lokaal een reservekopie of synchronisatie start. iCloud reservekopieën hebben geen last van ddeze vereiste maar vereisen wel een internetverbinding, wellicht een mobiele dataverbinding en meestal ook een iCloud+ abonnement voor de benodigde opslagruimte. Sommige gebruikers vertrouwen ook de beveiliging van Apples iCloud niet, hoewel het verschijnen van Advanced Data Protection daaraan tegemoet zou moeten komen (zie “De geavanceerde gegevensbescherming van Apple geeft je meer sleutels voor data op iCloud,” 8 december 2022).

Nog verontrustender is de manier waarop deze non-stop toegangscodeprompts gebruikers ongevoelig maken voor het invoeren van hun toegangscodes wanneer daarom wordt gevraagd. Hoe meer je om een wachtwoord of toegangscode wordt gevraagd, hoe minder aandacht je eraan besteedt, waardoor de kans groter wordt dat je valt voor een misleidende vraag van malware die probeert je aanmeldgegevens te stelen.

De oplossing van Apple is ook overdreven. Zoals opgemerkt, is de kans dat een aanvaller met voldoende vaardigheden fysieke toegang heeft tot de Mac en iPhone of iPad van een normale gebruiker uiterst klein. De oplossing verschilt ook nogal van de gebruikelijke benaderingen van Apple om het risico van fysieke aanvallen te verminderen, die over het algemeen manieren bieden om het weerstandsniveau in te schakelen of te verhogen, afhankelijk van je behoeften. Het is waarschijnlijker dat een gemotiveerde aanvaller erachter komt hoe hij de exploit kan inkapselen in malware die vervolgens gebruikersgegevens uit de reservekopie van het apparaat kan halen, een waardevolle vector die waarschijnlijk aan een overheid zou worden verkocht voor een zeer gerichte aanval. Ja, de beveiligingstechnici van Apple moeten deze kwetsbaarheid aanpakken maar ze moeten dit doen op een manier die de algemene gebruikerservaring niet verslechtert.

Praktisch gezien kan je wel omgaan met het invoeren van het wachtwoord bij elke reservekopie - het voorkomt niet dat je reservekopieën maakt maar het breekt automatische reservekopieën met iMazing en kan ertoe leiden dat je minder vaak reservekopieën maakt. Voor de meeste mensen raad ik echter iCloud-reservekopieën aan omdat ze automatisch gebeuren, zonder menselijke interactie. Ook gebruiken ze geen ruimte op je Mac, die aanzienlijk kan zijn, vooral als je verschillende apparaten hebt met veel gegevens.

Eerlijk gezegd was ik niet onder de indruk van de algehele gebruikerservaring van de op Mac-gebaseerde reservekopie-workflow voor apparaten. Tijdens het experimenteren met lokale reservekopieën voor dit artikel, moest ik radicaal stoppen met mijn iPhone 14 Pro-reservekopie om te voorkomen dat het alle vrije ruimte op mijn Mac gebruikte. De 1 TB SSD van mijn iMac had ongeveer 150 GB vrij na het maken van een reservekopie van 32 GB van mijn 10,5-inch iPad Pro en het begon vol goede moed aan een reservekopie van mijn iPhone 14 Pro, die ongeveer 112 GB opslag gebruikt. Helaas was de reservekopie nog niet voltooid toen macOS me waarschuwde dat mijn schijf bijna vol was met minder dan 3 GB beschikbaar. De reservekopie had moeten passen maar dat bleek duidelijk niet het geval. Weer een voorbeeld van hoe vrije ruimte zelfs voor Apple moeilijk te berekenen is.

Bovendien gaf, toen ik é&eacut;n van de meldingen "Vertrouw deze computer?" op mijn iPad annuleerde, de Finder het dialoogvenster aan de linkerkant weer. Omdat ik het niet opnieuw wilde proberen, klikte ik op Annuleren en kreeg ik het dialoogvenster aan de rechterkant. Over amateurisme gesproken!

Vals dialoogvenster voor het annuleren van de Vertrouw deze computer selektie.

Wat ik me niet realiseerde totdat Shamino het in een opmerkingen noemde, is dat het annuleren van de melding "Vertrouw deze computer?" weliswaar voorkomt dat de reservekopie plaatsvindt maar dat de synchronisatie wel doorgaat. Dat is functioneel nuttig maar zeer verwarrend.

