Ik werd benaderd door vriendin in een whatsapp groep dat een familie lid in een onoplettend moment op een phishing pagina had geklikt en hier op had ingelogd. Na wat doorvragen bleek deze persoon te zijn benaderd door een persoon waarmee zij destijds op school had gezeten.
Toen er in de dm werd gevraagd om een stem uit te brengen zodat de oude klasgenoot iets kon winnen dacht zij hem te helpen door naar de link te gaan die zij via instagram persoonlijk bericht had binnen gekregen.
Op deze link was een bleek later “gekopieerde” website te zien waar je gemakkelijk middels Instagram, email en facebook kon inloggen om een stem uit te brengen.
Uit een goed hart dacht ze, dat kan ik wel doen dan help ik hem.
De url en de hack server
De url die ze bezocht was middels een “url shortner” ofwel link verkorter gemaakt.
Dit linkje was: met de naam van de persoon van wie ze dit bericht kreeg in de link verwerk, dit wekte vertrouwen omdat het een link was met zijn naam erin.
Door in te loggen gaf zij onbedoeld haar gegevens aan een server die dit opslaat en doorstuurt naar de hackers. De server stond in Peru. en was al sinds 2009 online en in 2022 is er voor het laatst iets aan het “domein” veranderd.
Dit is het domein die gebruikt is in deze hack:
https://. googlevote.000.pe. /?i=1. (link is uit veiligheid overweging uit elkaar gehaald.) Maar dit is wat daarop te zien is:
Als je op een van de urls klikt, in dit geval instagram dan zie je waar er is ingelogd. dit is letterlijk een 1:1 kopie van de Instagram inlog. Middels een script kunnen hackers deze pagina eenvoudig kopieren. en dan zie jij geen verschil. Let hierbij altijd op wat er in je adresbalk staat.
De techniek
Er draait een wordpress installatie op de server met een gekloonde website erop. Door een scanmethode vanuit Kali Linux toe te passen kan ik de auteur en dus de “gebruikersnaam” van wordpress achterhalen. Middels een url fiddler kan ik bestanden en veelgebruikte paden scannen om te zien wat er nog meer draait op de webserver. Dit leverde interessante dingen op.
1) De website is vol geladen met javascript die echt van alles opstuurt naar de hackers, welke sessie, schermgroten ze vragen clipboard acces op. camera, locatie en nog veel meer zaken:
Ik kan ook zien dat ze de website op “Tue, 25 Apr 2023 08:21:37 GMT” gebben gekloond. en dat ze dit hebben gekloond: jocular-c-5f8. netlify.app LET OP LINK NIET BEZOEKEN
2) ik heb een bestand gevonden die duidt op encrytie. (/AES.js). Middels een functie zou die aan te roepen zijn:
De gegevens werden vervolgens gebruikt om toegang te krijgen tot haar Instagram waar zij vervolgens snachts allemaal e-mails van heeft ontvangen dat haar email, en wachtwoord zijn veranderd. Ook was er meteen een 2FA op ingesteld via een Nigeriaanse nummer geregistreerd bij “MTN” in Nigeria.
Doordat er een 2 factor authenticatie op is gezet via dit Nigeriaanse nummer kan zij ook met een “hersteld” wachtwoord niet inloggen.
Wat nu?, de paniek slaat aardig toe, Fuck, ik ben gehackt wat moet ik nu doen?
Dit is wat we hebben gedaan
Toen ze via via bij mij terecht is gekomen heb ik een aantal vragen gesteld om in te schatten wat de impact is.
Op mijn aanraden heeft zij direct het wachtwoord van andere bekende diensten aangepast, voor het geval dat er iets is buitgemaakt via het profiel of in de sessie van de telefoon.
Via de telefoon heb ik aangeboden om te helpen bij een poging om het account terug te krijgen.
We hebben samen een ticket aangemaakt bij https://instagram.com/hacked
hier komen we tot onze verbazing telkens in een soort loopje terecht. Door aan te geven dat het account mogelijk gehackt is moest ze een video opnemen met haar gezicht in diverse richtingen en een geldig ID bewijs.
na een aantal uur wachten krijgen we dan eindelijk een “herstel code” en krijgen we eenmalig toegang tot het account. Omdat ik weet dat dit vaak snel handelende hackers zijn en zij heel veel automatiseren heb ik zelf ook een script gemaakt om de stappen die ik wil uitvoeren snel achter elkaar uit te voeren.
Nieuw wachtwoord aanmaken en dan start ik de timer.
1) de hacker sessies afmelden
2) de instellingen aanpassen waar zij een melding krijgen, mijn vermoede is namelijk dat zij meteen de link klikken die zij in hun sessie of email krijgen
3) 2FA uitschakelen en een 2fa code van mijzelf toevoegen (zodat de koppeling met het Nigeriaanse nummer wordt verbroken)
4) Telefoon nummer van mijzelf toevoegen als back-up methode
5) email van mijzelf toevoegen
6) accounts en profielen ontkoppelen die mogelijk nog toegang geven tot het account.
en hier wordt het echt ingewikkeld. Er is een kopie van het account aangemaakt, deze kan ik zonder problemen verwijderen.
er is ook een facebook profiel gekoppeld van een persoon die niet wordt herkend door mij of door de eigenaresse van het profiel. Dit konden wij zien bij verbonden ervaringen.
Bij een poging om deze te verwijderen krijgen we een vraag om een wachtwoord in te vullen en dit wachtwoord hebben wij niet.
Probleem bij het verwijderen van gekoppelde accounts
Tijdens het herstellen van het account bleek dat er een kopie van het Instagram-profiel was gemaakt en een onbekend Facebook-profiel was gekoppeld. Het verwijderen hiervan was lastig omdat de hackers snel reageerden en de wijzigingen terugdraaiden.
Aangifte en verdere stappen
Er is aangifte gedaan bij de afdeling cybercrime van de politie. Het profiel werd mogelijk gebruikt door een groep hackers met verdere plannen, gezien het aantal slachtoffers en de verzamelde persoonlijke gegevens.
Wat doen hackers met gehackte profielen?
Hackers gebruiken gehackte social media profielen om persoonlijke gegevens te verzamelen en te misbruiken. Tijdens de toegang tot het gehackte profiel zagen we lijsten met creditcards, telefoonnummers en e-mailadressen van verschillende personen.
