Security Professionals - ipfw add deny all from eindgebruikers to any

Kerstactie AH (lnkshort.ru)

23-12-2022, 11:17 door Erik van Straten, 18 reacties
Laatst bijgewerkt: 23-12-2022, 11:25
Gisteravond zei mijn vriendin ineens: "Ik heb 800 Euro gewonnen!!!"

Ik: "Huh, met welke loterij dan?"

Zij: "Oh nee, toch niet".

Ze had een WhatsAppje van een familielid gekregen met een linkje naar hxxps://lnkshort(.)ru/DKICILCJ/ (met 'https' i.p.v. 'hxxps' en zonder de ronde haken () - bovenstaande notatie om te voorkomen dat mensen onbedoeld die site bezoeken). Mijn vriendin moest, om die prijs te krijgen, eerst het appje doorsturen naar zoveel mogelijk anderen. Een klassieke kettingbrief-scam dus.

De pagina zou zo van Albert Heijn kunnen zijn, maar is (inclusief een aantal extreem positieve reviews onderaan de pagina) natuurlijk hartstikke nep. Iedereen die voor de tweede keer op een willkeurige verrassing klikt, "wint" 800€.

Ik heb de pagina laten scannen (https://www.virustotal.com/gui/url/1245e363a0f27d68d06f546ccd5a615598977a37faf9abc2be5d25068738f4c1/summary): aanvankelijk 0 detectie, ondertussen alleen Fortinet (waar particulieren waarschijnlijk niks aan hebben).

Ik heb de site gisteravond ook aangemeld bij Google Safe Browsing, helaas tot op heden zonder resultaat.

Genoemde site lijkt in veel meer landen actief met phishing scams.

Mijn vraag aan security professionals luidt: als het mij al niet lukt om mijn vriendin op duidelijk totaal foute domeinnamen te laten letten, wat doe ik fout, en vooral, hoe pakken we dit probleem effectiever aan?

Aanvulling 11:22: deze security.nl pagina is nu al geïndexeerd door de Google zoekmachine - dat werkt een stuk beter dan safe browsing (terwijl plaatjes van de fake site al te vinden waren bovenaan de zoekresultaten).
Reacties (18)
23-12-2022, 11:32 door Anoniem
Niet IT-mensen snappen toch allemaal niets van 'domein' dingen - die kennen het woord alleen van zoiets als "Koninklijk Domein", je weet wat dat stuk bos bij Apeldoorn waar je een paar maanden per jaar niet mag komen omdat er dan gejaagd wordt te perd.
Wij als security professionals schieten te kort hier. Te veel jargon. Daarom gaat het (bv) ook zo vaak fout met emails die met honderden naar een bcc; gestuurd worden. Wie hier weet nog wat een carbonpapiertje is?
23-12-2022, 14:48 door Anoniem
Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard
dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?
23-12-2022, 15:04 door Anoniem
Door Anoniem: Niet IT-mensen snappen toch allemaal niets van 'domein' dingen - die kennen het woord alleen van zoiets als "Koninklijk Domein", je weet wat dat stuk bos bij Apeldoorn waar je een paar maanden per jaar niet mag komen omdat er dan gejaagd wordt te perd.
Wij als security professionals schieten te kort hier. Te veel jargon. Daarom gaat het (bv) ook zo vaak fout met emails die met honderden naar een bcc; gestuurd worden. Wie hier weet nog wat een carbonpapiertje is?
Je hebt gelijk dat er te veel problemen bij gebruikers neergelegd worden. Bij het oplossen van problemen kijken we vaak eerst naar technische mogelijkheden (hard/software voornamelijk), als dat niet lukt naar juridische (om met een vinger te kunnen wijzen), en als dat ook niet lukt zorgen we dat het het probleem van de gebruiker wordt.
Wel denk ik dat je mag verwachten dat gebruikers iets weten van waar ze mee bezig zijn. Als je in de auto zit en er staat ineens een groot object in de weg waar je niet omheen kan dan zullen de meesten zo hard als ze kunnen op de rem trappen, in de digitale wereld weten ze vaak nog niet eens dat ze een rem hebben of hoe gevaar eruit ziet.
23-12-2022, 17:22 door Anoniem
Nu maar hopen dat de telefoon niet besmet is.....
23-12-2022, 19:44 door Anoniem
Door Erik van Straten: Gisteravond zei mijn vriendin ineens: "Ik heb 800 Euro gewonnen!!!"

Ik: "Huh, met welke loterij dan?"

[knip kettingbrief met 'overduidelijk' foute url in een app circuit ..]

Mijn vraag aan security professionals luidt: als het mij al niet lukt om mijn vriendin op duidelijk totaal foute domeinnamen te laten letten, wat doe ik fout, en vooral, hoe pakken we dit probleem effectiever aan?

Je vraagt het natuurlijk aan de verkeerde mensen , want inderdaad , "wij" security professionals slagen hier er al decennia niet in.

