Die verkorte links:
Als het .ly domeinen zijn: klik gewoon niet.

er is echt geen legitiem bedrijf die een .ly link naar je toe mailt.
En als ze het wel doen zijn ze je niet waard.

Dude, onze cyberteachers sturen ons zelfs bit{.}ly links -.-. En dan krijg je natuurlijk te horen "neejoh niet zo paranoia doen over dit soort links" ach teerd tieft straalt toch een end op. Ik wil me geld terug..

Je moet sowieso nooit verkorte links gebruiken, er ook niet op klikken.

Er zijn zelfs banken die .me als TLD gebruiken voor links!
Totaal van de pot gerukt natuurlijk en een probleem bij uitleg die je vertelt dat je op de domeinnaam in de link moet letten.

Dan zit er maar 1 ding op: aanmerken als spam :).

Voor degenen die twijfelen over verkorte URL's: de infographic is wat geblurred, maar in het origineel staat een verwijzing naar https://checkjelinkje.nl/ waarmee je kunt zien op welke site een verkorte URL waarschijnlijk uitkomt. Als dat niet goed werkt (of niet meer omdat de doelsite al uit de lucht is gehaald) zit het er dik in dat die verkorte URL ook "foute boel" is.

Wel jammer is dat alleen checkjelinkje.nl wordt aangeraden, terwijl bv. https://searchdns.netcraft.com en https://urlscan.io/products/phishingfeed/ of zelfs virustotal veel meer informatie bevat over of een website legitiem is of niet.
Checkjelinkje.nl is echt heel beperkt. Gooi maar eens wat leuke urls erin waarvan je zeker weet dat het foute boel is, meeste geven geen probleem.

Maar wees eens eerlijk: als je ook maar enigzins twijfelt over een link, dan ga je toch niet naar een andere site om hem uit te proberen? Klik gewoon niet en laat de mail lekker in de prullenbak belanden.

En hoe weet je dat https://checkjelinkje.nl niet malafide is?

Ik snap dat je post goed is bedoeld, maar voor een normale gebruiker is het niet te begrijpen wat je wel of niet kunt vertrouwen.

Het primaire doel van sites als Checkjelinkje.nl is laten zien op welke site je uit zou komen als je op een verkorte URL zou klikken, niet om je te waarschuwen of een site kwaadaardig is (of gehacked is en er een kwaadaardige pagina aan is toegevoegd).

Als UvA studenten/medewerkers een overtuigende mail ontvangen met daarin "ga naar s.id/uvaww om uw wachtwoord te wijzigen" dan zou dat legitiem kunnen zijn (of niet natuurlijk, bijv. s.id/porto-tarief [*] was vandaag een foute link).

[*] Bron: https://github.com/mitchellkrogza/Phishing.Database/blob/master/phishing-links-NEW-today.txt

Door s.id/uvaww in te voeren in https://checkjelinkje.nl/ kun je kijken waar je uitkomt. Momenteel nergens, want die uvaww heb ik verzonnen; checkjelinkje liet mij wel zien dat s.id/porto-tarief mij naar hxxps://verzendopdracht-bevestigen[.]ga/PostNL/PostNL.php?trxid=5ec7e87236a3a zou sturen, een phishingsite die momenteel live is en je vraagt om 0,67 Euro over te maken (zo te zien met betaalschermen voor alle NL banken).

Het voordeel van het gebruik van checkjelinkje is dat je ook op een klein scherm (smartphone) de hele domeinnaam ziet, zonder te worden afgeleid door logo's e.d. op de mogelijk fake pagina. Studenten en medewerkers van hogescholen en universiteiten zullen voor hun studie of werk op links moeten klikken, en helaas bestaan er fans van URL-shorteners. Ik zie geen andere mogelijkheid dan dat zij (UvA/HvA mensen, maar feitelijk iedereen) leren herkennen welke domeinnamen van bekende sites zijn en dus waarschijnlijk betrouwbaar zijn. Dus niet alleen de associatie kennen van organisatie naar domeinnaam, maar ook andersom van een domeinnaam weten of deze van de bedoelde organisatie is.

Overigens geeft https://searchdns.netcraft.com info over s.id (niet boeiend). Virustotal loopt bij s.id/porto-tarief wel de link af en 8 scanners slaan momenteel alarm (https://www.virustotal.com/gui/url/586fba9d44679d20547e2767c410035109c707dfa2277cbedc1f2be141dc01bd/) maar bij een verse phishingpagina begint dat met nul. M.a.w. sites als Virustotal bieden geen garantie dat een kwaadaardige pagina als kwaadaardig wordt gezien, zeker niet als zo'n fake site uitsluitend een phishingpagina laat zien als gesurfed wordt vanaf een IP-adres uit de reeks van de UvA.

