image

Let's Encrypt geeft 15.000 certificaten uit voor PayPal-phishing

zaterdag 25 maart 2017, 08:15 door Redactie, 23 reacties

De gratis aanbieder van ssl-certificaten Let's Encrypt heeft in een jaar tijd zo'n 15.000 certificaten voor PayPal-phishingsites uitgegeven. Dat meldt Vincent Lynch van The SSL Store. Sinds maart vorig jaar werden 15.270 ssl-certificaten uitgegeven voor domeinen met daarin het woord PayPal.

Volgens Lynch is naar schatting 96,7 procent hiervan gebruikt voor phishing. Sinds november is het aantal uitgegeven certificaten voor PayPal-phishingsites sterk gestegen, met meer dan 5.000 certificaten alleen in februari van dit jaar. Let's Encrypt is een initiatief van de Internet Security Research Group (ISRG) dat wordt gesteund door Mozilla, Akamai, Cisco, de Amerikaanse burgerrechtenbeweging EFF en verschillende andere partijen. Het heeft een volledig versleuteld web als doel en wil dit bereiken door de uitgifte en installatie van ssl-certificaten zo eenvoudig mogelijk te maken.

Het aanbieden van gratis ssl-certificaten is volgens Lynch aantrekkelijk voor cybercriminelen. "Ervan uitgaande dat de trend zich doorzet, zal Let's Encrypt tegen het einde van dit jaar nog eens een extra 20.000 "PayPal" certificaten uitgeven", aldus de onderzoeker. Hij roept Let's Encrypt dan ook op om te stoppen met het uitgeven van ssl-certificaten met daarin het woord PayPal.

Reacties (23)
25-03-2017, 08:35 door Erik van Straten
Ik heb hier van begin af aan voor gewaarschuwd, zie bijv. https://www.security.nl/posting/453137/Let%27s+Encrypt+for+Phun+and+Profit
25-03-2017, 08:47 door Anoniem
Door Erik van Straten: Ik heb hier van begin af aan voor gewaarschuwd, zie bijv. https://www.security.nl/posting/453137/Let%27s+Encrypt+for+Phun+and+Profit
Is dat de taak van Let's Encrypt?

Begrijp me niet verkeerd, ik zeg niet dat we niets moeten doen aan phishing. Maar de phishers kunnen blijkbaar ook een domeinnaam registreren, dat is al de eerste stap waar het fout gaat. En zo lang mensen hun credentials blijven invullen op shady sites als paypal.nl-hetmaaktmegeenbaluitwathierstaatwantdatbegrijpiktochniet.tk, haalt het niet uitdelen van TLS certificaten ook niets uit.

Ik denk dat het belangrijkste wat moet gaan veranderen, is dat mensen niet meer automatisch denken "groen slotje = alles is goed" en dan stoppen met nadenken. Maar dat is hoe dan ook onvermijdelijk als we een meer versleuteld web willen. Sterker nog, als we willen dat techniek een heel belangrijke rol speelt in ons leven, dan hebben we als mensen die geen specialisten zijn m.i. twee keuzes.
1) ik wil niets van de techniek weten, het moet gewoon werken; ik accepteer dat ik mezelf dan soms in de vingers snijd
2) ik wil een klein beetje op hoofdlijnen geïnformeerd zijn, vergelijkbaar met hoe een rijbewijs behalen me de basis gebruikerszaken - lampjes, symbolen etc. - van een auto bijbrengt
25-03-2017, 08:53 door Anoniem
Nu nog een paar Let's Encrypt-certificaten voor Google-phishingsites en een Diginotar-scenario doemt opnieuw op. Wat naïef om te geloven dat alleen goedwillenden voor gratis gaan.
25-03-2017, 09:19 door Briolet - Bijgewerkt: 25-03-2017, 09:25
Zit het probleem niet eerder in de keten, doordat iemand überhaupt een domein met die naam kan aanvragen? Let's Encrypt zorgt er alleen maar voor dat je versleuteld met die site kunt communiceren.

Edit: Ik vergat dat het woord paypal ook in een subdomein kan zitten, zodat de de verstrekker van een domein hier weinig aan kan doen.