Ten slotte, hoewel macOS er uiteindelijk niet in slaagde om de hoeveelheid vrije ruimte correct te berekenen, wist het kennelijk wel dat het de verwijderbare ruimte zou kunnen terugwinnen door onnodige bestanden te verwijderen. Dat is te verwachten maar het kan problemen veroorzaken voor apps, zoals Fantastical, dat me waarschuwden dat het onverwacht werd beëindigd omdat de bestanden onverwacht waren verwijderd.

Fantastical foutmelding nadat macOS bestanden heeft verwijdert

Deze verandering van Apple versterken mijn voorkeur voor iCloud-reservekopieën en ik zie dat het ervoor kan zorgen dat veel mensen lokale reservekopieën en synchronisatie zullen verlaten voor iCloud. Ik ben niet zo van complottheorieën over Apple die beveiliging gebruikt als een excuus om mensen ertoe te bewegen te betalen voor iCloud+ maar deze slecht geïmplementeerde oplossing wekt geen vertrouwen. Als Apple dergelijke geruchten wil tegengaan, moet het iOS- en iPadOS-updates uitbrengen geen herhaalde toegangscode vereisten en versies uitbrengen van macOS die de kwetsbaarheid in AppleMobileBackup fatsoenlijk dichten.

Als je me even wil verontschuldigen, ik moet nu die lokale test-reservekopieën verwijderen die net al mijn vrije schijfruimte hebben opgegeten. Gelukkig maakt Apple dat gemakkelijk. Wanneer je een iOS-apparaat beheert in de Finder, klik je op Reservekopieën beheren, selecteert de gewenste reservekopie en klik op 'Reservekopie verwijderen'. (Je kunt ook de Control toets ingedrukt houden en op een reservekopie klikken en 'Toon in Finder' kiezen om de reservekopieën handmatig te verwijderen.) Dag reservekopieën.

Verwijderen van lokale iOS reservekopieën


Adam Engst 7 reacties (Engelstalig)

Een geannoteerde veldgids om phishing te herkennen

[vertaling: JWB, JR, DPF, JO, TK]


Hou je van 'phish'? Niet de band, niet smakelijke visgerechten, en niet de mooie tropische variant. Nee, ik heb het over de intellectuele uitdaging om phishing-e-mails te herkennen die proberen jou persoonlijke informatie te ontlokken, vaak inclusief inloggegevens of financiële details, of jou ertoe aanzetten een telefoonnummer te bellen waar getrainde operators proberen jou van je geld te scheiden.

Phishing is een groot probleem. Beveiligingsbedrijf SlashNext stelt in zijn verslag State of Phishing dat er in 2022 meer dan 255 miljoen phishing-aanvallen waren, een stijging van 61% ten opzichte van het jaar ervoor. Volgens het Verizon Data Breach Investigations Report over 2022 zegt klikt slechts 2,9% van de werknemers door vanuit phishing-e-mails, maar met miljarden beschikbare e-mailadressen zijn de ruwe cijfers nog steeds hoog.

Zelfs vóór de aanval op LastPass (zie “LastPass deelt details van cyberaanval”, 24 december 2022) en het nieuws over een datalek met e-mailadressen van meer dan 200 miljoen Twitter-gebruikers zag ik een toename van phishing-pogingen waarbij de over het algemeen effectieve spamfilters van Gmail werden omzeild. Ik geef Gmail hier niet helemaal de schuld van, in veel gevallen snap ik wel dat de berichten moeilijk te herkennen zijn.

In het verleden waren veel phishingpogingen duidelijk nep, en met opzet. Dat komt omdat ze alleen mensen hoefden uit te zuigen die voldoende onervaren, goedgelovig of gemakkelijk te misleiden waren om te blijven meegaan in de zwendel. Nu zie ik echter phishing-pogingen die geavanceerder en moeilijker snel te herkennen zijn.

Ik onderzoek al zo lang phishingpogingen dat ik me moeilijk kan voorstellen wat iemand anders voor de gek zou kunnen houden, dus ik wilde enkele recente pogingen bespreken die langs de filters van Gmail zijn geglipt. Voor elk bericht heb ik enkele manieren aangegeven waarmee ik het als phishing heb herkend. Ik vermoed dat de meesten van jullie zullen aannemen dat je het bericht ook gemakkelijk als nep zou hebben herkend, maar vergeet niet dat veel mensen snel door hun e-mail bladeren zonder aandachtig te lezen. Misschien kan ik door enkele van de kenmerken van phishingpogingen aan te geven jou of de mensen aan wie je dit artikel doorstuurt helpen voorkomen dat je erdoor wordt gestrikt.

