Politiesite met SSL-certificaat host phishingsite
Aanvallers zijn erin geslaagd om het politieportaal van de Maleisische politie te hacken en te gebruiken voor het hosten van een phishingsite. De politiesite is voorzien van een geldig SSL-certificaat, waardoor er in de browser een 'slotje' verschijnt. Hierdoor kunnen bezoekers de identiteit van de website controleren en weten ze dat het verkeer tussen de website en de computer versleuteld is.
Als het gaat om inloggen en zaken als internetbankieren wordt vaak geadviseerd om naar de aanwezigheid van een SSL-certificaat te kijken. In het geval van de phishingsite die op de Maleisische politiesite wordt gehost, lift deze mee op het SSL-certificaat. Daardoor zouden gebruikers kunnen denken dat het om een legitieme website gaat.
In dit geval gaat het om een phishingsite voor PayPal. Volgens internetbedrijf Netcraft is de aanwezigheid van een SSL-certificaat op websites die phishingsites hosten niet ongewoon. Vorige maand werden 234 websites met een legitiem SSL-certificaat ontdekt waar één of meerdere phishingsites waren ondergebracht.
Een certificaat is geen indicatie dat een site niet gehacked is of niet gehacked kan worden, of dat er
op een andere manier ongewenste content op staat.
Een certificaat koppelt alleen een domeinnaam aan een vertrouwde uitgever.
Er zou hooguit iets met het certificaat gedaan moeten worden als de secret key in verkeerde handen
gevallen is en het domein gekaapt is. Maar dat hoeft hier helemaal niet zo te zijn, en het tweede is zeker
niet zo.
Als deze site weg moet dan kan de eigenaar of hoster heel simpel de steker eruit trekken en de boel
gaan opschonen, daarvoor hoef je met het certificaat niks te doen.
Wat we hier weer zien is een onterecht gelegde relatie tussen certificaat en vertrouwen van de content.
Die relatie is er simpelweg niet. Net zoals een gesignede Java applet helemaal niet betekent dat
die veilig is (eerder het omgekeerde). De uitgever van het certificaat doet helemaal niks op het
gebied van auditing van de code. Idem voor de uitgever van een website certificaat, die niks te schaften
heeft met phishing.
kunnen ze meteen het politie virus hosten...
Denken Maleisiche burgers dat ze de website van de politie bezoeken als ze die nodig hebben,maar dan is het een nepsite.
Balen voor die mensen.
Zo zie je maar hoe gevaarlijk internet kan zijn.
Zeker ook omdat er mensen zijn met een computer,en denken ach hij werkt dan is alles goed met de software.
Die weten niet welke gevaren er op de loer kunnen liggen.
Dit soort mensen zijn vaak het slachtoffer van phishing aanvallen,niet alleen dat maar ook vaak van malware,en virussen op hun computer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