Blijft over dat het publiek beter voorgelicht moet worden over hoe een domeinnaam in elkaar zit en wat EV certificaten zijn.
25-03-2017, 09:30 door Anoniem
Door Erik van Straten: Ik heb hier van begin af aan voor gewaarschuwd, zie bijv. https://www.security.nl/posting/453137/Let%27s+Encrypt+for+Phun+and+Profit
@Erik
Net zoals je Public Key uploaden naar een key-server met een fake name.
En het slachtoffer maar denken met de echte Koning Willem Alexander te 'praten'.
25-03-2017, 10:01 door Anoniem
Het probleem is toch weer de mens die niet kijkt of het wel een EV certificaat is wat er getoond wordt. Bij een EV certificaat zou het slot helemaal niet meer tezien moeten zijn. Dit om de analogie van een normale tegen afluisteren beveiligde TLS verbinding te verbreken.
25-03-2017, 10:01 door karma4
Iedereen moet en zal encrypten, het wordt gratis en voor niets aangeboden.
Nep-sites die zich voordoen met slotje geeft een beter verdienmodel voor criminelen
1+1=10 wat is daar voor nieuws aan.

Hoe kan het dat er nepdomeinen worden uitgegeven met het woord PayPal er in en hoe kan het dat de authenticatie zo zwak is dat zoiets voldoende is. O ja dat is waar ook PayPal legt het risico voor misbruik bij de gebruiker neer.
25-03-2017, 10:43 door Anoniem
Door Briolet: Zit het probleem niet eerder in de keten, doordat iemand überhaupt een domein met die naam kan aanvragen? Let's Encrypt zorgt er alleen maar voor dat je versleuteld met die site kunt communiceren.

https had 2 doelen:
1. het encrypted communiceren met een site
2. het kunnen "vertrouwen" dat je echt communiceert met de site die je denkt

Oorspronkelijk werkte dat goed. Met de liberalisatie van de certificaten uitgevers markt is dat punt 2 al behoorlijk
gedevalueerd, maar LetsEncrypt heeft dat de doodsteek toegebracht. Je hebt nu helemaal niks meer aan een gewoon
certificaat als validatie van de identiteit, alleen nog voor encryptie. Je wordt nu verplicht om een EV certificaat te nemen.
En voor de gebruikers is de onduidelijkheid weer toegenomen: wat kun je nou wel en wat kun je niet vertrouwen?
25-03-2017, 13:09 door Anoniem
Door karma4:
Hoe kan het dat er nepdomeinen worden uitgegeven met het woord PayPal er in en hoe kan het dat de authenticatie zo zwak is dat zoiets voldoende is. O ja dat is waar ook PayPal legt het risico voor misbruik bij de gebruiker neer.

Hoe zou je, voor al die miljoenen bedrijven op internet, willen voorkomen dat er geen domeinen uitgegeven worden met de bedrijfsnaam erin? Er zijn tallozen bedrijven welke de zelfde naam dragen maar niks met elkaar van doen hebben, wie heeft er dan recht op welk domein?
25-03-2017, 14:07 door Anoniem
Door karma4: Hoe kan het dat er nepdomeinen worden uitgegeven met het woord PayPal er in en hoe kan het dat de authenticatie zo zwak is dat zoiets voldoende is. O ja dat is waar ook PayPal legt het risico voor misbruik bij de gebruiker neer.
Zijn geen nep domein gewoon sub.domein.tld kan met wildcard domein die gekocht is ook gebeuren. Als clickbaits nu eens leren in hun decadente ik click voor de goudpot eens te kijken wat ze clicken zou veel voorkomen worden.
25-03-2017, 14:55 door karma4
Door Anoniem:Hoe zou je, voor al die miljoenen bedrijven op internet, willen voorkomen dat er geen domeinen uitgegeven worden met de bedrijfsnaam erin? Er zijn tallozen bedrijven welke de zelfde naam dragen maar niks met elkaar van doen hebben, wie heeft er dan recht op welk domein?
Als een Russische of andere vreemde naam beheerder iets registreert van een elders algemeen bekende betaalprovider dan zou dat gevalideerd moeten worden of die betaalprovider moet actie ondernemen. Omdat VS bedrijven die verantwoording afgewezen hebben zullen ze ook niet zo snel wat doen. Het succes van de creditcard in de VS is nu net daarop gebaseerd. Die nemen wel een stuk verantwoording.

Door Anoniem: Zijn geen nep domein gewoon sub.domein.tld kan met wildcard domein die gekocht is ook gebeuren. Als clickbaits nu eens leren in hun decadente ik click voor de goudpot eens te kijken wat ze clicken zou veel voorkomen worden.
Ja je hebt gelijk. Maar de voorlichting naar het publiek gaat niet verder dan: ziet u het slotje.... dan is het goed.
Sluit me aan bij Anoniem 10:43
25-03-2017, 16:46 door Briolet
Door karma4:…Maar de voorlichting naar het publiek gaat niet verder dan: ziet u het slotje.... dan is het goed.