Wachtwoord opnieuw instellen

Deze poging tot phishing zou afkomstig zijn van een systeembeheerder die verantwoordelijk is voor mijn e-maildomein en die mij probeert over te halen om op een knop te drukken. De tekst is niet erg goed, maar de knoppen zijn dat wel en je kunt je makkelijk voorstellen dat iemand die de tekst te snel scant, op de knop zal drukken zonder de tekst te lezen. Maar dat zou een grote fout zijn!

Phishing-e-mail

  1. De onderwerpregel van dit bericht sprong er direct uit, omdat ik weet hoe tidbits.com wordt beheerd: ik doe het zelf! Mij zal die niet voor de gek houden, maar ik kon me voorstellen dat iemand anders een vergelijkbaar bericht met het eigen domeinnaam krijgt en denkt dat het van de IT-afdeling komt. Doordat het e-mailadres in de onderwerpregel staat zullen sommige mensen erop klikken, omdat het voelt alsof het speciaal aan hen gericht is.
  2. Ik vind het vreemd dat de Van-regel van het bericht ook tidbits.com bevat. Zelfs al zou een systeembeheerder gebruikers e-mailen dat ze hun wachtwoord opnieuw moesten instellen, dan nog zou ik op deze plaats een persoons- of functienaam verwachten.
  3. De hoofdtekst van het bericht zegt al genoeg. De phisher weet duidelijk niet hoe ik heet en richt het bericht aan mijn gebruikersnaam. Aanvullende persoonsgegevens lekken echter constant en er is daarom geen garantie dat phishers berichten niet veel persoonlijker zullen gaan maken. Het andere probleem met deze tekst is dat je het gevoel krijgt dat die door iemand geschreven is voor wie Engels niet de moedertaal is. Er is een verschil tussen iemand die minder goed schrijft en iemand die niet in het Engels denkt, en het fragment “please kindly reconfirm Password” schreeuwt “niet-moedertaalspreker”. (Ik neem aan dat pogingen tot phishing gelokaliseerd worden naar andere talen voor mensen in andere landen, dus vervang “Engels” door je eigen moedertaal.)
  4. De knoppen zijn best goed, ze zien er officieel uit, ze beginnen consequent met een hoofdletter en één ervan is duidelijk de standaardknop. Maar als ergens het woord “wachtwoord” in zit en je wordt gevraagd te klikken, dan zouden de alarmbellen toch moeten gaan rinkelen.
  5. De phisher had bij de knoppen moeten stoppen. Heel schattig, die klein gedrukte tekst die je zou moeten overtuigen dat je naar een systeemmelding zit te kijken en niet naar een e-mailbericht, en dat je geen antwoord terug kunt sturen. Tuurlijk.
  6. Als laatste komen we bij nog kleiner gedrukte tekst, die eruitziet alsof het door KI geschreven is, omdat het een op zichzelf beschouwd ware maar grotendeels zinloze uitspraak is. Ik kan me voorstellen dat een overwerkte systeembeheerder zoiets banaals schrijft, maar ik vind het irritant.

Vreemd genoeg werd ik, toen ik een van die knoppen aanklikte (de risico’s die ik voor jullie, trouwe lezers, neem!) doorgestuurd naar een webpagina die het voortgangsvenster hier linksonder liet zien en vervolgens wilde dat ik met het dialoogvenster rechtsonder zou inloggen. Ik ben niet verder gegaan. Het is echter de moeite waard om te benadrukken dat je geen knoppen of koppelingen moet aanklikken in phishing e-mails, omdat je e-mailadres dan wellicht op een lijst van “sukkels die op dingen klikken” terechtkomt en je daardoor nog meer phishingberichten zult krijgen.

Loginvenster van de phishing-e-mail

VoiceNote-melding

Het volgende voorbeeld is een bericht dat schijnbaar een melding over een spraaknotitie is. Ook hier geldt dat ik zelf de persoon ben die een spraaknotitie-systeem opgezet zou hebben, zodat deze poging tot phishing niet aan mij besteed is, maar in een grote organisatie waar mensen niet weten wat IT allemaal doet is dit niet geheel onvoorstelbaar.