Maar in elk geval welkom bij de club van security mensen die zien/ervaren *dat* "gewoon uitleggen" geen winning taktiek is.

Het _is_ ook gewoon de verkeerde vraag : hoe kan ik mensen die IT/security NIET als hobby/beroep/passie hebben, en die NIET een slagje OCD/autisme/paranoia in hun persoonlijkheid hebben TOCH leren om iedere keer over weer allerlei obscure details (ja, dat is een URL) door hun "NI" (natuurlijke intelligentie) filter te halen en beoordelen op 'plausibiliteit' en dan een keuze maken . En bereid laten zijn van alles te missen uit "voorzorg" wanneer ze twijfelen.

Dan kun je praten als brugman, hippe gameification trainingen maken - het blijft een enorm gevecht bergop .

Ik zie geen oplossing om je vriendin net zo alert te maken als je zelf bent - (op dit vlak). En dat geldt al helemaal voor gebruikers met wie je minder intensief bezig kunt zijn dan een partner.

Een heel klein deel wat misschien bereikbaar is , is niet de URL beoordelen , maar het hele concept :

Je krijgt gewoon niet zomaar gratis winst toe-geappt, en ook (of juist) tante truus heeft geen speciaal lijntje met Albert Heijn, of wat dan ook. Wil je weten wat AH voor actie heeft, ga zelf naar de site van AH . Of ga zelf naar de site van de bank, of van Ziggo .
Op vergelijkbaar vlak : colporteurs (echte), of babbeltruukers aan de deur : hetzelfde . Ze staan er niet voor jouw belang, laat ze maar een folder in de bus doen, en dan ga je zelf er eens rustig voor zitten om te kijken naar de speciale actie .
Het gaat niet om de details van de truuk van de dag of het herkennen van een authentiek uniform -(of authentieke URL) maar om het concept dat je je niet ongevraagd/onverwacht je een verhaal in laat trekken waarin je uiteindelijk iets "moet" (NU tekenen of je mist het voordeel, of "nu bij U binnen kijken" .


Dat is helaas bedrijfsmatig niet altijd mogelijk - het is normaal dat PZ CVs binnenkrijgt, en dat boekhouding "facturen" krijgt , maar in elk geval particulier zijn sommige brede (mentale) filters wel toepasbaar.


Maar IT technisch - doe een stap terug, en leef met het idee dat het een keer mis kan gaan .
Richt je aandacht/energie in een efficiente recovery - van backups , van accounts credentials - en detectie als het misgegaan is.
Het voelt natuurlijk ontzettend invasief als je gehacked zou worden - maar reeel gezien heb je als particulier ontzettend weinig van (andermans) waarde - zolang je data niet *kwijt* bent .
Een stel steppende peuters, twee burgerlullen in een trouwpak/jurk op een stoep - het is van veel waarde voor letterlijk een handjevol mensen op de wereld (nl de ouders/grootouders, het echtpaar op de mooiste dag van hun leven ) voor de rest van de wereld zijn het matige stockfoto's waar je niks aan hebt .
Tenminste - zolang je dus zelf een backup hebt - anders hebben ze inderdaad een aardige financiele waarde voor degene die de toegang kan herstellen.
Eigenlijjk zijn alleen financiele credentials zaken die voor anderen van heel directe waarde kunnen zijn, en waarvan controle door derden jou acuut veel pijn doet.


Heb je enigszins de financiele (of technische) mogelijkheden - neem een separaat device voor dingen die echt pijn zouden doen als ze gehacked/gestolen zouden worden [ik denk dat alleen bankieren, misschien DigiD daaronder vallen] , en beschouw devices voor chat en andere social media als sacrificial . Als het ermee misgaat reset/recover je de boel, zeg je sorry tegen de contacten die gespamd werden en move on.
Dus 'damage mitigation' in plaats van '(onhaalbaar) perfecte preventie' .

Nog een optie is natuurlijk om je vriendin in te ruilen voor ééntje die wel exact jouw stijl van interesse/alertheid etc heeft op IT-security technisch vlak ;-)
23-12-2022, 20:03 door Anoniem
Door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard
dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?

Nee makker, jij (of wij) zijn hier DOM .

Die marketeer is er om te verkopen, doet dat waarschijnlijk best goed - en is er niet om het probleem van een IT security man op te lossen.

Sterker, die super slimme IT nerd slaagt er niet in zo'n technisch vrij simpel verbeterbaar punt als die URL goed geregeld te krijgen .

Waarschijnlijk heb "jij" van IT zo veel gezeik, zoveel formulieren en zoveel procedures dat de marketeers allang gezien hebben dat tegen de tijd dat ze iets van jou krijgen ze de kerst actie moeten omkatten naar een paashaas actie .