Chrome maakt het nog erger door het woord "veilig" in groen naast het slotje te plaatsen bij een https verbinding. Dat beleid heb ik bij de introductie van deze feature al niet gesnapt omdat het slotje al aangeeft dat de verbinding versleuteld is.

Het slotje is eenduidig, maar het woord "veilig" niet. Ik durf te wedden dat een meerderheid denkt dat dit dan op de website slaat.

Verder kun je in chrome nu niet meer snel zien wie de uitgever van een certificaat is. Die optie is nu alleen nog maar door browser specialisten te vinden.
25-03-2017, 17:02 door Anoniem
Internetters die klagen dat je certificaten niet kan vertouwen voor betrouwbaarheid van de eigenaar en vinden dat lets encrypt de doodsteek daarvoor heeft gegeven snappen het systeem niet. De betrouwbaarheid van de eigenaar is nooit te garanderen geweest. Zelfs toen vele jaren geleden extended validatie met kopieën van identiteitskaart en bedrijven op de markt kwam is die betrouwbaarheid nooit afgedwongen. De enige garantie was dat een CA veel geld vroeg voor belabberde controle van die papieren en ze alleen garantie geven die leuk verkoopt. Internetters hebben bijna blind vertrouwen omdat ze het gewoon niet willen snappen. Dan kan je beter focussen op wat wel te garanderen valt: overal standaard versleutelde communicatie doordat lagere prijzen en waar CA s hun licenties ingetrokken kunnen worden als ze zelfs daarmee te veel de fout in gaan bij uitgifteverificaties. Want niemand heeft in de afgelopen 25 jaar een systeem in de markt kunnen brengen waarbij de betrouwbaarheid van de tegenpartij in doen en laten viel te garanderen. Nu zijn miljoenen sites en mailservices tenminste tenminste wel voorzien van versleutelde communicatie. Een verhoudingen waarbij die certificaten voor mogelijke phishing verbleken. Of had u een realistischer plan?
25-03-2017, 18:35 door Anoniem
Door Anoniem:
Door Briolet: Zit het probleem niet eerder in de keten, doordat iemand überhaupt een domein met die naam kan aanvragen? Let's Encrypt zorgt er alleen maar voor dat je versleuteld met die site kunt communiceren.

https had 2 doelen:
1. het encrypted communiceren met een site
2. het kunnen "vertrouwen" dat je echt communiceert met de site die je denkt

1: Ja
2: Nee. Een certificaat geeft aan of de URL op het scherm klopt. De server, noch het certificaat, noch de browser kunnen weten wat jij denkt. Ze kunnen dus nooit een vertrouwen geven aan iets wat jij denkt.

Toen Let's Encrypt niet bestond, bestonden er al diverse andere sites die gratis certificaten aanboden. Ook die werden misbruikt. Er zijn er zelfs waar je voor moet betalen (Symantec) en waar je zelfs EV certificatne kunt krijgen op de verkeerde naam. Dat is vele malen ernstiger. Daar gaat het wel om vertrouwen dat de organisatie achter de site degene is waarvan je denkt dat de website is.

Peter
25-03-2017, 20:25 door Anoniem
Ze zoude Let's Encrypt in combinatie met Certificate Transparancy kunnen gebruiken om een systeem te maken om dit soort sites te detecteren en eerder kunnen waarschuwen.
25-03-2017, 21:57 door SecGuru_OTX
Het gaat mis in de gehele keten, iedereen laat steken vallen:

- organisaties doen niet aan public brand monitoring (of brand domain prevention)
- het is nog steeds mogelijk om zonder aanvullende registratie en verificatie van persoon of organisatie een domein of website aan te vragen
- het is mogelijk om zonder aanvullende registratie en verificatie van persoon of organisatie, een gratis ssl certificaat aan te vragen.
- de DNS diensten doen bij aanvraag geen check op al bestaande domeinen met namen van organisaties er in.
25-03-2017, 22:40 door Anoniem
Door Erik van Straten: Ik heb hier van begin af aan voor gewaarschuwd, zie bijv. https://www.security.nl/posting/453137/Let%27s+Encrypt+for+Phun+and+Profit
Ja, dat heb je. Er is alleen een verschil tussen wat jij vindt dat zo'n certificaat moet doen en wat men bij Let's Encrypt vindt. Wat zij doen is bedoeld om HTTP-verkeer door HTTPS te vervangen, niet om tegelijk ook van al die websites te garanderen dat je met een geverifieerde, laat staan betrouwbare partij praat. Dit soort certificaten bewijst niet meer dan dat je browser praat met een partij die op een gegeven moment kon aantonen controle over dat domein te hebben, meer niet.