Phishing-e-mail

  1. Ik kan me voorstellen dat iemand dit bericht opent omdat het onderwerp er niet problematisch uitziet. Ik ben geneigd te denken dat als je e-mailadres in de onderwerpregel voorkomt, dat het bericht waarschijnlijk spam is, maar ik weet niet of iedereen zo denkt. De corrector in mij merkt ook de twee spaties tussen “VoiceNote” en “Notification” op, en dat “To” met hoofdletter geschreven is. Het is niet professioneel en ziet er verkeerd uit, maar echte e-mails kunnen ook dergelijke fouten bevatten.
  2. Ik vraag me af of hier dezelfde phisher achter zit als achter de vorige poging, omdat hij ook in dit geval klungelig probeert om mij te laten denken dat het bericht komt van een systeembeheerder van mijn domein. Sterker nog: mijn adres is nagemaakt, waardoor mijn e-mailclient (Mimestream) mijn avatar toont en aan de rechterkant aangeeft dat de mail verstuurd is. De e-mail lijkt daardoor zowel aan mij geadresseerd als door mij verzonden te zijn, maar veel mensen zou dit niet eens opvallen.
  3. Het opvallende hoofdlettergebruik ("CamelCase") in “VoiceNote”, dat overeenkomt met het onderwerp en zou kunnen aangeven dat het om een product of dienst gaat, stoort me niet. Maar de hoofdletters en extra spatie in “MailBo x Arrived” zijn opvallend slecht. Zou er gestaan hebben “Je hebt een VoiceNote ontvangen”, dan zouden meer mensen het geloofd hebben. Ik kan niet geloven dat ik hier suggesties zit te doen voor spam, maar met diensten als ChatGPT zullen phishers toch steeds minder moeite hebben om betere tekst te schrijven. Ze zullen dat wel een beetje slim aan moeten pakken, want ChatGPT probeert om dat soort pogingen te herkennen.
    Weigering van ChatGPT om een phishing-bericht te schrijvenChatGPT schrijft een bericht dat door een phisher gebruikt zou kunnen worden
  4. En vanwaar de sterretjes, de punten en geen spatie in “120seconds”? Ik zou wat nettere tekst verwachten in een bericht dat beweert van een dienst “VoiceNote” te komen. De tijd en datum zijn ook verdacht exact. Ik kan me niet voorstellen dat een echte productontwerper zulke details zou toestaan.
  5. Deze knop stelt me ook teleur! De phisher is een enorme fan van sterretjes, en zelfs vasthouden aan de naam van de dienst is moeilijk: er wordt plotseling overgestapt op “AudNote”.

En als ik op die knop klik (tromgeroffel) blijkt het inderdaad dezelfde phisher te zijn als de vorige! Hetzelfde dialoogvenster, gevolgd door een inlogdialoog. De eerste kreeg ik een maand geleden, dus het is interessant dat ik nog een poging ontvang. Ik vraag me af of het klikken op de verwijzingen nog meer phishing mail tot gevolg zal hebben.

Geldverzoek en factuur van PayPal

Mijn volgende twee voorbeelden zijn verduiveld goed, omdat het om echte PayPal-berichten gaat, inclusief meerdere waarschuwingen voor phishing. Maar ze verraden zichzelf ook en zijn vrijwel zeker het werk van dezelfde persoon.

Phishing-e-mail van PayPal

  1. De geadresseerde in het bericht aan de linkerkant is een willekeurige persoon. Dit is een opvallende en eigenaardige fout, omdat phishers over het algemeen jouw adres daar wel in kwijt kunnen. Ook de regel met Resent-From is een hint, omdat Mimestream hierdoor laat zien dat het bericht aan dezelfde persoon geadresseerd is als waar het vandaan komt.
  2. In het bericht aan de rechterkant staat in het geadresseerden-veld allen maar “PayPal User” en wordt er een andere Resent-From-regel gebruikt. Dat is minder opvallend, maar je moet altijd attent zijn op berichten die niet lijken te weten wie je bent of die van mensen komen die je niet kent. (Maar als je een Tyrecia Waggoner kent, is dat een stuk lastiger.)
  3. Aan de linkerkant nog een zwakke poging tot personalisering: hoewel de opmaak van deze regel in mijn ogen niet klopt, heb ik het ook vergeleken met een legitiem geldverzoek van PayPal, en dat ziet er hetzelfde uit, maar dan met mijn naam. Als de phisher mijn naam had gebruikt in plaats van het adres van de persoon die ik zie, zou het overtuigender zijn geweest.
  4. Ik denk dat deze twee berichten van dezelfde persoon komen, en dat die snel leert hoe hij de berichten van PayPal kan aanpassen, omdat deze geadresseerd is aan “PayPal User”. Niet al te overtuigend, maar toch al een stukje meer.
  5. Wie is Calvin Taenzler? Tenzij jij iemand kent met die naam, trap je waarschijnlijk niet in dit verzoek, zelfs niet na het nepbericht over je abonnement op Norton Security dat automatisch vernieuwd wordt. Ik heb het telefoonnummer geprobeerd, maar ik kreeg geen verbinding. Misschien was het in gebruik in december toen ik dit bericht kreeg.
  6. De ontwikkeling van de PayPal-oplichting gaat door. In plaats van de naam te noemen van iemand die je niet kent doet de maker het bericht eruitzien als een bijgewerkte factuur voor een nep-abonnement op Norton Security, en als je geen automatische verlenging wil moet je een telefoonnummer bellen. Je kunt je voorstellen dat iemand niet goed meer weet of hij een abonnement heeft op Norton Security en belt om dit te controleren. Net zoals het andere nummer was het niet langer in gebruik.

