image

Internetgebruikers gewaarschuwd voor afgekorte links in e-mail

zondag 26 juni 2016, 15:38 door Redactie, 8 reacties

Beveiligingsbedrijf SecureWorks heeft internetgebruikers gewaarschuwd voor afgekorte links in e-mails, aangezien een beruchte groep cyberspionnen hiervan gebruikmaakt om Google-accounts te kapen. De e-mails bevatten een via Bitly afgekorte link die naar een phishingpagina wijst.

Op deze pagina wordt gebruikers gevraagd om op hun Google-account in te loggen. Internetgebruikers zouden echter zelden de originele afgekorte link controleren en zo risico lopen dat hun gebruikersnaam en wachtwoord worden gestolen. Onderzoekers van SecureWorks analyseerden zo'n 4400 afgekorte links die naar 1881 Google-accounts waren gestuurd. Meer dan de helft van de links (59%) was geopend. Bitly laat namelijk zien hoe vaak een afgekorte link is geopend.

Of het ook de ontvangers waren die de link openden en of ze vervolgens hun inloggegevens op de phishingpagina invoerden is onbekend. De meeste accounts waren het doelwit van meerdere phishingmails. 35% van de accounts die de phishinglink opende kreeg echter geen aanvullende phishingmails, wat volgens SecureWorks suggereert dat de aanvallers het account waarschijnlijk hadden overgenomen. De aanvallen die zijn waargenomen waren gericht tegen overheidspersoneel, journalisten, onderzoekers, politieke activisten en militair personeel in zowel Rusland als daarbuiten.

Volgens SecureWorks is de spionagegroep, met de naam Pawn Storm, vooral een dreiging voor personen en organisaties in Rusland en voormalige Sovjetlanden. De groep is echter ook actief in West-Europa en de verenigde Staten. Het gaat dan voornamelijk om defensiebedrijven en overheidsorganisaties, personen die zich met de Amerikaanse politiek bezighouden, militair personeel, overheidslogistiek en personen en organisaties die negatief over Rusland zijn. Eerder werden ook de onderzoeksraad van MH17, verschillende ministeries van Buitenlandse Zaken, een Amerikaanse defensieorganisatie, de Turkse overheid, een NAVO-lid, Linuxgebruikers, het CDU, Sanoma en de presidentscampagne van Hillary Clinton door de groep aangevallen.

Adresbalk controleren

SecureWorks stelt dat internetgebruikers zelden de volledige link in adresbalk controleren die via Bitly of een andere dienst is afgekort. Spionagegroepen kunnen op deze manier hun phishingsites effectief verbergen. Daarnaast bieden de url-afkorters ook statistieken, waardoor eenvoudig kan worden gezien welke phishingaanvallen werken en welke niet. De gekaapte Google-accounts kunnen allerlei waardevolle informatie opleveren, waarmee de aanvallers nieuwe aanvallen op de organisatie kunnen uitvoeren. Het beveiligingsbedrijf adviseert organisaties dan ook om het personeel over het risico van gerichte phishingaanvallen en afgekorte links voor te lichten en voorzichtig te zijn met afgekorte links in ongevraagde e-mails.

Image

Reacties (8)
26-06-2016, 16:30 door karma4
Het zelfde voor elke site met afgekorte links. Twitter linkedin Facebook. Soms twijfel ik ook bij de Links van zoekmachines.
26-06-2016, 17:20 door Anoniem
Hetzelfde geldt voor iedere email uit onbetrouwbare bron met een link. Lijkt het een betrouwbare link, dan is het vaak de omschrijving in een hyperlink, en moet je kijken waar de hyperlink daadwerkelijk naartoe verwijst. Met ander woorden, wees altijd voorzichtig ?
26-06-2016, 19:17 door Anoniem
Vooral de NL overheid en organisaties zoals de consumentenbond zouden echt eens moeten stoppen met het onnodig gebruik van die url-verkorters. Totaal overbodig op bv twitter waar url-lengte toch niet telt.

En tja, .ly is nou niet bepaald een Nederlands domein.

Tip van de dag voor commerciële organisaties: zet eens een + achter de link (bij bit.ly) van een concurrent en je krijgt alle statistieken van die link. Prachtig inzicht voor je afdeling marketing.
26-06-2016, 20:18 door [Account Verwijderd]
Het probleem schuilt ook in het gevaar van substituut links.

Hier op security.nl is deze functie uitgeschakeld, dus een functioneel voorbeeld kan ik niet geven maar bijvoorbeeld de aanbeveling: Beveilig nu! kun je tot het substituut maken voor een URL met de volgende formule:

[url=http://malwaredumper.xx]Beveilig nu![/url]

Deze links zijn feitelijk nog linker voor de argeloze lezer want er wordt geappelleerd aan het gevoel van angst en onveiligheid in een gerelateerde mail met bijvoorbeeld als titel: Beveilig uw CreditCard! door gebruikmaking van een enkele uitspraak met scherp subjectieve lading.
Vergelijkbaar: de uitroep Brand! sorteert veel meer effect - tot aan paniek toe - dan de mededeling: Het is in het belang van uw veiligheid noodzakelijk het pand te verlaten via de dichtst bijzijnde nooduitgangen aangezien er rookontwikkeling en mogelijk open vuur is geconstateerd.
26-06-2016, 22:53 door Anoniem
URL-shortening is per definitie niet te vertrouwen omdat je als gebruiker niet weet waar deze werkelijk naar verwijst.
Maar dat wisten we al:

https://www.security.nl/posting/467854/Verkorte+url%27s+privacyrisico+voor+clouddiensten+als+OneDrive
https://www.security.nl/posting/41988/Explosie+van+malware-links+via+Bit_ly
https://www.security.nl/posting/30510/Veilige+URL-verkorter+McAfee+laat+foute+links+door
https://www.security.nl/posting/25368/Link-verkorter+Cligs+gehackt%2C+miljoenen+doorgestuurd
26-06-2016, 23:22 door Anoniem
blablabla.. voornamelijk tegen russische... blabla en in west europa blablabla en de vs...

dus eigenlijk overal dus.

en toen werd het al propaganda...jammer dus.. nog wat bellingcat "news" als sausje?
anders is die bullshit zo moeilijk door te slikken
27-06-2016, 09:15 door Anoniem
Misschien handig om te melden dat er ook sites bestaan die de volledig URL laat zien zonder dat je de verkorte URL in de adresbalk moet invullen.
Bijvoorbeeld: http://www.knowurl.com/ of http://urlxray.com/
27-06-2016, 14:39 door Anoniem
Ikzelf heb meer een hekel aan extreem lange url's (met daarin encoded allerlei data die markerteers informatie over mijn lees gedrag geeft).

Maar TinyURL is de enige die aan dit probleem heeft gedacht, reeds in een vroeg stadium.
I.p.v. http://tinyurl.com/hjyk4yl
kun je http://preview.tinyurl.com/hjyk4yl doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.