Pas på: Falske Kingston USB-nøgler er fyldt med malware

En uventet pakke med billige 256 gigabyte USB-nøgler var lidt for god til at være sand. Drevene var forfalskninger og rummede malware, advarer it-chef.

Det var næsten som juleaften. En pakke med fem af Kingstons helt dyre 256 gigabyte Datatraveller USB-nøgler ankom forleden hos en ansat i Skovlunde-firmaet SISO, med en faktura fra et kinesisk firma, som lød på 200 dollar.

Alt så rigtigt ud. Men var det et godt tilbud, en vareprøve, en misforståelse - eller fusk?

Da SISO's it-chef René Pedersen hørte om pakken, som ingen i firmaet havde bestilt, var han skeptisk.

»Vi lurede lidt på dem og undersøgte prisen. De koster 6.500 kroner stykket normalt, så det var næsten for godt til at være sandt,« siger han.

Derfor undersøgte han drevene meget nøje og sammenlignede med billeder af modellen, han fandt på nettet.

»Der var nogle småting, der gjorde mig mistænksom. Hele udførelsen virkede lidt for lousy, og drevet var ret let. Og så kunne jeg se ved at sammenligne, at der manglede en lysdiode i forhold til originalen,« forklarer han.

Rummede to trojanere
Da han afprøvede et drev, blev det tydeligt, at den var gal. Firmaets antivirus havde fundet to trojanere på drevet. Og desuden indeholdt det ikke den krypteringssoftware, som Kingston reklamerer med.

»Men ellers var det virkeligt professionelt udført. Blisterpakningen ligner fuldstændigt noget fra Kingston. Og hvis de havde fået lysdioden og krypteringssoftwaren på også, havde den været hjemme. Så man skal virkelig være årvågen,« siger han.

Nu har han sendt de falske USB-nøgler videre til sikkerhedsfirmaet C-cure, der vil kigge nærmere på dem. Han har også kontaktet Kingston, men her blev han efter mange forsøg blot sendt til en supportmedarbejder, der slet ikke forstod problemstillingen.

SISO sælger møbelbeslag og handler meget med kinesiske firmaer. Så René Pedersens teori er, at SISO's navn og adresse er blevet opsnappet undervejs og så brugt af svindlerne.

»Det har måske bare været for at prøve, om tricket virkede. Men tænk nu hvis det var en bank, der havde modtaget dem, og ikke havde fattet mistanke. Tak skal du ellers ha',« siger han med tanke på de mulige konsekvenser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Keld Simonsen

Nu kender jeg ikke så meget til Windows-verdenen, men ethvert ordentligt firma har vel sikkerhedssoftware til at beskytte sig mod malware, banker burde i hvert fald have det. Så det burde være let at fange. Eller man kunne afprøve det på en Mac eller linux-maskine, og så bare omformattere. Og hvis det er en svindelfaktura behøver man vel ikke betale.

Anyway fungerede de 256 GB?

  • 0
  • 0
#4 Morten Poulsen

Nu står det ikke beskrevet i artiklen, men jeg tvivler meget på det er 256GB de har puttet i deres svindel-sticks. Mon ikke snarere det er de 50MB "affalds-produkter" man får kastet i nakken for et godt ord. Hvis den så samtidig er sat op så den faktiske størrelse rapporteres forkert når man har den i computeren (dvs der står 256GB fri, du har reelt 50MB) er den nok mere til besvær end til gavn.

  • 0
  • 0
#5 Michael Degn

Det vil jeg ihvertfald ikke anbefale. Når det er kriminelle som står bag, ser er der også svindlet med kvaliteten. Du kan være 100% sikker på at du ikke får 256 GB FlashRAM. Controlleren er manipuleret så den formentlig viser 256 GB, men reelt er der måske tale om 32 GB. Det betyder at når du overskrider den fysiske kapacitet, så begynder du at overskrive data og ender naturligvis med korrupte data til følge.

En helt anden ting er vel at man overdragen den slags til politiet, så det kan indgå i efterforskningen. Vi kan kun være interesseret i at få stoppet de kinesiske bander.

  • 0
  • 0
#6 René Pedersen

Michael du har helt ret i dine antagelser der er ikke mere end 32 GB på og den er manipuleret. Kingston er dog langt om længe kommet på banen og der arbejdes nu på at få trævlet nettet op så den kinesiske bande kan stoppes.Jeg har aldrig set noget der var så gennemført som dette, så hold øjnene åbne derude de bliver bedre og bedre til at kopiere.

  • 0
  • 0
#7 Deleted User

Det er meningen at de skal bruges!

Meget smart at bruge posten til at aflevere trojaneren, men har man adgang til parkeringspladsen så kan man også tabe eller glemme en eller flere USB nøgler ved indgang eller parkeringsplads, den heldige finder skal så lige se hvad der er på og "kommer til" at aktivere et skjult program, men den heldige finder er jo selv logget på og har fået rettigheder på netværket, programmet skal nu bare kalde tilbage til en server den oprindelige ejer af USB-nøglen har kontrol over.

Det er lettere at angribe indefra, det er det som er hele ideen med trojanere, metoden er et kendt, og varianten med posten kan ikke overraske.

  • 0
  • 0
#11 Lenny Hansson

Hej Først vil jeg sige godt opdaget. Jeg ville anbefale at SISO kontakter NITEC.

https://www.politi.dk/da/hjaelppolitiet/itkriminalitet/it_efterforskning...

Det her lugter for meget af industrispionage.

Og det kunne være fedt hvis NITEC fik et sampel af denne trojan som det sikkert er. Samt at de fik mulighed for at tage fingereaftryk inden alt for mange begynder at pille ved disse enheder.

\Lenny

  • 1
  • 0
#17 Deleted User

Hjælper ikke på målrettet vira der ikke tidligere har været frigivet på internettet.

antivirusscannerne er signaturbaserede. er signaturen der ikke, så fanges den ikke. Heuristics delen burde jo så fange den, men i praksis er det sjældent

  • 0
  • 0
#18 Peter Hansen

Når det meste af verden bruger et udemokratisk og spionerende Kina som fabrik sker der ting og sager. F.eks. dette: http://www.guardian.co.uk/technology/blog/2008/oct/06/security.china

Har selv oplevet noget mystisk med USB nøgler. Jeg brugte de super hurtige A-Data PD7 2GB USB drev. Så kunne man ikke længere få 2GB og vi kørte med 4GB versionen. Da vi ikke længere kunne få dem testede jeg 8GB versionen, men man kunne kun installere en "halv linux" hvorefter man fik en IO error, samt at de ikke mountes på Windows. Leverandøren tog dem tilbage inden jeg fik undersøgt dem nærmere. Måske er det noget der ofte sker når en producent skifter størrelse på drevene? Jeg har stadig et 8GB drev af omtalte type med et Linux fil system på, men ved ikke lige hvordan jeg skal undersøge den.

  • 0
  • 0
#19 Peter Hansen

I dag er svært at finde en simpel USB stick. De fleste kommer med alt muligt garbage som U3, krypterings/ backup support mm. Sikkert fint nok i nogle sammenhænge, men som en Linux bruger, som bare ønsker noget simpelt storage er det irriterende. Læg dertil at disse avancerede USB drev både indeholder et flash drev samt et USB CDROM device som autostarter diverse installationer. Jeg tror mange Windows brugere ikke har slået autorun fra. På Linux/Mac er der vel også mange brugere som bare klikker ok.

  • 0
  • 0
Log ind eller Opret konto for at kommentere