Toen ik op de Pay Now-knop in het bericht links klikte, kwam ik op een officieel inlogscherm van Paypal. Ik ben toen natuurlijk niet verder gegaan, maar als Paypal dit account niet heeft verwijderd, ziet het ernaar uit dat hier geld verdiend wordt. Toen ik in het bericht rechts klikte op de knop "View and Pay" kwam ik ook op een officiële Paypal-pagina, maar hier stond een foutmelding dat de factuur niet langer beschikbaar was.

Dit gebeurt er als je doorklikt bij phishing met PayPal

PayPal vraagt of je het doorgeeft als je phishing-berichten met Paypal-kenmerken krijgt. Stuur het bericht door naar [email protected] en verwijder het daarna. Markeer ze niet als spam, want dan worden ook legitieme berichten van Paypal door je spamfilter opgevangen.

PayPal vraagt om phishing te rapporteren

Factuur van Norton 360

Van de volgende twee voorbeelden kwam de tweede één dag na de eerste en ze lijken erg op elkaar. Ook hier lijken ze van dezelfde spammer te komen - misschien dezelfde die de eerder vermelde Norton Security-berichten maakte, bezig met het uittesten van verschillende technieken.

Nog een phishing-mail

  1. De onderwerpregel is in beide berichten tamelijk effectief. In beide gevallen zou ik ze zo geopend hebben om te zien waar het over gaat. Opvallend is ook dat geen van deze berichten vreemde spellingfouten, hoofdlettergebruik of grammaticale fouten heeft.
  2. Deze phisher was nogal lui en heeft wat willekeurige letters in de Afzender-regel gezet. Dat is een makkelijk herkenbaar teken van bedrog, en als ik er gewoonlijk zo eentje tegen zou komen, zou ik hem onmiddellijk als spam markeren.
  3. Let ook op de Aan-regel, waar “undisclosed-recipients” staat. Op zichzelf zegt dat nog niet zoveel: je krijgt wel vaker Bcc-berichten waar iets dergelijks boven staat. Maar deze berichten suggereren dat ze persoonlijke betalingsherinneringen zijn, compleet met klantnummers. Het is niet geloofwaardig dat een bedrijf dat mijn klantnummer kent niet ook mijn naam zou kennen.
  4. Als je kijkt naar de bijlagen, zie je dat het om JPEG-bestandjes gaat met namen die geen alarmbellen doen rinkelen. De factuur verschijnt in het hoofdscherm van het bericht omdat Mimestream afbeeldingen op die manier weergeeft.
  5. Als Mimestream de bijlagen niet in de hoofdtekst zou laten zien, dan zou je daar maar één regel tekst zien: links "Thanks for your" en rechts "Asap". Zo ontwijken phishing-aanvallers de Gmail-spamfilters. Er is in de tekst te weinig te lezen om het bericht automatisch als spam te markeren. We krijgen allemaal wel erg korte berichten met een afbeelding in bijlage.
  6. In het bericht links zie je dat het logo van NortonLifeLock er horizontaal samengeperst uitziet. Dat is een aanwijzing: geen enkel groot (en competent) bedrijf laat dergelijke e-mails met verminkte logo's de deur uit gaan. In het rechter bericht is dit anders - en beter.
  7. In beide berichten is de tekst hetzelfde (behalve het telefoonnummer) en is behoorlijk slecht. Hoe komt het toch dat, in de mix tussen Engels en wat de eigen taal van de spammers ook moge zijn, juist het hoofdlettergebruik zo belabberd is? Het bericht lijkt te lijden aan een spastische Shift-toets. Het kan bijna niet anders of het gaat hier om bedrog.
  8. De tabel is slim gekozen en maakt het bericht weer geloofwaardiger. Ik kijk vooral met plezier naar de tabelrij die aangeeft dat er geen BTW aangerekend is. Wees extra voorzichtig als een bericht er (opeens) heel realistisch uitziet, want als je deze tabel even snel bekijkt, zou je - onder de indruk - zomaar op knoppen kunnen drukken zonder het bericht zorgvuldig door te lezen. Kijk ook even hoe de phisher een dag na het eerste bericht had ontdekt hoe hij het Norton-logo correct en op een betere plek kon weergeven.
  9. En tenslotte zie je in het bericht rechts dat de phisher het Nortonlogo zelfs nog een keer gebruikt, kleiner, als een soort handtekening, met de correcte verhoudingen van de afbeelding. Nu ziet het er veel betrouwbaarder uit dan met de tekstuele handtekening links.
    Kortom: wees voorzichtig met plaatjes. Ze kunnen eenvoudig uit echte communicatie gekopieerd worden en op een heel simpele manier ziet een bericht er veel echter uit.

