image

Britse fiscus laat 20.000 phishingsites uit de lucht halen

maandag 2 juli 2018, 16:55 door Redactie, 4 reacties

De Britse belastingdienst HMRC heeft de afgelopen twaalf maanden ruim 20.000 phishingsites uit de lucht laten halen. Een stijging van 29 procent ten opzichte van het jaar daarvoor toen het nog om 16.000 phishingsites ging, zo meldt de HM Revenue and Customs (HMRC).

De meestvoorkomende scams zijn sms-berichten en e-mails over belastingteruggave. Om malafide sms-berichten te stoppen is de Britse fiscus nu met een nieuwe technologie aan het experimenteren. De technologie identificeert sms-berichten die claimen van de HMRC afkomstig te zijn. Sinds de test vorig jaar april begon is het aantal mensen dat melding maakte van sms-berichten die claimden van de belastingdienst afkomstig te zijn met 90 procent afgenomen.

Eind 2016 rolde de Brits fiscus al DMARC uit. Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen. Via DMARC kan worden gecontroleerd of e-mails van een legitieme bron afkomstig zijn. Dankzij het systeem zouden 500 miljoen phishingmails zijn gestopt. Ondanks de technische maatregelen stelt de HMRC dat het publiek alert op phishing moet blijven.

Reacties (4)
02-07-2018, 20:42 door karma4
De technologie identificeert sms-berichten die claimen van de HMRC afkomstig te zijn.
Dat kan alleen met nauwe samenwerking met de telco's. Hoe wil je anders alle SMS berichten die je zelf niet verstuurd toch analyseren op herkomst.
02-07-2018, 23:26 door Bitwiper
Door Redactie: Via DMARC kan worden gecontroleerd of e-mails van een legitieme bron afkomstig zijn.
Inderdaad "kan", en dat is ook ongeveer wat https://www.gov.uk/government/news/record-number-of-fake-hmrc-websites-deactivated erover schrijft.

Dat "kan" is namelijk onder de voorwaarde dat DMARC op de zendende mailserver wordt gecombineerd met SPF of DKIM en dat het verzendende domein al deze protocollen op veilige wijze heeft geconfigureerd.

En onder de voorwaarde dat hun systemen niet gehacked zijn of op andere wijze door cybercriminelen kunnen worden misbruikt (zie https://www.security.nl/posting/567671/Phishingmail+die+om+DigiD+vroeg+maakt+200+slachtoffers#posting567969 voor een opmerkelijke configuratie bij "overheid.nl").

En zeker ook onder de voorwaarde dat alle betrokken ontvangende mailservers checken op deze protocollen en ernaar handelen, zonder daar een eigen invulling aan te geven (door alle vervelende bijwerkingen van deze protocollen -waaronder configuratiefoutjes op zendende mailservers-, zijn er veel ontvangende mailservers waarvan de beheerders toch maar iets anders geconfigureerd hebben - en daar heb je als zendend domein nou eenmaal weinig tot geen invloed op).

Door Redactie: Domain Message Authentication Reporting & Conformance (DMARC) is een standaard die spam en phishingmails moet tegengaan door misbruik van domeinnamen bij e-mail te voorkomen.
En dat is allemaal niet waar.

M.b.t. spam: juist door dit soort leugens wordt er in toenemende mate spam verzonden vanaf wegwerpdomeinen waarop spammers de protocollen SPF, DKIM, DomainKeys en DMARC correct hebben geïmplementeerd, ofwel zij sturen spam vanuit gehackte of speciaal ervoor aangemaakte accounts bij o.a. Gmail en live.com. Het is een fabeltje dat deze protocollen spam voorkomen. Ze maken het spammers wel wat lastiger, maar ze maken het alle legitieme mailverzendende domeinen minstens net zo lastig - omdat als je deze protocollen niet -of niet correct- implementeert, in toenemende mate ontvangende mailservers jouw mails als spam kunnen of zullen aanmerken.

M.b.t. phishing: met genoemde protocollen kan een ontvangende mailserver met behoorlijke zekerheid aantonen dat een e-mail is verzonden vanaf een specifiek domein. Als het afzenderdomein vervalst is, kan de ontvangende mailserver de e-mail als spam behandelen.

