Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Typosquatting sites blokkade in Edge 96

21-11-2021, 10:22 door Anoniem, 7 reacties
In de release notes van Edge 96 [1] staat goed verstopt:


New warning dialog for typosquatting sites. The browser will show a warning on some sites with URLs that look very similar to other sites. This UI uses client-side heuristics to warn users about sites that might be spoofing popular web sites. For more information, see What is typosquatting?[2].

[1] https://docs.microsoft.com/en-us/deployedge/microsoft-edge-relnote-stable-channel#version-960105429-november-19
[2] https://support.microsoft.com/topic/what-is-typosquatting-54a18872-8459-4d47-b3e3-d84d9a362eb0

Nu ben ik wel benieuwd hoe dit werkt, maar het lijkt erop dat er niet veel over staat beschreven: hoe kun je jouw site bijvoorbeeld aanmelden voor de detectie, of pakken ze een door Microsoft bedachte lijst met belangrijke sites?

Heeft iemand wellicht al zitten testen hiermee?
Reacties (7)
21-11-2021, 22:30 door Anoniem
Heuristic betekent hier dat er een opportunistische inschatting wordt gemaakt. Waarschijnlijk op lettercombinaties die vaak worden misbruikt, bijvoorbeeld r + n = rn lijkt op de letter m.

Een ander voorbeeld: rnicrosoft.com (hier staat r n i c r o s o f t . c o m)
22-11-2021, 04:26 door Anoniem
Als je naar de herkomst van het woord 'heuristiek' kijkt betekent het zoiets als 'leer van het vinden'. Dat klinkt gewichtig, maar het wordt vooral gebruikt om aan te duiden dat er vuistregels worden toegepast. Zoals in de eerste reactie wordt aangegeven, regeltjes als: r+n ziet eruit als m.

Er is van alles mogelijk, maar Microsoft geeft zo te zien inderdaad niet aan hoe ze het precies doen. Daar kan ik een paar goede redenen voor bedenken. De eerste reden kan zijn dat de regels helemaal niet statisch zijn, maar voortdurend worden aangepast aan wat in de praktijk aan typosquatting wordt aangetroffen. Elke beschrijving op een website zou dan achterhaald raken waar je bij staat.

De tweede reden die ik zo weet te bedenken is dat het bekend maken van de regels typosquatters zou helpen ze te omzeilen. Ze komen er natuurlijk wel achter, en Microsoft merkt dat dan weer op en reageert door de regels bij te stellen, maar Microsoft zou zichzelf in dat kat-en-muisspel op achterstand zetten door de typosquatters de informatie op een presenteerblaadje aan te reiken. Laat ze er zelf maar achter komen.

Een generieke manier voor websitebeheerders om hun site aan te melden voor bewaking lijkt me niet zinvol, omdat "kan je mijn website ook in de gaten houden" geen inzicht geeft in hoe het bij dat domein mis kan gaan, terwijl voorbeelden van hoe het werkelijk mis is gegaan meteen alle domeinen waar het op dezelfde manier mis kan gaan helpen beschermen, inclusief domeinen die niet zijn aangemeld. Dat is de kracht van heuristieken. Microsoft heeft ongetwijfeld geregeld dat ze praktijkvoorbeelden van cybersquatting ontvangen. Ze zullen hun connecties hebben met beveiligingsonderzoekers, fraudehelpdesks, cybercrime-eenheden en andere partijen met goed zicht hebben op wat er in de praktijk gebeurt.
22-11-2021, 11:41 door Anoniem
Er wordt ook voor typosquatting preventie betaald:
https://bluecatnetworks.com/blog/what-is-typosquatting-and-how-to-protect-against-it/

Er zijn ook verschillende lijsten voor toevoeging aan blokkeer-oplossingen: https://typosquatting.whoisxmlapi.com/blog/typosquatting-daily-data-feed-the-new-enabler-in-the-fight-against-phishing-and-malware?mc=hackernoon&ref=hackernoon.com

Nooit zomaar op een link klikken uit een mail of een adres van een URL-shortener.
Heel vaak vergissen mensen zich in domein-aanduidingen, zoals co voor com en andersom.

En vaak mensen doen het van nature, zoals met spychiater in plaats van psychiater.
Daar maken cyber-onverlaten graag misbruik van.

luntrus
22-11-2021, 12:01 door Anoniem
Een zelf te implementeren oplossing vindt men hier:
https://www.whoisxmlapi.com/blog/amplify-a-blacklist-with-the-typosquatting-data-feed-a-technical-blog

typosquatting_data = pd.DataFrame(columns = ('groupno',
'dno','nmembers',
'domain', 'date'))
directory = os.fsencode(TYPOSQUATTING_DIRECTORY)
for file in os.listdir(directory):
filename = os.fsdecode(file)
if filename.endswith(".csv"):
this_df = pd.read_csv(TYPOSQUATTING_DIRECTORY + \
os.sep + \
filename, names=('groupno',
'dno',
'nmembers',
'domain'))
the_date = datetime.datetime.strptime(re.search(r'[0-9]..._[0-9]._[0-9].', filename).group(), '%Y_%m_%d')
this_df['date'] = the_date
typosquatting_data = typosquatting_data.append(this_df)
else:
continue

#sockpuppet
22-11-2021, 13:43 door [Account Verwijderd] - Bijgewerkt: 22-11-2021, 13:45
Door Anoniem: Heuristic betekent hier dat er een opportunistische inschatting wordt gemaakt. Waarschijnlijk op lettercombinaties die vaak worden misbruikt, bijvoorbeeld r + n = rn lijkt op de letter m.

Een ander voorbeeld: rnicrosoft.com (hier staat r n i c r o s o f t . c o m)

@ Anoniem,

Hemel zeg... dat is een geniepige.

Mijn ogen zijn niet meer zo best (de leeftijd) en zelfs met een bril +2 dioptrie moet ik goed kijken om het onderscheid tussen microsoft en rnicrosoft te zien.

Is het mogelijk typosquatting in de URL balk beter zichtbaar te maken, door bijvoorbeeld tot en met de domeinnaam, deze uitgerekt (extended) weer te geven?
Ik zou zo denken het niet stuit op bezwaar m.b.t. extreem lange URL's want de meeste mensen lezen ten hoogste dat wat de breedte van de URL balk toelaat.

Je laat het zelf al zien in je voorbeeld dat extended weergave de typosquatting rnicrosoft.com dan genadeloos zichtbaar maakt: r n i c r o s o f t . c o m

Het is zomaar een idee van mij als gebruiker dat misschien opgepakt zou kunnen worden door webbrowser ontwikkelaars om in ieder geval eens te kijken of dat mogelijk is. Het zou een boel ellende kunnen voorkomen naast het bijhouden van een blacklist met typosquatting URL's.
22-11-2021, 16:05 door Anoniem
google eens op "soundex code", twee woorden die sterk op elkaar lijken geven dezelfde code
23-11-2021, 07:20 door Anoniem
Maar er zijn ook taalkundige instinkers. Woorden worden niet overal gelijk gespeld. Nederlands bellen is Duits blaffen. Er is vrij veel dyslexie. Wij schrijven fraude. In het Pools is dat met de- ervoor. Ons woord sok is in het Maleis kaus met au en niet ou. Dus typosquatting zet je snel op het verkeerde been. Spelchecken i.p.v. parate spelkennis door het maken van dictees.
#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.