Network Solutions verstrekt phishingsite geldig SSL-certificaat
Cybercriminelen hebben eerder deze week bij registrar Network Solutions een misleidende domeinnaam weten te registreren en wisten hiervoor ook succesvol een SSL-certificaat aan te vragen, om vervolgens klanten van een Amerikaanse bank aan te vallen.
Het gaat om de domeinnaam secure-chaseonline.com, die 3 september online kwam. SSL-certificaten worden gebruikt voor het versleutelen van het verkeer tussen bezoekers en website. Daarnaast kunnen bezoekers via het SSL-certificaat controleren of de website daadwerkelijk is wie die beweert te zijn. Veel banken adviseren klanten dan ook om tijdens het internetbankieren de aanwezigheid van HTTPS in de adresbalk van de browser te controleren.
Regels
Op de phishingsite werd klanten van de Chase bank gevraagd om met hun gebruikersnaam en wachtwoord in te loggen. Na ontdekking van de misleidende website werd eerst het SSL-certificaat ingetrokken, waarna later ook de domeinnaam offline werd gehaald. Paul Mutton van internetbedrijf Netcraft stelt dat Network Solutions, dat ook als Certificate Authority actief is, onder de regels voor Certificate Authorities risicovolle verzoeken eerst moet controleren voordat er een SSL-certificaat wordt uitgegeven.
Er worden miljoenen domeinen geregistreerd en of het "risicovol" is dat is meestal alleen handmatig goed te beoordelen.
Handmatige beoordeling van aanvragen is er al jaren niet meer.
Voor "domain-control validated" certificaten geldt hetzelfde. Ok dan krijg je alleen een geel https slotje ipv een groen,
maar dat zal veel bezoekers niet boeien.
Blijken het vooral commercieele bedrijven te zijn.
of nader bekijken buiten je normale proces om. Want dan moet je dat ook doen met domeinnamen waarin abn, rabo,
ing, sns voorkomt en als je dit aanvult met alle banken over de wereld dan valt er niks meer aan te vragen wat niet
speciaal gecontroleerd moet worden.
Natuurlijk, het zou veel beter zijn als alle aanvragen gecontroleerd werden, maar dat is al jarenlang niet meer mogelijk
met het aanvraagvolume wat er ligt. Je zou dit kunnen oplossen met draconische regels zoals die er in het begin waren
(iedereen kan maar 1 domein aanvragen) maar dat gaf ook voortdurend gezeik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