Dat SSL ooit met meer bombarie en grotere verwachtingen is gepresenteerd is waar. Toen men EV-certificaten introduceerde maakte men daarmee eigenlijk waar wat SSL eigenlijk altijd al had moeten zijn. Alleen heeft geen enkele CA die belofte met gewone certificaten ooit waargemaakt, zoals zo vaak werd het allemaal mooier voorgesteld dan het was.

Die geschiedenis ging vooraf aan het oprichten van Let's Encrypt.Het probleem nu is in mijn ogen niet primair dat zij bestaan, maar dat allerlei partijen een veel te simpel beeld hebben geschetst van waar gebruikers mee te maken krijgen. De suggestie dat een website veilig is als er een slotje voor het adres staat is lekker simpel maar ook klinkklare onzin, en toch er zijn hele volksstammen die die suggestie van banken, overheden, noem maar op hebben gehoord en dat geloven.

Let's Encrypt maakt het inderdaad makkelijk voor boeven om een certificaat voor hun website te bemachtigen, en dat is zeker een nadeel van dat gemak, maar het maakt het tegelijkertijd ook heel laagdrempelig voor legitieme sites om over te stappen op HTTPS, en dat gebeurt ook massaal. Ik denk dat het effect per saldo nog altijd ruimschoots positief is. Wat niet wil zeggen dat ze hier niet op te reageren hebben, wat mij betreft.

Domeinnamen die (bijvoorbeeld) paypal bevatten zijn verdacht. Maar dat mensen daar zo makkelijk intrappen heeft ook te maken met een bedrijfsleven dat zo gericht is op consumenten op gemakzuchtige wenken te bedienen dat kennelijk niemand eens zegt dat als je het web gebruikt je verdomme moet weten dat "paypal-whatever.com" niets te maken hoeft te hebben met "paypal.com", en dat het nodig is om zorgvuldig te zijn daarmee. En al die organisaties die zelf dat soort domeinen registreren moeten verdomme eens leren dat er subdomeinen bestaan en dat het gebruik daarvan een voorwaarde is om een eenduidige boodschap uit te kunnen dragen over hoe je kan beoordelen of iets te vertrouwen is. Het probleem is veel groter dan alleen het makkelijk kunnen krijgen van certificaten.
26-03-2017, 01:00 door Anoniem
De vervolmaking van certificering van security dot nl is halverwege gestopt.
Goed gedaan, mensen, nu nog de puntjes op de i, zie

https://observatory.mozilla.org/analyze.html?host=www.security.nl

The Security Council Certificate - 's Gravenhage This server uses an Organizationally Validated (OV) certificate. Information about the site owner has been validated by thawte, Inc. to help secure personal and financial information.

Heel goed resultaat hier: https://www.htbridge.com/ssl/?id=f04454324fd1b0480711342be815b0e38c0780587feb3650192299c4d1a16ea2 A+ status

Minder de volgende punten ter verbetering:

Security Headers Issues content security options, xss protection, cache control, page meta security headers & form autocomplete settings.

Aanbevolen verandering: The X-Content-Type-Options header tells browsers to stop automatically detecting the contents of files. This protects against attacks where they're tricked into incorrectly interpreting files as JavaScript.

luntrus
26-03-2017, 11:46 door Briolet
Door Anoniem: https had 2 doelen:
1. het encrypted communiceren met een site
2. het kunnen "vertrouwen" dat je echt communiceert met de site die je denkt

En beide probeert Let's Encrypt te garanderen. In tegenstelling tot sommige andere gratis certificaten, kun je dat certificaat alleen aanvragen vanaf een computer die in het domein staat wat gecertificeerd moet worden. En ook niet vanaf een willekeurige computer in dat domein, maar poort 80 moet geforward zijn naar die computer.

Voor zover ik kan zien, kun je bij Let's Encrypt geen aanvullende adresgegevens in dat certificaat zetten. Die gegevens kunnen ze nml. niet automatisch controleren. Je kunt dus niet de adresgegevens van b.v. de PayPal organisatie in dat certificaat zetten.

Het probleem is dat de gewone consument niet vertrouwd is met de omgekeerde structuur van subdomeinen. Als ze dan de url "www.paypal.com.phishingsite.com/" zien, stoppen ze met lezen na de eerste 'com'. Wat dat betreft is het een goede zaak dat veel browsers nu in eerste instantie het domein zelf, zonder subdomeinen, in de adresbalk laten zien.