Dus hebben ze budget van de baas om het gewoon op tijd te regelen, IS het op tijd geregeld, wordt er winst gemaakt waar ook "jouw" salaris van betaald wordt , en hebben de marketeers een heel gezellige borrel .
Misschien mag je ook komen, en sta jij in een hoekje met een blikje red bull tegen je IT vriendjes te praten dat iedereen zo dom is en niet naar jou luistert en hoe slecht het geregeld is.

Als jij _wel_ slim was had op tijd bedacht wat _het bedrijf waar jij voor werk nodig heeft _ (en dat is niet "nee kan niet want proces" ) , kon je de infrastructuur om z'n campagne te leveren wel goed - en op tijd - leveren - en had je die boodschap voldoende bij het management erin gekregen zodat z'n campage ook gewoon een intern project kan zijn.
De gebruikelijke reden waarom dit soort acties "extern" gaan is dat het hele bedrijf door schade en schande geleerd heeft dat "de interne IT" gewoon niet kan leveren wat voor zo'n "special" nodig is , en dat je ze beter buiten je project kunt houden want anders komt er nooit wat van de grond .

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
23-12-2022, 22:13 door Anoniem
Door Anoniem:
Door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard
dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?

Nee makker, jij (of wij) zijn hier DOM .

Die marketeer is er om te verkopen, doet dat waarschijnlijk best goed - en is er niet om het probleem van een IT security man op te lossen.

Sterker, die super slimme IT nerd slaagt er niet in zo'n technisch vrij simpel verbeterbaar punt als die URL goed geregeld te krijgen .

Waarschijnlijk heb "jij" van IT zo veel gezeik, zoveel formulieren en zoveel procedures dat de marketeers allang gezien hebben dat tegen de tijd dat ze iets van jou krijgen ze de kerst actie moeten omkatten naar een paashaas actie .

Dus hebben ze budget van de baas om het gewoon op tijd te regelen, IS het op tijd geregeld, wordt er winst gemaakt waar ook "jouw" salaris van betaald wordt , en hebben de marketeers een heel gezellige borrel .
Misschien mag je ook komen, en sta jij in een hoekje met een blikje red bull tegen je IT vriendjes te praten dat iedereen zo dom is en niet naar jou luistert en hoe slecht het geregeld is.

Als jij _wel_ slim was had op tijd bedacht wat _het bedrijf waar jij voor werk nodig heeft _ (en dat is niet "nee kan niet want proces" ) , kon je de infrastructuur om z'n campagne te leveren wel goed - en op tijd - leveren - en had je die boodschap voldoende bij het management erin gekregen zodat z'n campage ook gewoon een intern project kan zijn.
De gebruikelijke reden waarom dit soort acties "extern" gaan is dat het hele bedrijf door schade en schande geleerd heeft dat "de interne IT" gewoon niet kan leveren wat voor zo'n "special" nodig is , en dat je ze beter buiten je project kunt houden want anders komt er nooit wat van de grond .

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
Je maakt geen winst als je iedereen 800 euro moet uitbetalen.
23-12-2022, 23:47 door Anoniem
24-12-2022, 11:41 door Anoniem
Door Anoniem:
Door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard
dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?

Nee makker, jij (of wij) zijn hier DOM .

Die marketeer is er om te verkopen, doet dat waarschijnlijk best goed - en is er niet om het probleem van een IT security man op te lossen.

Maar dit is niet het probleem van een IT security man, dit is het probleem van de KLANT.
De KLANT die moet weten of een actie veilig geklikt kan worden of niet. Als de marketeer met zijn eigen oplossing
de KLANT in de problemen brengt, dan is ie DOM bezig.

De rest van dat verhaal rond hoe IT'ers hun eigen glazen ingooien dat is helemaal correct, maar dat heeft hier niets
mee te maken...
24-12-2022, 12:02 door Anoniem
Door Anoniem:

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
Je maakt geen winst als je iedereen 800 euro moet uitbetalen.

Natuurlijk maak je dan geen winst .
Maar er was ook nooit een echte actie waarin *iedereen* 800 euro kon krijgen met een klik.

Er zijn wel _andere_ echte marketing acties die bedrijven doen . (waarbij je winst of voordeel kans heel veel kleiner is dan gegarandeerd 800 euro) .
En ze doen dat nog wel eens met technisch onwenselijke URLs van externe (en vage TLD) domeinen. Daar maakte onze 'slimme' ITer zich boos over .
Ik heb de slimmerik alleen uitgelegd dat het vooral zijn (cq onze) eigen schuld is dat "domme" marketeers hun doel bereiken - desnoods met een vage url - ondanks zijn gesputter.
24-12-2022, 19:27 door Anoniem
Ik zou een nieuwe vriendin nemen
25-12-2022, 01:35 door Anoniem
Door Anoniem:
Door Anoniem:

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
Je maakt geen winst als je iedereen 800 euro moet uitbetalen.

Natuurlijk maak je dan geen winst .
Maar er was ook nooit een echte actie waarin *iedereen* 800 euro kon krijgen met een klik.