Klinkt prachtig, maar helpt dit ook echt op de lange termijn? Nee.

De reden daarvoor is dat veel e-mail clients (met name op portable devices) het afzenderdomein in het From: veld niet laten zien, en dat indien de e-mail client dat afzenderdomein wel laat zien, ontvangers eenvoudig om de tuin geleid kunnen worden met "lijkt-op" domeinnamen (zie https://www.security.nl/posting/567236/Overheid+waarschuwt+voor+phishingmails+die+om+DigiD+vragen#posting567294 voor voorbeelden van nep domeinnamen). In Groot Brittanië is dat overigens een stuk lastiger dan in Nederland, want e-mails van de Britse overheid hebben *.gov.uk als afzenderdomein (en het is extreem veel lastiger om als cybercrimineel een *.gov.uk domein geregistreerd te krijgen dan een *.nl domein).

Daarnaast, gebruikers zien in hun e-mail client nergens aan (tenzij ze headers bekijken, wat onmogelijk is in de meeste mobiele clients en bovendien vaardigheden vereist) of een e-mail is verzonden met deze protocollen (met bijbehorende "striktheids opties"), en of de ontvangende mailserver daar conform RFC's op heeft gecheckt.

Kortom, het enige dat protocollen als SPF, DKIM, DomainKeys en DMARC hooguit bewerkstelligen op ontvangende mailservers (mits zij daar conform specificaties op checken) is e-mails met:

1) authentiek afzenderdomein (ook nep klinkt-als domeinnamen dus!) doorlaten, meestal zonder dat de ontvanger weet of en welke checks hebben plaatsgevonden en wat wel/niet klopte (DMARC is OK als het afzenderdomein klopt in combinatie met ofwel SPF ofwel DKIM);

2) vervalst afzenderdomein blokkeren (het veiligste, maar dit gebeurt echt niet altijd) of als spam taggen - dat laatste natuurlijk met het risico dat gebruikers er alsnog mee aan de slag gaan, want ook legitieme mail komt wel eens in spamboxes terecht.

Suffe spammers en phishers die de protocollen SPF, DKIM, DomainKeys en DMARC niet (goed) begrijpen en/of goed impementeren hou je hier misschien mee tegen, maar slimme cybercriminelen niet. Spam hou je er op termijn niet mee tegen, en phishing alleen bij ontvangers die weten hoe zij het afzenderdomein zichtbaar kunnen maken en precies weten hoe het legitieme afzenderdomein van een specifieke organisatie moet luiden. Met de janboel aan *.nl domeinnamen vermoed ik: kansloos.
03-07-2018, 00:43 door Anoniem
Als ik Bitwiper goed beluister wordt dit dus dweilen met de kraan open. Zeker als je sub-domein naam ineens jouw sub-domein naam niet meer is. Zeker met de gangbare configuraties bij zekere Nederlandse providers, de goede niet te na gesproken, waar echter ook nog zaken te verbeteren zijn. Daar valt niet tegenin te sinkholen.

Als een eindgebruiker ook niet weet wat in de junkmap hoort en moet worden weggegooid en wat niet, zijn we nog ver van huis. Als je weet dat zulke mails eigenlijk nooit in je mailbox horen te komen, ben je al een eind om er niet in te hoeven trappen.

Er zal veel meer inspanning nodig zijn zowel van server als aan client-zijde. Een adres met tracking en nummers en je hebt als spammer legio mogelijkheden. Als je deze mail niet goed kan lezen is ook duidelijk, direct weg ermee.

Vroeger had iemand een spam-o-lator gemaakt die een spammer zo overlaadde, dat die huilend op de knieen smeekte er mee op te houden. Zoiets zou een overheid toch ook kunnen doen of niet?

luntrus
04-07-2018, 08:09 door Bitwiper
@luntrus, dweilen met de kraan open: klopt.

Bijv. gisteren ontving ik spam schijnbaar van info@gmail.com op mijn xs4all account - iets dat met een veilige configuratie van DMARC in combinatie met ofwel SPF, ofwel DKIM, onmogelijk zou zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.