Onderhoud op de server

Voor mijn laatste voorbeeld gaan we naar het onderstaande bericht, dat doet alsof het van onze IT-helpdesk komt. Het doel is om je mail-wachtwoord te stelen. Zodra een aanvaller controle heeft over je mailaccount, kan hij je wachtwoord herstellen voor andere sites, en zo nog veel gevoeliger accounts corrumperen. Als je ergens zuinig op moet zijn, is het wel je mail-wachtwoord!

Nog een phishing-bericht

  1. De onderwerpregel in dit bericht is ook nu weer goed. Ik zou dit bericht openen omdat, hoewel ik alle TidBITS-servers beheer, ze allemaal gehost worden bij bedrijven als Arcustech en DigitalOcean. Ik ontvang al meldingen van die bedrijven over geplande onderbrekingen en dergelijke, dus deze onderwerpregel doet niet veel alarmbellen afgaan, afgezien van het feit dat mijn e-mailadres erin staat.
  2. Aangezien het bericht beweert van mijn IT-afdeling te komen, is het geen groot probleem dat de Van-regel het domein is, en de Aan-regel hieronder is ook correct. Maar let op het gebruik van mijn avatar en de Verzonden-tag aan de rechterkant. Dat is Mimestream die aangeeft dat de bedrieger het bericht vervalst heeft zodat het lijkt alsof het van mij komt en naar mij gestuurd is. Niet alle e-mailprogramma's geven zo'n aanduiding.
  3. De tabelopmaak in dit bericht - vooral de stippellijnen - is nogal vreemd. Voor mij schreeuwen de stippellijnen "nep!" hoewel ik niet weet of anderen dat zouden opmerken. Let op je gevoel dat er iets niet klopt.
  4. Opnieuw is de tekst slecht, met talrijke fouten die erop wijzen dat het bericht is opgesteld door iemand die geen Engels spreekt of zelfs maar de moeite neemt om de autocorrectiefunctie te gebruiken. De bewering dat de IT-afdeling accounts deactiveert is bedoeld om je ongerust te maken, maar goede IT-afdelingen zouden niet zomaar een e-mail sturen om te zien of een account in gebruik is, alvorens deze te deactiveren.
  5. Deze knop Confirm and Update ziet er goed uit en is een aantrekkelijk doelwit voor iemand die scant zonder goed te lezen. Kijk uit als je dat doet!
  6. Dit tweede stukje tekst is onzin - ik zou hopen dat iedereen die het leest dat zou snappen, maar misschien is dat te optimistisch.
  7. Ik vind het grappig dat de phisher "MailBox Corporations" heeft bedacht en gevestigd op One Microsoft Way. Het is stilistische opsmuk, maar contraproductief als het bericht geacht wordt afkomstig te zijn van de IT-afdeling van mijn bedrijf. Mismatches als deze zijn nog een goede aanwijzing dat een bericht niet echt is.

Klikken op de knop Confirm and Update opende een generieke cPanel-login voor een webmaildienst. Het heeft een beetje moeite met het copyrightsymbool, en ik hoop dat iemand die verwacht het webmailsysteem van zijn organisatie te zien hier niet in trapt. Ik gaf het een willekeurig e-mailadres en wachtwoord en kreeg een verwachte foutmelding, maar ik neem aan dat alle gegevens aan de andere kant worden opgevangen.