Er zijn wel _andere_ echte marketing acties die bedrijven doen . (waarbij je winst of voordeel kans heel veel kleiner is dan gegarandeerd 800 euro) .
En ze doen dat nog wel eens met technisch onwenselijke URLs van externe (en vage TLD) domeinen. Daar maakte onze 'slimme' ITer zich boos over .
Ik heb de slimmerik alleen uitgelegd dat het vooral zijn (cq onze) eigen schuld is dat "domme" marketeers hun doel bereiken - desnoods met een vage url - ondanks zijn gesputter.
Kortom, het is geen reclame, het is oplichterij. Niet op klikken, niks doorsturen!!
Wel rapporteren, zodat dit soort zaken bestraft worden. Want het kost alleen maar tijd en levert nooit iets op.
25-12-2022, 15:02 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
Je maakt geen winst als je iedereen 800 euro moet uitbetalen.

Natuurlijk maak je dan geen winst .
Maar er was ook nooit een echte actie waarin *iedereen* 800 euro kon krijgen met een klik.

Er zijn wel _andere_ echte marketing acties die bedrijven doen . (waarbij je winst of voordeel kans heel veel kleiner is dan gegarandeerd 800 euro) .
En ze doen dat nog wel eens met technisch onwenselijke URLs van externe (en vage TLD) domeinen. Daar maakte onze 'slimme' ITer zich boos over .
Ik heb de slimmerik alleen uitgelegd dat het vooral zijn (cq onze) eigen schuld is dat "domme" marketeers hun doel bereiken - desnoods met een vage url - ondanks zijn gesputter.
Kortom, het is geen reclame, het is oplichterij. Niet op klikken, niks doorsturen!!

Het blijft blijkbaar lastig , meer dan één verhaallijn volgen in een thread.

Wat Erik als TS postte was oplichterij, inderdaad, niet doorsturen, niet klikken, en evt (als dat zinvol lijkt te kunnen) rapporteren.

Echter - 23-12 14:48 postte over *wel* echte actie links vanaf Albert Heijn - met een onelink.me domein .
En wond zich op dat op die manier het verhaal "pas op met links vanaf vage domeinen" zo nog meer hopeloos wordt voor de gebruikers.
Dat op zich klopt - alleen er is een reden waarom bedrijven in dat opzicht "dom" doen - en die reden is nogal eens de "slimme" ICTers bij het bedrijf en hun gebreken - en daar ben ik op ingegaan.
26-12-2022, 14:40 door Erik van Straten - Bijgewerkt: 26-12-2022, 14:53
Dank voor alle reacties! Gisteren sprak ik iemand die hetzelfde WhatsAppje had gekregen (uit heel andere hoek), maar de foute website wordt nog steeds niet geblokkeerd door Google Safe Browsing. Ook op VirusTotal is er geen detectie bijgekomen.

Een eerste reactie op 2 posts (tussen de andere verplichtingen door).

23-12-2022, 11:32 door Anoniem: Niet IT-mensen snappen toch allemaal niets van 'domein' dingen [...]
De meeste mensen snappen wel dat als er op de gevel van een kraakpand of de keet van een controversiële motorclub ineens "Rabobank" staat, je daar beter geen zaken kunt gaan doen.

Wat ik in elk geval mis, vooral rond feestdagen, zijn de mogelijkheden om zo'n site "uit de lucht" te laten halen, bijv. via Google Safe Browsing (een afschuwelijke spionagetool van Google, maar aangezien de meeste browsers hier toch al gebruik van maken, laten we er dan ook echt wat aan hebben).

Overheid en bedrijfsleven klagen steen en been over cybercrime, maar niemand doet wat aan dit soort ellende (met als risico gecompromitteerde PC's of andere devices van thuiswerkers).

En als https servercertificaten redelijk betrouwbaar zouden laten zien van wie een domein is, zou dat -voor een deel van de internetters- een vervanger kunnen zijn voor het online onderscheid maken tussen een echt bankfiliaal en een motorhome (als je al niet snapt dat lnkshort.ru foute boel is, gaan certificaten niet helpen).

Het zou (een deel van de internetters) ook helpen als browsers (bijv. met verschillende kleuren) zouden aangeven of een website een DV-, OV- of EV-certificaat heeft. Bijna vanzelfsprekend heeft lnkshort.ru een Let's Encrypt DV-certificaat.

23-12-2022, 11:32 door Anoniem: Te veel jargon. Daarom gaat het (bv) ook zo vaak fout met emails die met honderden naar een bcc; gestuurd worden. Wie hier weet nog wat een carbonpapiertje is?
Uhh... ze worden juist niet naar Bcc, maar naar Cc gestuurd, en "carbon" is geen security- of ICT-jargon. Maar van mij mag Cc vervangen worden door "Copy" en Bcc door "Blind copy".

23-12-2022, 14:48 door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

[sarcasme]Het ".me" TLD is veilig, anders zou tikkie.me daar niet zitten.[/sarcasme]

Nb. er bestaan geen veilige TLD's. Want zelfs als een TLD betrouwbaar zou zijn: websites worden gehacked.

