image

Certificaten Let's Encrypt en Comodo gebruikt voor phishing

woensdag 12 april 2017, 17:07 door Redactie, 16 reacties

Certificaatautoriteiten Lets's Encrypt en Comodo hebben in het eerste kwartaal van dit jaar duizenden ssl-certificaten voor phishingsites uitgegeven, zo laat internetbedrijf Netcraft weten. Het bedrijf blokkeerde in het eerste kwartaal phishingaanvallen van meer dan 47.500 websites met een geldig ssl-certificaat.

Bij zo'n 20.000 websites werd de gehele website geblokkeerd in plaats van een specifieke subdirectory die voor het hosten van de phishingsite werd gebruikt. Van de volledig geblokkeerde websites had 61 procent een ssl-certificaat dat door Let's Encrypt was uitgegeven en maakte 36 procent gebruik van een certificaat van Comodo. Volgens Robert Duncan van Netcraft is het gebruik van ssl-certificaten door phishingsites met name gevaarlijk, aangezien dergelijke websites als betrouwbaar worden aangemerkt. Internetgebruikers is namelijk geleerd om naar het "slotje" in de adresbalk te kijken.

De aanwezigheid van een versleutelde verbinding wil echter niets zeggen of de website in kwestie betrouwbaar of veilig is. "Sommige certificaatautoriteiten en browserontwikkelaars stellen dat fraudepreventie geen taak van de certificaatautoriteit is, maar de omvang van het te verwachten misbruik dat automatisch kan worden bestreden rechtvaardigt om deze opvatting mogelijk te herzien", aldus Duncan. Eerder werd al bekend dat Let's Encrypt 15.000 certificaten voor PayPal-phishingsites had uitgegeven.

Image

Reacties (16)
12-04-2017, 17:30 door Anoniem
netcraft verdient haar geld onder andere aan de markt van ev certificaten, netcraft heeft dus belang bij de groei van de markt van ev certificaten en niet die van dv certificaten.
Weer een voorbeeld van publiek trappen naar anderen uit commercieel eigenbelang
.
12-04-2017, 17:32 door Anoniem
Internetters snappen niet hoe het internet werkt. PR-gurus hebben ze toen fout een kunstje wijsgemaakt om het zogenaamd wel te snappen. Dat kunstje blijkt niet te werken en nu zou het aan de CA-autoriteiten liggen dat internetters in phishing met certificaten trappen?
12-04-2017, 17:53 door Anoniem
Van verantwoordelijkheden af- en doorschuiven wordt het internet echt veiliger. Doordenken is er kennelijk niet bij, gemakzucht des te meer.
12-04-2017, 18:27 door Anoniem
Dus we herkenden voorheen phishing sites voornamelijk aan het ontbreken van httpS? Sjah....beetje achterhaald he.
12-04-2017, 18:37 door maboc
@17:30
U verbindt 2 zaken wel heel gemakkelijk tot een conclusie, die in mijn ogen op basis van dit bericht niet gerechtvaardigd is.
Maar misschien weet u meer.

Had u het meer integer gevonden als een partij als Fox IT een dergelijk feitje had gebracht?

Ik zie hier nog niet zo zeer een "publiek trappen naar anderen". Ik zie een bedrijf dat een dienst levert en daar een bericht over de wereld in stuurt.
12-04-2017, 19:21 door Anoniem
Ik had het beter gevonden als er een sterkere conclusie was gebruikt door het woord 'verkeerd' te gebruiken.

"Internetgebruikers is namelijk verkeerd aangeleerd om alleen naar het "slotje" in de adresbalk te kijken."

Zolang de mens nog de zwakste schakel is moeten systemen die beschermen en nu gaat beschikbare software er nog vanuit dat de mens alwetend is.

Verder drukt goed de lading wat er op het moment speelt.
12-04-2017, 19:33 door Anoniem
Naast een mogelijke opmerking van @17:30:
Door maboc: @17:30
U verbindt 2 zaken wel heel gemakkelijk tot een conclusie, die in mijn ogen op basis van dit bericht niet gerechtvaardigd is.
Op basis van wat is het niet rechtvaardigd om het een met het ander te verbinden? Het is evident dat hier een bedrijf dat een belang heeft bij het verkopen van EV-certificaten een bericht als nieuws brengt dat twee concurenten in een kwaad daglicht zet. Of ze dat met opzet doen is dan geen vraag meer gezien de belangen.

Had u het meer integer gevonden als een partij als Fox IT een dergelijk feitje had gebracht?
Is het integer dat ze niet alleen selectief feiten melden maar ook conclusies trekken? Waaruit maken ze op dat die certificaten van hun concurenten werkelijk een probleem zijn?