Generiek cPanel-login gebruikt door phisher

Algemene raad

Ik hoop dat je deze rondleiding langs een paar geselecteerde phishing-pogingen nuttig vond. Zoals je kunt zien, variëren ze sterk in geavanceerdheid en technieken, maar als je goed oplet, zou het niet veel moeite moeten kosten om hun lokroep te weerstaan. Mijn belangrijkste adviezen om phishing-pogingen te herkennen zijn:

  • Ga ervan uit dat je niets in een e-mailbericht mag aanklikken voordat je het nader hebt bekeken. In een volle inbox is het gemakkelijk om het bericht door te nemen en te reageren, en dat is precies waar phishers op rekenen.
  • Lees de tekst van de berichten, en let op hoofdlettergebruik, spelling en grammaticale fouten. Niets belet phishers om correct Engels te schrijven, maar het gebeurt zelden. Let vooral op de kleine lettertjes onderaan - die geven vaak meer weg dan iets anders omdat phishers proberen het bericht goed te laten lijken zonder de misleiding voort te zetten.
  • Toets elke bewering over iets dat binnen uw organisatie gebeurt aan wat je weet dat waar is. Zou je IT-afdeling iets extreems doen zoals accounts deactiveren zonder enige waarschuwing? Zelfs als dat niet ondenkbaar is, is het veiliger iemand in de organisatie te vragen of een bericht echt is dan willekeurig op knoppen te klikken.
  • Wees voorzichtig als je grote, legitiem uitziende knoppen ziet. Ze zijn gemakkelijk te maken en kunnen mensen verleiden die de omringende tekst niet goed lezen.
  • Als een bericht slechts een bijgevoegde afbeelding is, is het vrijwel zeker nep.
  • Wees met berichten die geen andere alarmbellen doen afgaan, zoals de PayPal phishing-pogingen hierboven, op je hoede voor namen en e-mailadressen die je niet bekend voorkomen.

Veel geluk, en houd het veilig!


Volglijst

[vertaling: HV]


1Password 8.9.13 Geen reacties

1Password 8.9.13

AgileBits heeft wachtwoordmanager 1Password 8.9.12 uitgegeven, met verbeteringen en herstelde bugs. Deze versie vraagt je nu om een nieuwe Secret Key en wachtwoord als je account is hersteld en heeft nu een offline-waarschuwingslampje om je er op te wijzen dat 1Password door netwerkproblemen geen contact kan maken met 1Password.com. Het heeft nu correcte ondersteuning voor locatisatie van datums en tijden, er werd een probleem opgelost waarbij in-app meldingen te snel verdwenen, en er is een bug hersteld die er soms voor zorgde dat het hoofdvenster van de app niet op invoer reageerde. Kort na deze versie verscheen ook nog versie 8.9.13, in verband met een probleem waarbij in een bedrijfsaccount geen nieuwe onderdelen aangemaakt konden worden als bestandsopslag was uitgezet. (Jaarabonnement $ 35,88 via AgileBitsTidBITS-leden die een nieuw account opzetten krijgen 6 maanden gratis. Gratis update, de installer is 2,9 MB bij download, toelichting, macOS 10.15+)

Ulysses 29.2 Geen reacties

Ulysses 29.2

Ulysses heeft versie 29.2 van de gelijknamige schrijf-app uitgebracht; het gaat om een onderhoudsupdate met een aantal kleine verbeteringen en wijzigingen. De update zorgt er voor dat je projecten aan kunt maken zelfs als de Projects-sectie verborgen is en kent verbeterde prestaties bij het exporteren van vellen met veel afbeeldingen. Verder lost het een probleem op waarbij bij herstart maar één enkel venster werd hersteld en er zijn verbeterde VoiceOver-beschrijvingen voor knoppen in het Export-venster. Het zorgt er nu voor dat de app niet blijft hangen bij het opstarten en herstelt nog een paar andere crashes. (Maand/jaarabonnement $ 5,99/$ 49,99 via de Mac App Store, in Setapp, gratis update, 29,7 MB, toelichting, macOS 11+)