Het IDIOTE in dit geval is dat als je op die albertheijn.onelink.me link klikt, en je Javascript toestaat voor dat domein, jouw browser teruggestuurd wordt naar:
https://www.ah.nl/acties?source_caller=ui&af_dp=appie[met nog een hele riedel erachter].
Dit is dus een ordinaire "u betaalt met uw privacy" actie van AH...

Bij daadwerkelijk door derde partijen gehoste acties had AH een DNS-record voor iets als "kerstactie2022.albertheijn.nl" kunnen maken en dat naar een server van die derde partij laten wijzen, maar dat is niet zonder risico's voor AH en haar klanten (zie bijv. https://0xpatrik.com/subdomain-takeover/).

Als een derde-partij-actie ondersteund (bijv. deels gesponsord) wordt door AH, kun je dat best verifieerbaar maken, als volgt.

Stel die actie wordt gehost door albertheijn.superacties.xyz dan zou bovenaan die pagina kunnen staan:
Om te verifiëren dat dit echt een (nog) door Albert Heijn ondersteunde actie is, handelt u als volgt:
1) Klik op onderstaande link.
2) Controleer dan sowieso dat, in de adresbalk in uw browser, hef slotje getoond wordt, en dat het web-adres (de "URL") begint met:
• ofwel https://www.ah.nl/
• ofwel www.ah.nl/
• ofwel ah.nl/
Nb. Safari laat de afsluitende (rechts) forward slash / niet zien.
3) Klik, ter bevestiging, naar de link op die pagina die terugverwijst naar deze pagina.

Als de link bedoeld bij punt 3 op de website van Albert Heijn (ah.nl) bestaat, weet u zeker dat AH deze actie (nog steeds) steunt.

Klik nu op de volgende link: https://www.ah.nl/acties/#superacties.xyz

Als zo'n verificatiemogelijkheid niet bestaat, is de kans zeer groot dat je belazerd wordt.

Thuiswinkel waarborg (thuiswinkel.org)
Vergelijkbaar: een Thuiswinkel Waarborg logo op een site zegt niets als je door daarop te klikken niet op een pagina van https://thuiswinkel.org/ (onthoud die domeinnaam inclusief het ".org" einde!) terechtkomt die de organisatie omschrijft en teruglinkt naar de site waar je op zat.

Voorbeeld: rechts op https://www.informatique.nl/ zie je het "thuiswinkel waarborg" logo. Als je daarop klikt kom je uit op https://www.thuiswinkel.org/leden/informatique/certificaat. In die pagina vind je, achter "Website", een link naar
http://www.informatique.nl (helaas niet naar
https://www.informatique.nl, een slechte zaak omdat www.informatique.nl géén HSTS ondersteunt en bijv. in Firefox standaard http nog niet automatisch in https wordt omgezet vóórdat de verbinding wordt gemaakt).

Belangrijk hierbij is dat je goed checkt dat:
a) Voor de website van verifiërende partij Thuiswinkel Waarborg jouw browser het bekende slotje in of direct naast de adresbalk toont, en het web-adres in die balk begint met ofwel:
• ofwel https://www.thuiswinkel.org/
• ofwel www.thuiswinkel.org/
• ofwel thuiswinkel.org/
Nb. Safari laat de afsluitende (rechts) forward slash / niet zien.

b) De bedoelde partij (in dit voorbeeld informatique.nl) goed omschreven wordt.

c) De domeinnaam van de site waar je begon identiek is aan de door Thuiswinkel getoonde domeinnaam.

De gedachte hierachter is dat, als je thuiswinkel.org toevertrouwt dat zij redelijkerwijs in de gaten houden dat informatique.nl een betrouwbare handelaar is, je dat niet allemaal zelf hoeft uit te zoeken (voor zover een individu dat zelf überhaupt kan doen).

Andersom: als een website géén lid is van een door mij vertrouwde derde partij zoals Thuiswinkel Waarborg (en/of niet aangesloten is bij een betrouwbare branche-organisatie), dan gaan mijn haren al overeind staan.

LET OP:
Dat een website een logo van Thuiswinkel Waarborg heeft, hoeft niks te zeggen (dit kan een gekopieerd plaatje zijn van een legitieme site).

• Ook als er een "link onder zit" (je door te klikken naar een andere site gaat), kan dat een nepsite zijn, een foute kopie van Thuiswinkel Waarborg. Je moet dus checken dat het echt om https://thuiswinkel.org/ gaat.

• Als de oorspronkelijke site een nepkopie van https://informatique.nl/ is, zou deze óók naar de echte https://www.thuiswinkel.org/leden/informatique/certificaat pagina kunnen verwijzen. Het is dus noodzakelijk dat je controleert dat de naam van de website (domeinnaam, webadres) op die pagina identiek is aan de domeinnaam van de oorspronkelijke site. Het veiligst is het om het tabblad van de oorspronkelijke site te sluiten (als dat nog open staat) en op de link in de thuiswinkel.org pagina te klikken (nog veiliger is kopiëren en plakken van die link in de adresbalk, en http vervangen door https voordat je op de "Enter" knop drukt).