Ik zie hier nog niet zo zeer een "publiek trappen naar anderen". Ik zie een bedrijf dat een dienst levert en daar een bericht over de wereld in stuurt.
Dat is vrij naief kijken naar selectieve berichtgeving van een commercieel bedrijf. Daarbij nog met weinig onderbouwing waarom u niet zo kritisch bent.
12-04-2017, 20:33 door Anoniem
Er is maar 1 groot probleem, de deze website is (vanwege cert automatisch) betrouwbaar melding!
13-04-2017, 00:12 door Anoniem
Als we hostnames in de andere volgorde hadden genoteerd, dus bijv. nl.rabobank.bankieren, dan was het veel gemakkelijker om gebruikers te laten controleren dat ze op de juiste site zitten en zouden dit soort fishing domeinen minder interessant zijn.
13-04-2017, 07:13 door Anoniem
Chrome geeft ev certificaten van Symantec niet meer als extra veilig weer. Dit betekent dan ook extra werk voor netcraft aangezien 61% afkomstig is van Symantec en opnieuw uitgegeven moeten worden als de sites meer dan alleen een slotje willen tonen in de browser. Dus wellicht het volgende nieuws item om te publiceren.
13-04-2017, 09:07 door Anoniem
Het zou zo'n verademing zijn als op dit platform gesproken werd in oplossingen. Al die azijnpisserij over wat anderen fout doen schiet je geen hout mee op. Het echte probleem wat hier geadresseerd moet worden, is; " hoe herkent jan met de pet zonder technische achtergrond een betrouwbare website"? Als men met alle denkkracht hier daar nou eens een goede oplossing voor zou verzinnen, dan wordt de internet wereld weer een stukje beter. Zonde om al die ervaring te verspillen aan Waldorf en Statler imitatie.
13-04-2017, 09:28 door Briolet
Door Anoniem: Het echte probleem wat hier geadresseerd moet worden, is; " hoe herkent jan met de pet zonder technische achtergrond een betrouwbare website"?

In elk geval niet op de manier van Chrome, door op elke https website ook nog eens het woord veilig naast de url-balk te zetten. Toen ik die aankondiging las, rezen mijn haren me te berge. Daar moet bij Chrome toch ook wel iemand geweest zijn die doorhad dat de leek dat woord "veilig" echt niet met het slotje gaat associeren.

Voor de leek zijn er nog plug-ins zoals WOT (Web of Thrust). Een nieuw aangemaakte phishing site zal daar noot een serieuze score op kunnen bouwen. Qua privacy kun je alles vinden van WOT, maar de leek ziet in elk geval de beoordeling door een grote groep gebruikers van een site.
WOT faalt alleen als een betrouwbare site gehacked wordt en dan voor fishing gebruikt wordt.
13-04-2017, 09:58 door Anoniem
Door Anoniem: Het zou zo'n verademing zijn als op dit platform gesproken werd in oplossingen. Al die azijnpisserij over wat anderen fout doen schiet je geen hout mee op. Het echte probleem wat hier geadresseerd moet worden, is; " hoe herkent jan met de pet zonder technische achtergrond een betrouwbare website"? Als men met alle denkkracht hier daar nou eens een goede oplossing voor zou verzinnen, dan wordt de internet wereld weer een stukje beter. Zonde om al die ervaring te verspillen aan Waldorf en Statler imitatie.
Ik ben het helemaal met je eens!
13-04-2017, 11:00 door Anoniem
Door ..:
Door Anoniem: Het echte probleem wat hier geadresseerd moet worden, is; " hoe herkent jan met de pet zonder technische achtergrond een betrouwbare website"?

In elk geval niet op de manier van Chrome, door op elke https website ook nog eens het woord veilig naast de url-balk te zetten. Toen ik die aankondiging las, rezen mijn haren me te berge. Daar moet bij Chrome toch ook wel iemand geweest zijn die doorhad dat de leek dat woord "veilig" echt niet met het slotje gaat associeren.

Voor de leek zijn er nog plug-ins zoals WOT (Web of Thrust). Een nieuw aangemaakte phishing site zal daar noot een serieuze score op kunnen bouwen. Qua privacy kun je alles vinden van WOT, maar de leek ziet in elk geval de beoordeling door een grote groep gebruikers van een site.
WOT faalt alleen als een betrouwbare site gehacked wordt en dan voor fishing gebruikt wordt.

@ mr. 'Epic & Co' aangaande WOT advies

Neem nog eens de tijd wat berichten te herlezen die je eigenlijk niet gemist kan hebben.

- https://www.security.nl/posting/491610/Mozilla+verwijdert+Firefox-uitbreiding+Web+of+Trust
- https://www.security.nl/posting/491703/Google+en+Opera+verwijderen+browseruitbreiding+Web+of+Trust
- https://www.security.nl/posting/491795/Web+of+Trust+kondigt+maatregelen+aan+na+privacylek

WOT adviseren is dus niet zo sterk, ook niet (of juist niet) voor leken.
Privacy onderwerpen zijn gewoon je ding niet, hou het bij s.v.p. bij bijv. Dmarc, die bijdragen zijn wel gewaardeerd omdat ze beter onderbouwd zijn.
13-04-2017, 13:49 door Anoniem
Het is niet de taak van DV-cert boeren (inclusief let's encrypt) om te controleren of een domein
al dan niet een phishing domein is. Het enige wat DV-certs zeggen is dat het een encrypted connectie is die
correct gekoppeld is voor de domeinnaam.

Als je phishing wilt aanpakken moet je als achter de club aangaan die het domein uitgegeven heeft.
15-04-2017, 22:58 door Anoniem
Door Anoniem: Het is niet de taak van DV-cert boeren (inclusief let's encrypt) om te controleren of een domein
al dan niet een phishing domein is. Het enige wat DV-certs zeggen is dat het een encrypted connectie is die
correct gekoppeld is voor de domeinnaam.

Als je phishing wilt aanpakken moet je als achter de club aangaan die het domein uitgegeven heeft.
Waarom moeten DNS-boeren wel bedenken dat ing.ni gebruikt kan worden voor phishing en cert-boeren niet?

En wat als DNS records voor ing.nl in orde zijn maar een cert-boer aan de andere kant van de wereld tijdens de certaanvraag gefopt wordt met vervalste DNS records door een DNS cache poisoning aanval of door een BGP hijack?

DNS = identiteit, certificaat = autentiteit!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.