SpamSieve 2.9.51 Geen reacties

SpamSieve 2.9.51

C-Command Software heeft SpamSieve 2.9.51 uitgebracht, een onderhoudsversie van het hulpprogramma voor het filteren van spam, met verbeteringen en herstelde bugs. De update installeert nu een opstart-hulpprogramma genaamd SpamSieve als het is ingesteld om Mail te gebruiken, heeft nu verbeterde diagnostische rapporten in macOS 13 Ventura, een verbeterde foutmelding als het trainen van een bericht niet werkt als gevolg van een probleem met AppleScript en vereist nu 10.13 High Sierra of nieuwer. (Nieuw $ 30 met een korting van 20% voor TidBITS-leden, gratis update, 21,3 MB, toelichting, macOS 10.13+)


ExtraBITS

[vertaling: PAB]


Geen reacties

Eddy Cue blikt terug op Apple’s jaar 2022 in diensten

In een "update" in de Apple Newsroom heeft Apple's Senior Vice President of Services, Eddy Cue, geschreven:

2022 was een baanbrekend jaar voor entertainment. Het afgelopen jaar heb je waarschijnlijk een nieuwe app, een nieuw liedje, een nieuw tv-programma, een nieuwe film of een nieuw spel ontdekt. Een ervaring die je aan het lachen maakte, je iets nieuws leerde of je hielp de wereld op een nieuwe manier te zien - en die je bewoog om het met anderen te delen.

Vervolgens geeft Cue een overzicht van alles wat de afdeling Diensten van Apple in 2022 heeft bereikt, met stops voor (diep ademhalen) de App Store, Apple Arcade, Apple Music, Shazam, Apple TV+, Apple Fitness+, Apple News en Apple News+, Apple One, Apple Podcasts, Apple Books, Apple Maps, Apple Pay, Apple Card en iCloud+. Het is de moeite van het lezen waard om te laten zien hoe belangrijk diensten zijn geworden voor Apple, zowel voor de gebruikerservaring als voor de winstgevendheid van het bedrijf. In het laatste financiële kwartaal van Apple waren de diensten goed voor meer dan 20% van de omzet van Apple, evenveel als de Mac en de iPad samen (zie “Apple temt woelige baren in het vierde kwartaal 2022”, 27 oktober 2022).

Geen reacties

Met het nieuwe Apple Business Connect kunnen bedrijven zelf plaatskaarten maken

In hun Newsroom schrijft Apple:

Apple heeft vandaag Apple Business Connect geïntroduceerd, een gratis tool waarmee grote en kleine bedrijven de plaatskaarten van hun locaties kunnen aanpassen. Zo hebben ze invloed op de manier waarop belangrijke informatie wordt getoond aan ruim een miljard Apple gebruikers in Apple Kaarten, Berichten, Wallet, Siri en andere apps.

Het nieuwe Apple Business Connect moet bedrijven helpen zich te onderscheiden in Apple Maps en we moedigen alle soorten fysieke bedrijven aan zich aan te melden. De gratis dienst is nu beschikbaar in de VS en zal de komende maanden wereldwijd worden uitgebreid. Als je dat nog niet hebt gedaan, moet je je natuurlijk ook aanmelden voor een Google Business Profile, dat soortgelijke mogelijkheden biedt in Google Search, Google Maps en andere Google-eigenschappen.

Geen reacties

Howard Oakley bepaalt de beste schijfkopie-structuur

Op de blog ‘The ‘Eclectic Light Company’, schrijft Howard Oakley:

Ruim een jaar geleden veranderde Apple de manier waarop een van de populairste schijfkopiestructuren werkt op APFS. Dit artikel bekijkt de meer algemene structuren opnieuw in het licht van die verandering. Nu gewone schijfkopieën zeer efficiënt kunnen zijn in hun gebruik van schijfruimte, zou je er dan meer gebruik van moeten maken?

Bij het maken van schijfkopieën in Schijfhulpprogramma heb ik me lang afgevraagd welke structuur ik moest kiezen. Howard Oakley heeft de Mac-wereld nu een dienst bewezen door de drie belangrijkste types - de gewone lezen/schrijven-schijfkopie, de beperkte-schijfkopie en de beperkte-bundelschijfkopie - te vergelijken op ruimte-efficiëntie, prestaties en gemak. Lees zijn volledige artikel maar ik blijf bij de beperkte-bundelschijfkopie wanneer mogelijk (en gewone lezen/schrijven-schijfkopie wanneer niet).

Schijfkopie-keuzemogelijkheden in Schijfhulpprogramma



Wij leggen uit wat je weten moet over Apple-technologie.


Vorige aflevering | TidBITS Nederlands | Volgende aflevering