Disclaimer: ik ben niets meer dan een redelijk tevreden klant van Informatique (idem AH) en met thuiswinkel.org heb ik niets te maken, maar vind het wel erg handig dat ze bestaan.
27-12-2022, 23:03 door Erik van Straten
23-12-2022, 17:22 door Anoniem: Nu maar hopen dat de telefoon niet besmet is.....
In de malwaretips.com pagina die luntrus noemt wordt daarvoor gewaarschuwd. Maar als je op internet zoekt naar bijvoorbeeld:
"lnkshort.ru" removal
vind je veel meer van dat soort sites.

Ook in https://www.myantispyware.com/2022/12/22/lnkshort-ru-whatsapp-scam-virus-removal-guide/ is sprake van malware of gewijzigde browser-instellingen. Deze laatste pagina omschrijft de scam die ik noemde overigens het beste, alleen komt het tweede plaatje niet uit WhatsApp maar is wat je op de website ziet als je "gewonnen" hebt. De tekst uit dat plaatje is overigens met een aantal fouten een stukje verderop te zien (de auteur van het artikel is duidelijk geen kenner van de Nederlandse taal).

Terug naar de mogelijke malware: ik heb niets vreemds op de iPhone van mijn vriendin aangetroffen (ook geen gewijzigde browser-instellingen). Dat verwachtte ik overigens ook niet, dat lijkt mij niet het business-model van dit soort aanvallers; het ligt niet voor de hand dat zij een zero-day exploit "verbranden" op het soort slachtoffers dat zij maken.

Vreemd vind ik het dan ook dat (bijna?) alle advies-sites je aanraden om de één of andere vage scanner te downloaden en te draaien. Dat lijkt mij een groter risico dan dat je browser gehacked wordt door het bezoeken van een phishing-website.

Wel interessant op laatstgenoemde pagina vind ik het volgende:
Once the malicious link (which is part of the message) is clicked, it triggers a few checks using JavaScript code that validates whether the request is coming from a mobile device, such as a smartphone. If validation passes, the website obtains geolocation data for the victim’s IP address and, depending on the country, the victim may be redirected. If validation fails, the victim is redirected to a URL which displays a 404 error.
Wellicht is dit de (stompzinnige) reden dat de site nog steeds niet door Google Safe Browsing wordt geblokkeerd, en dat er geen andere virusscanners (op virustotal) bij zijn gekomen die lnkshort.ru als phishing-site aanmerken.

Hoe moeilijk kan het zijn voor een gigant als Google (maar ook de grotere op phishing-sites checkende antivirusprogramma's) om rekening te houden met dit soort trucs, zoals IP-geolocation en door de browser verstrekte apparaatgegevens en dergelijke? Hoe is het mogelijk dat kleinere partijen (waaronder malwaretips.com en myantispyware.com) al heel snel uitgebreide writeups publiceren terwijl "de grote jongens" op vakantie lijken te zijn?

Filosoferend: zouden die kleine jongens soms banden hebben met de eigenaren van o.a. lnkshort.ru en meeliften op hun succes door "slachtoffers" over te halen om een "scanner" (die dat mogelijk niet eens is) "met bijwerkingen" te laten installeren?

23-12-2022, 19:44 door Anoniem: Je vraagt het natuurlijk aan de verkeerde mensen , want inderdaad , "wij" security professionals slagen hier er al decennia niet in.

Maar in elk geval welkom bij de club van security mensen die zien/ervaren *dat* "gewoon uitleggen" geen winning taktiek is.
Het gaat mij niet alleen om uitleggen, andere (waaronder technische) oplossingen zijn ook welkom. Ik vind het bijvoorbeeld absurd dat Google Safe Browsing die site nog niet blokkeert. Wat is daar "safe" aan op deze manier?

De schade door phishing neemt steeds meer toe (zie bijv. https://www.security.nl/posting/779226/Phishingaanval+kost+gemeente+Haarlemmermeer+298_000+euro van vandaag) en is bijvoorbeeld één van de redenen waarom grotere verzamelingen patiëntendossiers, waar veel meer mensen toegang tot moeten kunnen hebben, een slecht idee zijn (zie https://security.nl/posting/778896). En idem een paspoort in je smartphone (zie https://tweakers.net/nieuws/204604/#r_18254976).

We zijn gek als we onszelf steeds afhankelijker maken van internet, terwijl een niet te verwaarlozen deel van de Nederlanders in phishing blijft trappen en we geen oplossingen hebben om dat te voorkómen.

