Dank voor alle reacties! Gisteren sprak ik iemand die hetzelfde WhatsAppje had gekregen (uit heel andere hoek), maar de foute website wordt nog steeds niet geblokkeerd door Google Safe Browsing. Ook op VirusTotal is er geen detectie bijgekomen.
Een eerste reactie op 2 posts (tussen de andere verplichtingen door).
23-12-2022, 11:32 door Anoniem: Niet IT-mensen snappen toch allemaal niets van 'domein' dingen [...]
De meeste mensen snappen
wel dat als er op de gevel van een kraakpand of de keet van een controversiële motorclub ineens "Rabobank" staat, je daar beter geen zaken kunt gaan doen.
Wat ik in elk geval mis, vooral rond feestdagen, zijn de mogelijkheden om zo'n site "uit de lucht" te laten halen, bijv. via Google Safe Browsing (een afschuwelijke spionagetool van Google, maar aangezien de meeste browsers hier
toch al gebruik van maken, laten we er dan ook echt wat aan hebben).
Overheid en bedrijfsleven klagen steen en been over cybercrime, maar niemand doet wat aan dit soort ellende (met als risico gecompromitteerde PC's of andere devices van thuiswerkers).
En als https servercertificaten redelijk betrouwbaar zouden laten zien
van wie een domein is, zou dat -voor een deel van de internetters- een vervanger kunnen zijn voor het online onderscheid maken tussen een echt bankfiliaal en een motorhome (als je al niet snapt dat
lnkshort.ru foute boel is, gaan certificaten niet helpen).
Het zou (een deel van de internetters)
ook helpen als browsers (bijv. met verschillende kleuren) zouden aangeven of een website een DV-, OV- of EV-certificaat heeft. Bijna vanzelfsprekend heeft
lnkshort.ru een Let's Encrypt DV-certificaat.
23-12-2022, 11:32 door Anoniem: Te veel jargon. Daarom gaat het (bv) ook zo vaak fout met emails die met honderden naar een bcc; gestuurd worden. Wie hier weet nog wat een carbonpapiertje is?
Uhh... ze worden
juist niet naar Bcc, maar naar Cc gestuurd, en "carbon" is geen security- of ICT-jargon. Maar van mij mag Cc vervangen worden door "Copy" en Bcc door "Blind copy".
23-12-2022, 14:48 door Anoniem: Het mooie is op het 1e gezicht dat AH hun diverse acties keurig op
https://www.ah.nl/acties heeft staan.
Echter, als je een beetje naar beneden scrolled dan krijg je al een actie met link
https://albertheijn.onelink.me/Pc7E/bespaard dus inderdaad, hoe moeten klanten van AH nou snappen dat/of een link via Montenegro wel veilig is en een via Rusland niet?
[sarcasme]Het ".me" TLD is veilig, anders zou
tikkie.me daar niet zitten.[/sarcasme]
Nb. er bestaan geen veilige TLD's. Want zelfs als een TLD betrouwbaar zou zijn: websites worden gehacked.
Het
IDIOTE in dit geval is dat als je op die
albertheijn.onelink.me link klikt, en je Javascript toestaat voor dat domein, jouw browser
teruggestuurd wordt naar:
https://www.ah.nl/acties?source_caller=ui&af_dp=appie[met nog een hele riedel erachter].
Dit is dus een ordinaire "u betaalt met uw privacy" actie van AH...
Bij daadwerkelijk door derde partijen gehoste acties had AH een DNS-record voor iets als "kerstactie2022.albertheijn.nl" kunnen maken en dat naar een server van die derde partij laten wijzen, maar dat is niet zonder risico's voor AH en haar klanten (zie bijv.
https://0xpatrik.com/subdomain-takeover/).
Als een derde-partij-actie ondersteund (bijv. deels gesponsord) wordt door AH, kun je dat best verifieerbaar maken, als volgt.
Stel die actie wordt gehost door
albertheijn.superacties.xyz dan zou bovenaan die pagina kunnen staan:
Om te verifiëren dat dit echt een (nog) door Albert Heijn ondersteunde actie is, handelt u als volgt:
1) Klik op onderstaande link.