Met name in de situatie van targeted attacks is het belangrijk dat mensen snappen waar ze op moeten letten (om te beginnen de domeinnaam). Ik vind de infographic dan ook zeer verhelderend.

Die luxe heb je niet altijd. Ik heb genoeg mails gezien waarvan ik niet kon opmaken of deze legitiem waren of niet, vooral niet als het afzender-account gehacked is (met de gemelde golf van phishing-scams zijn er altijd wel een paar mensen die daar intrappen, en als je pech hebt zit daar een systeembeheerder bij - dan gaat het al snel van kwaad tot erger).

In dat geval: roep maar of deze veilig is:

http://t.co/BoOndfOQbp?amp=1 (ja, dat is hij, maar checkjelinkje laat je totaal niets zien, zelfs niet waar dit uitkomt).

Urlscan wel, zelfs met screenshot erbij en dat zij hem niet kennen.
Virustotal wel, met suggestie van paar virusscanners erbij.

Begrijp mij niet verkeerd: het is een mooi initiatief, maar het lijkt wel alsof de ontwikkeling al een tijdje stil ligt.


Als het klikken op een link in een mail een verplichting is: reken er maar op dat het phishing is.
Het is nooit een luxe om niet te klikken.

Grappig dat ik niemand dit heb zien reaguren, wanneer je een + (plus teken) achter de shortURL typt dan ga je bij veel shortURL sites naar de statistiekpagina van de desbetreffende link. Je kunt daar meestal ook de longURL zien.

Deze statistiek sites geven best wel wat inzicht, zeker als ze niet zoveel gebruikt zijn, kun je vaak zien waar de boefjes vandaan komen, want ze proberen vaak of de link werkt.

Dat laatste daar ben ik het in iedergeval volledig mee eens. Als er geen standaard checklistje klaar ligt voor mensen (voor iedereen dus van hacker tot student) dan is het vrij lastig om in een drukke werk sfeer snel te zien wat wel en niet phishing is.

Dat is een heel andere nuttige insteek....
Aleen ik zie niet hoe dat eenvoudig betrouwbaar te doen

Daarom staan bij ons dergelijke url verkorters op de dns-blocklist. Ook al klikken medewerkers er op, de links werken gewoon niet. Dat dwingt de mensen om de links via een andere methode te controleren.

De url verkorters zijn uitgevonden om niet een hele lange url in te hoeven tikken. In linkjes speelt dat niet en is het gebruik direct al verdacht.

Er zijn hele (publieke wifi) providers waar dat (in iedergeval soms) gebeurd. Voorbeeldje https://twitter.com/Scott_Helme/status/950472872304226304/photo/1.


En precies dat speelt eigenlijk nergens meer. Behalve op papier en bij SMS (beperkte tekens). En op papier zijn juist die .ly linkjes niet handig, want L I en I en i en zelfs 1 worden dwars dwars door elkaar gebruikt, en een typo is een andere site. En in een SMS gebruiken bedrijven gewoon hun bedrijfs-shortner ( bedrijf.nl/kort ), omdat zo een .ly er te slordig uitziet.

Ow ja, en bij de politie in NL Alerts.... we all know how that ended: https://tweakers.net/geek/155878/nederlandse-politie-stuurt-per-abuis-link-naar-erotische-site-naar-1900-mensen.html.

Het was ooit voor twitter.... heeel lang geleden toen de lengte van URLs daar telde. Is al jaren niet meer het geval, elke URL telt precies als 23 tekens daar.

Je leest niet wat ik schreef.

Hier heb je een punt. Kennelijk blokkeert Twitter toegang tot t.co vanuit de systemen van Checkjelinkje.

De reden dat Twitter elke link die Twitteraars plaatsen omzet in een t.co link, is hoogstwaarschijnlijk dat Twitter precies willen weten wie wanneer op welke link in welke tweet klikt, en dat komen ze niet te weten als gebruikers hun systeem omzeilen met zoiets als Checkjelinkje. Daarbij is t.co niet persé een URL-verkorter (overtikken van de URL die je gaf is niet handig). Maar je hebt gelijk dat cybercriminelen hier misbruik van kunnen maken.