23-12-2022, 19:44 door Anoniem: Ik zie geen oplossing om je vriendin net zo alert te maken als je zelf bent - (op dit vlak).
In elk geval begreep mijn vriendin wel dat het foute boel was toen lnkshort.ru meldde dat zij het appje naar een heel stel anderen moest doorsturen om "haar" prijs te ontvangen.

Overigens vind ik het opmerkelijk dat dit gemeld werd voordat zij gevraagd werd om haar gegevens in te vullen (zie het tweede plaatje in genoemde myantispyware.com pagina). Zou het doel dan toch zijn om mensen bang te maken dat hun browser of smartphone gehacked is, om hen zo tot het installeren van fake antivirus te verleiden?

23-12-2022, 19:44 door Anoniem: Nog een optie is natuurlijk om je vriendin in te ruilen voor ééntje die wel exact jouw stijl van interesse/alertheid etc heeft op IT-security technisch vlak ;-)
Naast dat ik gek op haar ben, zou een vakgenoot mij minder scherp houden - dus nee dank je.
27-12-2022, 23:32 door Anoniem
Door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link https://albertheijn.onelink.me/Pc7E/bespaard
dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?

Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?

Ik blokkeer al jaren domeinen zoals ".me" en ".to". Scheelt een hele bak ellende.
29-12-2022, 06:13 door Anoniem
Door Anoniem: Die marketeers zijn allemaal DOM. Ze denken dat ze hip bezig zijn maar ze zijn DOM. Wanneer leren ze dat nou eens?

Jammer dat het woord "dom" zo vaak wordt gebruikt voor elk gebrek aan inzicht. Nee, als iemand dingen niet weet of begrijpt die jij wel weet en begrijpt is die nog niet meteen dom. Er zijn hoogintelligente mensen die totaal niet in de wieg gelegd zijn voor de technische kanten van IT, maar die bijvoorbeeld ontzettend goed zijn in taal, muziek, communicatie, biologie, geneeskunde, of een van de vele, vele andere dingen waar je goed in kan zijn die toevallig geen IT zijn. Die mensen zijn niet dom, die hebben een ander talent. Mensen die je met recht dom kan noemen blinken uit in niets dat intellectuele vaardigheden vereist. Domme mensen snappen de ballen van IT, maar lang niet iedereen die de ballen van IT snapt is dom.

Door Anoniem: Nee makker, jij (of wij) zijn hier DOM .
Ook niet.

Die marketeer is er om te verkopen, doet dat waarschijnlijk best goed - en is er niet om het probleem van een IT security man op te lossen.

Sterker, die super slimme IT nerd slaagt er niet in zo'n technisch vrij simpel verbeterbaar punt als die URL goed geregeld te krijgen .
Het zit er dik in dat de IT'ers helemaal niet betrokken zijn bij de beslissing. Er is online een partij gevonden die een of andere dienst levert, daarmee is men in zee gegaan en dat heeft die link opgeleverd.

En als de IT'ers lastig genoeg zijn om te eisen dat ze erbij betrokken worden krijg je precies wat je hier beschrijft:
Waarschijnlijk heb "jij" van IT zo veel gezeik, zoveel formulieren en zoveel procedures dat de marketeers allang gezien hebben dat tegen de tijd dat ze iets van jou krijgen ze de kerst actie moeten omkatten naar een paashaas actie .
[...]
De gebruikelijke reden waarom dit soort acties "extern" gaan is dat het hele bedrijf door schade en schande geleerd heeft dat "de interne IT" gewoon niet kan leveren wat voor zo'n "special" nodig is , en dat je ze beter buiten je project kunt houden want anders komt er nooit wat van de grond .
Ik heb ooit voor een bedrijf gewerkt, met uitgebreide en complexe automatisering, waar op een gegeven moment een clubje naast de IT-afdelingen opstond dat veel geliktere applicaties veel sneller kon bouwen. Die scoorden als een gek, tot ze na een aantal jaar tot de ontdekking kwamen dat ze niet meer in staat waren de dingen die ze hadden gebouwd te overzien en te onderhouden. Toen klopten ze met hangende pootjes aan bij die trage IT'ers die een werkwijze hadden die beheersbare systemen oplevert.

Bij pakketten die werden binnengereden heb ik gezien dat er vaak voor één functie een pakket werd aangeschaft dat veel en veel meer kon. Dan kon je meemaken dat de gebruikers allerlei fraaie dingen ontdekten in dat pakket en dat ook gingen gebruiken, fraaie dingen die allang in de eigen systemen zaten. Door buiten de eigen systemen om te werken vielen allerlei koppelingen met andere systemen weg die wel van belang waren. Er ontstonden dubbele klantadminstraties die niet een op een liepen, dat soort dingen. Ook heb ik meegemaakt dat een functie waarvoor zo'n pakket niet was aangeschaft flagrante fouten bevatte en domweg niet aan wettelijke eisen voldeed, zonder dat degenen die besloten hadden het te gaan gebruiken dat hadden opgemerkt. In plaats van vanuit eisen die je eraan moet stellen te werken en die ook te controleren had men aangenomen dat het wel zou kloppen. Verder is me aan veel pakketten opgevallen dat ze enorme datamodellen hebben, veel groter dan de functie rechtvaardigt. Dat is vermoedelijk gedaan om een heel flexibele en eindeloos configureerbare opzet te hebben die in elke organisatie in te passen is. Alleen vind ik het nogal zorgwekkend dat voor één applicatie een datamodel nodig is dat groter is dan het totale eigen corporate datamodel van vele applicaties in een organisatie die bepaald geen simpele automatisering heeft.