Let's Encrypt laat echter geen wildcard certificaten toe. De aanvrager moet dus expliciet een certificaat met "payPal" subdomein aanvragen. Hier zou Let's Encrypt wel met blacklists kunnen werken en bepaalde namen kunnen uitsluiten in de aanvraag.
26-03-2017, 18:09 door karma4
Door Anoniem: https had 2 doelen:
1. het encrypted communiceren met een site
2. het kunnen "vertrouwen" dat je echt communiceert met de site die je denkt
Heb jij op de blog van het privacylab gekeken met jaap-henk hoepman.
https://pilab.nl/about%20pi%20lab/blog/eerlijk%20ontwerpen.html
http://blog.xot.nl/
Die twee kun je anders oplossen, zeker de eerste is raar. Iemand met een sleutel die je niet kent maar haar jouw naar je prive ruimtes brengt. TOFU etc. Privacy by design dan moet je er net even anders insteken vanaf de basis.
Waarom niet een public key voor een encrypted site gebruiken?
27-03-2017, 13:09 door Anoniem
Door SecGuru_OTX: Het gaat mis in de gehele keten, iedereen laat steken vallen:

- organisaties doen niet aan public brand monitoring (of brand domain prevention)
- het is nog steeds mogelijk om zonder aanvullende registratie en verificatie van persoon of organisatie een domein of website aan te vragen
- het is mogelijk om zonder aanvullende registratie en verificatie van persoon of organisatie, een gratis ssl certificaat aan te vragen.
- de DNS diensten doen bij aanvraag geen check op al bestaande domeinen met namen van organisaties er in.
De punten 1, 2 en 4 helpen niets tegen subdomeinen met "paypal" of welke partij dan ook erin. Zie ook de reactie van Briolet:
Door Briolet:... Het probleem is dat de gewone consument niet vertrouwd is met de omgekeerde structuur van subdomeinen. Als ze dan de url "www.paypal.com.phishingsite.com/" zien, stoppen ze met lezen na de eerste 'com'.

Wat betreft punt 3 is de grote vraag, of dat een taak van Let's Encrypt is of niet. Wie bepaalt wat er op een eventuele blacklist moet komen, oftewel wie bepaalt welk bedrijf "belangrijk" is en welk bedrijf niet? Dan komen we ook al heel snel in de hoek censuur.

En hoe moet Let's Encrypt zeker weten, dat er niet een ander legitiem bedrijf is in bijv. land XYZ dat ook Paypal heet en een certificaat voor paypal.xyz wil hebben? Moet Let's Encrpyt dat dan verbieden? Waarom zou Paypal uit USA "meer" recht hebben op een certificaat voor paypal.xyz dan het bedrijf uit XYZ, terwijl dat laatste bedrijf de merkennaam in XYZ heeft geregistreerd?

Nee, als je het mij vraagt is dit niet een taak van Let's Encrypt. Die moeten er alleen voor zorgen dat eventuele klachten snel behandeld worden en als een klacht gegrond is, de betroffene certificaten teruggetrokken worden.
27-03-2017, 17:02 door Anoniem
paypal.nl-hetmaaktmegeenbaluitwathierstaatwantdatbegrijpiktochniet.tk
Bekijk 'ns de declassified stats van project Avelange van Europol i.s.m. FBI danwel Interpol:
http://i.imgur.com/T3oYmEK.png

Aanschouw dat .nl in absoluut aantal welliswaar slechts een drietal minder abusive domein-registraties had dan .tk
maar naar grootte van deze zones, .tk dus relatief vele malen veiliger is dan .nl

Of andersom gesteld: de .nl zone bevat relatief meer onveilige domeinnamen dan .tk

Bekijk ook even naar de rest van de statistieken, en onthoud dat lijstje s.v.p. een beetje.
Want je reply is mijns inziens onbedoeld danwel bedoeld onnodig en onterecht defaming.
28-03-2017, 00:10 door Briolet - Bijgewerkt: 28-03-2017, 00:11
Door Anoniem: En hoe moet Let's Encrypt zeker weten, dat er niet een ander legitiem bedrijf is in bijv. land XYZ dat ook Paypal heet en een certificaat voor paypal.xyz wil hebben?

Dat kunnen ze niet weten. Sterker, er zijn ook redenen van legitiem gebruik. Zoek maar eens op het gebruikersforum van Let's Encrypt:

https://community.letsencrypt.org/search?q=paypal

Daar staan berichten over phishing gebruik, maar ook van websites die legitiem Let's Encrypt certificaten gebruiken om hun PayPal betalingen te beveiligen. Dat laatste hoeft natuurlijk niet via een PayPal subdomein, maar sommigen kunnen dat wel doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.