2) Controleer dan sowieso dat, in de adresbalk in uw browser, hef slotje getoond wordt, en dat het web-adres (de "URL") begint met:
• ofwel
https://www.ah.nl/• ofwel
www.ah.nl/• ofwel
ah.nl/Nb. Safari laat de afsluitende (rechts) forward slash
/ niet zien.
3) Klik, ter bevestiging, naar de link op die pagina die
terugverwijst naar deze pagina.
Als de link bedoeld bij punt 3 op de website van Albert Heijn (
ah.nl) bestaat, weet u zeker dat AH deze actie (nog steeds) steunt.
Klik nu op de volgende link:
https://www.ah.nl/acties/#superacties.xyzAls zo'n verificatiemogelijkheid
niet bestaat, is de kans zeer groot dat je belazerd wordt.
Thuiswinkel waarborg (thuiswinkel.org)Vergelijkbaar: een Thuiswinkel Waarborg logo op een site
zegt niets als je door daarop te klikken
niet op een pagina van
https://thuiswinkel.org/ (onthoud die domeinnaam inclusief het ".org" einde!) terechtkomt die de organisatie omschrijft en
teruglinkt naar de site waar je op zat.
Voorbeeld: rechts op
https://www.informatique.nl/ zie je het "thuiswinkel waarborg" logo. Als je daarop klikt kom je uit op
https://www.thuiswinkel.org/leden/informatique/certificaat. In die pagina vind je, achter "
Website", een link naar
http://www.informatique.nl (helaas niet naar
https://www.informatique.nl, een slechte zaak omdat www.informatique.nl
géén HSTS ondersteunt en bijv. in Firefox standaard http nog niet automatisch in https wordt omgezet vóórdat de verbinding wordt gemaakt).
Belangrijk hierbij is dat je goed checkt dat:
a) Voor de website van verifiërende partij Thuiswinkel Waarborg jouw browser het bekende slotje in of direct naast de adresbalk toont, en het web-adres in die balk begint met ofwel:
• ofwel
https://www.thuiswinkel.org/• ofwel
www.thuiswinkel.org/• ofwel
thuiswinkel.org/Nb. Safari laat de afsluitende (rechts) forward slash
/ niet zien.
b) De bedoelde partij (in dit voorbeeld informatique.nl) goed omschreven wordt.
c) De domeinnaam van de site waar je begon
identiek is aan de door Thuiswinkel getoonde domeinnaam.
De gedachte hierachter is dat, als je thuiswinkel.org toevertrouwt dat zij redelijkerwijs in de gaten houden dat informatique.nl een betrouwbare handelaar is, je dat niet allemaal zelf hoeft uit te zoeken (voor zover een individu dat zelf überhaupt kan doen).
Andersom: als een website
géén lid is van een
door mij vertrouwde derde partij zoals Thuiswinkel Waarborg (en/of
niet aangesloten is bij een betrouwbare branche-organisatie), dan gaan mijn haren al overeind staan.
LET OP:•
Dat een website een logo van Thuiswinkel Waarborg heeft, hoeft niks te zeggen (dit kan een gekopieerd plaatje zijn van een legitieme site).
• Ook als er een "link onder zit" (je door te klikken naar een andere site gaat), kan dat een
nepsite zijn, een foute kopie van Thuiswinkel Waarborg. Je
moet dus checken dat het echt om
https://thuiswinkel.org/ gaat.
• Als de oorspronkelijke site een nepkopie van
https://informatique.nl/ is, zou deze
óók naar de echte
https://www.thuiswinkel.org/leden/informatique/certificaat pagina kunnen verwijzen. Het is dus
noodzakelijk dat je controleert dat de naam van de website (domeinnaam, webadres) op die pagina identiek is aan de domeinnaam van de oorspronkelijke site. Het veiligst is het om het tabblad van de oorspronkelijke site te sluiten (als dat nog open staat) en op de link in de thuiswinkel.org pagina te klikken (nog veiliger is kopiëren en plakken van die link in de adresbalk, en http vervangen door https voordat je op de "Enter" knop drukt).
Disclaimer: ik ben niets meer dan een redelijk tevreden klant van Informatique (idem AH) en met thuiswinkel.org heb ik niets te maken, maar vind het wel erg handig dat ze bestaan.