Door heel voortvarend toe te voegen en toe te voegen stapel je complexiteit op complexiteit, en ontdek je op een gegeven moment dat je niet meer in staat bent het te overzien en te beheersen. En dan is die voortvarendheid geen voordeel meer, dan is het een blok aan je been.

Facebook is daar een mooi voorbeeld van. Die zijn heel groot en heel rijk geworden met "move fast and break things", en ze zitten nu in de situatie dat ze domweg niet weten wat hun systemen allemaal doen en welke persoonsgegevens ze verwerken. Lastig detail: om te voldoen aan de AVG moet je mensen vertellen welke persoonsgegevens je verwerkt en waarvoor. Als je dat zelf niet weet kan je onmogelijk aan de AVG voldoen. Als dat een keer op scherp komt te staan hebben ze een probleem dat ze niet kunnen oplossen.

Je bent, als IT, vrijwel altijd een ondersteundende functie . Een middel, geen doel. En op een forum als dit zie je ontzettend veel lieden met de mentaliteit dat alles en iedereen er is voor Hun Systeem . No shit - dan word je opzij gemanouvreerd.
Slim bezig.
Deel van die ondersteunende functie is ook dat je de zaak in de klauwen houdt en niet iets neerzet dat onbeheersbaar wordt. Daar hoort bij dat je er ook wat over te zeggen hebt. Als je tegen een loodgieter zegt dat hij maar een goedkoop plastic slangetje moet gebruiken voor een leiding waar druk op staat zal die dat als het goed is weigeren.

Van IT'ers wordt verwacht dat ze dat soort dingen niet weigeren. Ze moeten alles haastiger en goedkoper doen dan voor de stabiliteit op de iets langere termijn verantwoord is, anders worden ze links en rechts gepasseerd. Maar als het misgaat worden ze er wel op aangesproken. Ze krijgen de gelegenheid niet om slim bezig te zijn op die manier.
29-12-2022, 12:26 door Erik van Straten
@Anoniem 29-12-2022, 06:13: dank voor jouw reactie, zeer herkenbaar.

Toch een opmerking:
29-12-2022, 06:13 door Anoniem :Het zit er dik in dat de IT'ers helemaal niet betrokken zijn bij de beslissing.
De meeste IT'ers die ik heb meegemaakt waren net zulke kortetermijndenkers als de aanvragers van quick and dirty "oplossingen" (ook ik ben altijd een van de weinige buitenbeentjes geweest "die altijd beren op de weg zag" en daarom aanvankelijk juist niet betrokken werd, maar later wel mocht helpen puinruimen). Je doet er m.i. goed aan om de verder kijkende ICT'ers te koesteren, maar dat is zelden hun primaire taak.

Misschien is het kortetermijndenken - zonder de consequenties te (willen of kunnen) overzien - wel de grootste valkuil van de mensch (fossiele brandstoffen, onverwoestbare plastics, 300.000 kippen in één stal, alles in de cloud (en dan klagen als bijv. DANE niet wordt ondersteund) etc).

Organisaties (in de breedste zin van het woord) die beschikken over strategische denkers (vooral met vetorecht), die daadwerkelijk in alle relevante situaties worden geraadpleegd, kunnen een langere levensverwachting hebben dan zonder. Je hebt alleen alsnog een existentieel probleem als teveel mensen (klanten, burgers, stemgerechtigden), deels "tegen beter weten in", voor een kortetermijnperspectief - geleverd door een conculega - kiezen, meestal omdat dat nu goedkoper is.

M.a.w., zolang er "conculega's" zijn die het niet zo nauw nemen en zij niet worden gedwongen om informatie fatsoenlijk te beveiligen (juist omdat je meer geld overhoudt door minder te beveiligen), is het dweilen met de kraan open.

Ik weet niet zeker of je dat (o.a. het ontbreken van effectieve dwang -AVG werkt niet-, het niet kunnen zien van het verschil tussen DV, OV en EV-certificaten en geen andere effectieve maatregelen tegen phishing invoeren) toch niet "dom" zou mogen noemen - het verschil met "onverstandig" is m.i. niet zo heel groot.

Ook voor informatiebeveiliging geldt: wanneer zijn compromissen niet goed genoeg meer, wie bepaalt dat en waarom zou het opgelegde alternatief (kan ook "niks doen" zijn) de beste oplossing zijn en voor wie?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.