Overigens wil Google ook precies weten wie wanneer op een zoekresultaat klikt. Ik verwachtte dat ook Google Checkjelinkje zou blokkeren, maar dat is (nog) niet zo: als je https://www.google.com/url?q=https://www.security.nl/posting/691058/Phishingaanval%2Bop%2Bstudenten%2Ben%2Bmedewerkers%2BUvA%2Ben%2BHvA&sa=U&ved=2ahUKEwjQ65WY0vruAhXF-KQKHZ0HBBUQFjAAegQIABAB&usg=AOvVaw2YASGObly5mTBFVrkPnNLU invoert in Checkjelinkje, krijg je wel de URL naar deze pagina te zien.

Je negeert wat ik schreef over targeted attacks en wat geldt voor zojuist verschenen foute sites. Je kunt er gewoon niet van uitgaan dat een site "OK" is als virustotal, urlscan etc. geen problemen melden.

Dat zij geblokkeerd worden door t.co betekent niet dat de ontwikkeling stil ligt. Wel bestaat het risico dat jouw browser op een andere site uitkomt en/of andere content krijgt aangeboden dan als je dezelfde URL invoert op Checkjelinkje, urlscan.io, Virustotal etc. Dit kan zelfs anders zijn als je vanaf hetzelfde device met twee verschillende browsers een URL opent, en ook kan het afhangen van de referrer. Cybercriminelen zullen er alles aan doen om zo lang mogelijk onder de radar van detectors van kwaadaardige sites te blijven.

Ik heb geen zin in welles/nietes spelletjes, maar in de praktijk worden er veel mails met links en/of bijlagen verzonden en is het voor werk of onderzoek noodzakelijk dat je daar iets mee doet. Vooral in een situatie met gecompromitteerde systemen, zeker als dat soort situaties nooit geoefend zijn, vindt communicatie met stakeholders vaak onzorgvuldig plaats waardoor die stakeholders niet weten welke informatie authentiek is en welke niet. Immers, het verzoek om je wachtwoord(en) te wijzigen of het downloaden en draaien van een scantool kan legitiem zijn in zo'n situatie.

Precies daarom is het zo belangrijk dat je, voordat je iets doet op een website (of informatie daarop voor authentiek aanneemt) checkt of de domeinnaam van die website van een organisatie is die je voldoende vertrouwt - en dat een slotje getoond wordt (ten teken dat de getoonde domeinnaam is geauthenticeerd en de verbinding is versleuteld). En dat je je daarbij niet laat afleiden door informatie op de getoonde pagina, want die kan eenvoudig zijn gekopieerd vanaf de echte pagina.

Sites als Checkjelinkje kunnen helpen in het geval van verkorte URL's, maar zekerheid heb je niet. Sites die je vertellen of een URL naar een onbetrouwbare website leidt hebben dat, in elk geval aanvankelijk, vaak fout. Als je geen verstand van zaken hebt moet je daar m.i. niet op vertrouwen.

Link checker rapport zegt genoeg:
https://www.psafe.com/dfndr-lab/wp-content/uploads/2020/11/PSafes-cybersecurity-report-2019.pdf

Link checker hier: https://www.psafe.com/dfndr-lab/ (1 der vele online link-checkers)

Via knippen en plakken checken van uri's kan natuurlijk ook.
Zonder deze mogelijk gevaarlijke links ooit aan of door te klikken.

Bijvoorbeeld bij Virus Total url check en zoek dan eens onder relatie's, IP.
Via shodan.io voor kwetsbaarheden op de achterliggende server.
Via hackertarget dot com op verkeerde website-configuraties en verouderde code.
Bij webhint.io voor verbeter-adviezen, Mozilla Laboratorium,
CSP misconfiguraties, af te voeren code en code-fouten (inline scripts), t
racking overzichten etc. etc.

Kijk ook eens hier wat er dagelijks allemaal aan cybercriminelel zooi op ons allen losgelaten wordt:
https://urlhaus.abuse.ch/browse/

Stuur er langs en blijf er weg van. '

Goede week gewenst door,

luntrus

Wat denkt u van dit soort nieuwe phishing aanval, die werd waargenomen?
Lees erover hier: https://www.greathorn.com/blog-new-phishing-attack-identified-malformed-url-prefixes/

Het enige wat ervoor nodig is, is de nodoge kennis hebben van mogelijke varianten op een werkzame uri en hoppeta.

Vooraf links testen op eventuele kwaadaardigheid is nu wel noodzaak.

So look before you leap, becomes look before you click.
Folks, mind your clicks!

#sockpuppet