Nieuws

PayPal-phishingsite op Wereldbank Groep website

vrijdag 20 november 2015, 12:28 door Redactie, 3 reacties

Laatst bijgewerkt: 20-11-2015, 12:41

Een website die beheerd wordt door de Wereldbank Groep, is deze week gecompromitteerd. Op de site climatesmartplanning.org, die voorzien was van een geldig Extended Validation SSL-certificaat, verscheen gedurende een korte tijd een bijna niet van echt te onderscheiden phishingsite met een PayPal-login pagina.

Bezoekers werd gevraagd in te loggen met de eigen PayPal-gegevens. De ingevoerde gegevens werden verwerkt en vervolgens naar de criminelen gestuurd.

Hierna gaf de site gaf een melding dat de accountgegevens tijdelijk niet beschikbaar waren, en er werd gevraagd om een extra verificatie. Bezoekers werd verzocht om hun naam, geboortedatum, adres, telefoonnummer en uiteindelijk het creditcardnummer plus de CSV-code op te geven, schrijft Netcraft . Wie alles had ingevuld, werd uiteindelijk doorgestuurd naar echte website van PayPal.

Volgens Netcraft hebben de criminelen slim kunnen profiteren van het Extended Validation SSL- certificaat dat de site climatesmartplanning.org heeft. Daardoor leek het alsof de site te vertrouwen was. Het EV-certificaat is inmiddels ingetrokken.

Het Climate Smart Planning Platform is een initiatief, onder leiding van de Wereldbank, om ontwikkelingsmedewerkers te voorzien van gereedschappen, data en kennis om in Ontwikkelingslanden met het klimaat bezig te zijn.

XSS-kwetsbaarheid in LinkedIn verholpen

Microsoft verbetert Edge-browser in Windows 10

Reacties (3)

20-11-2015, 13:08 door Erik van Straten - Bijgewerkt: 20-11-2015, 13:37

Noodzakelijke insecurity awareness voor internetters:
- Een https certificaat zegt niets over de betrouwbaarheid van een website en/of haar beheerder(s);
- Een https certificaat zegt niets over de wijze waarop de verbinding met een website is versleuteld en garandeert dus ook geen veilige verbinding.

Wat dan wel: een https certificaat (mits correct en zonder foutmeldingen verwerkt door een fatsoenlijke en up-to-date webbrowser, en alleen indien dat certificaat gebruik maakt van als veilig beschouwde cryptografie) toont minstens aan dat die webbrowser een https verbinding heeft met een "server":
1) waarvan de domainname in de URL balk getoond wordt -en-
2) die over de private key beschikt behorende bij de public key die is opgenomen in het certificaat.

Nb. dit is totaal onafhankelijk van het door de "server" gebruikte IP-adres. Anderzijds zegt het niets over waar deze server precies staat en door wie hij daadwerkelijk wordt beheerd; het kan best om een uitbestede CDN (Content Delivery Network) server of Cloud "proxy" server (zoals Cloudflare) gaan.

Of die "server" daadwerkelijk de door de domainname in de URL gesuggereerde server is, en niet een Man-in-the-Middle aanvaller zoals een virusscanner of externe firewall met SSL inspection, hangt af van de betrouwbaarheid van de certificaatuitgever (die het certificaat heeft ondertekend) en de (root-) certificaten die in jouw webbrowser zijn opgenomen en als betrouwbaar zijn aangemerkt.

Bij een EV (Extended Validation) certificaat heeft de certificaatuitgever, vóór het ondertekenen van het certificaat, een check uitgevoerd waarbij, met enige zekerheid, is vastgesteld dat de aanvrager van het certificaat geautoriseerd is om dat namens een specifieke organisatie te doen. In het certificaat is dan een derde punt opgenomen: de organisatie aan wie de domainname toebehoort.

Bij niet-EV certificaten kan er ook sprake zijn van zo'n controle, waarmee die certificaten (zoals PKI Overheid) zich onderscheiden van DV (Domain Validated) en Let's Encrypt certificaten. Echter, op het eerste gezicht zie je dat verschil niet (je zult in het certificaat moeten kijken om het verschil vast te stellen).

Kortom: als er niks fout gaat, zegt een https certificaat slechts iets over de identiteit van een server.

20-11-2015, 16:52 door Anoniem

Reactie van internetter op verhaal van Erik: ehhhh ja ja maar als ik een goede virusscanner heb
gaat het toch goed.

22-11-2015, 19:12 door karma4 - Bijgewerkt: 22-11-2015, 19:12

Door Anoniem: Reactie van internetter op verhaal van Erik: ehhhh ja ja maar als ik een goede virusscanner heb gaat het toch goed.

In plaats van het aantonen dat je niets van de argumentatie van Erik begrepen hebt door dat soort uitspraken over ik heb toch .... kunnen we ook proberen zijn conclusies te vereenvoudigen.

Https de tekort komingen van een security ontwerp:
1- je moet een onbekende vertrouwen die zegt dat een ander echt degeen is die hij beweert te zijn
2- je moet degeen die beweert is te zijn wie hij zegt vertrouwen op wat hij zegt te doen voor jou.
3- Er wordt van je verwacht dat je niet iedereen dat zegt wat hij beweert voor je te doen te vertrouwen (pishing)

Leuk, de volgorde 1,2,3 is gangbaar (het verkoopverhaal) doe het nu eens in de volgorde 3,2,1 .... (begin met niet alles te vertrouwen), het resultaat ....

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer