Als aanvulling op wat Anoniem @17:56 en Anoniem ("#webproxy) @23:05 schreven: het is verstandig om niet "zomaar" [1] op links met (voor jou) onbekende domeinnamen te klikken.
Aan de andere kant, als je van de gebruikte PC, tablet of smartphone het besturingssysteem en de browser up-to-date houdt, zijn de risico's klein dat je meteen gehacked wordt door het openen van een webpagina.
Daarbij helpt het als de browser redelijk veilig is geconfigureerd en je je niet meteen laat verleiden om actie te nemen op basis van getoonde informatie, bijv. in popups. Ook verklein je de risico's als je, vooraf, zoveel mogelijk andere browsertabs (en/of -vensters) sluit - met name van websites waar je op bent ingelogd. Een add-on zoals NoScript helpt enorm zolang je JavaScript niet aanzet voor de betreffende site (maar soms zie je dan niks, dan wordt het gokken of je JavaScript aanzet voor die site, en eventueel voor welke domeinen naast die site zelf).
[1] Wat is "zomaar"? Toegegeven, het volgende lijkt op forensisch onderzoek en zal niet voor iedereen zijn weggelegd. Bovendien heeft dit nauwelijks zin als je niet regelmatig zulke checks uitvoert, om er gevoel voor te krijgen wat normaal is (waarschijnlijk veilig) en wat niet.
Je kunt, vóórdat je klikt, proberen informatie over de
reputatie van een website (diens domeinnaam) te verkrijgen, en waar die website in grote lijnen "over gaat". Met als voorbeeld
https://isc.sans.edu/diary/29376, kun je in bijvoorbeeld Duckduckgo of Google zoeken naar (en/of):
1)
site:isc.sans.edu2)
"isc.sans.edu" (let op: inclusief die dubbele aanhalingstekens)
3)
"isc.sans.edu" phishing4)
"isc.sans.edu" malwareMet 1) zie je door de zoekmachine gecachte informatie van de site (ook subdomeinen). Als je geen resultaten krijgt is het meestal geen bekende site, en zou ik deze minder vertrouwen.
Met 2) zie je vooral door welke andere partijen deze site genoemd wordt. Door de zoekresultaten te lezen (zonder op links te klikken) kun je vaak al een aardige indruk krijgen hoe anderen denken over het domein waar je in geïnteresseerd bent.
Met 3) en 4) kun je een indicatie krijgen of die site ooit met phishing of malware is geassocieerd. In
dit specifieke geval zullen die laatste twee véél hits kunnen geven omdat er
op security sites veel over phishing en malware geschreven kan zijn (zoals in dit geval). Weinig of geen hits garandeert geen veiligheid, maar als zo'n site is opgenomen in blocklists dan wil je er wellicht wegblijven.
Je kunt ook zoeken met
https://www.virustotal.com/gui/domain/isc.sans.edu. Géén waarschuwingen is
niet gegarandeerd safe, en één of twee
kunnen valspositieven zijn, maar meer is meestal foute boel. Virustotal is overigens van (ooit overgenomen door) Google.
Door
https://www.virustotal.com/gui/home/url te openen en een
URL in te vullen zoals
https://isc.sans.edu/ krijg je vaak net wat andere informatie. Soms kun je dan ook informatie vinden over het gebruikte https servercertificaat (waarom niet altijd, weet ik niet). Ook kun je dan, in het meest linker tabblad (Engelse titel: Summary)
opnieuw laten scannen (zinvol als het mogelijk om een recentelijk gehackte website gaat die, voor het laatst, vóór of kort na de hack is gescand).
Nb. virustotal.com
zelf kun je checken zoals ik eerder beschreef.
Door
https://crt.sh/?q=isc.sans.edu te openen krijg je een indruk van de https servercertificaten die ooit voor dat domein zijn uitgegeven, dus vooral sinds wanneer. Het bestaan van "gaten" (een tijd geen geldig certificaat) kan duiden op een malware- of phishing-domein dat een tijd "uit de lucht" is geweest (of mogelijk nog is, zoals
https://crt.sh/?q=keepas.org - dat was een nepsite). Een site die nog maar kort bestaat is vaak ook geen goed teken.
Nb. crt.sh is een site van certificaatuitgever Sectigo die https servercertificaten laat zien die met "certificate transparency" zijn uitgegeven. Zo te zien zijn zij in 2013 begonnen, oudere certificaten zie ik niet. LET OP: soms ontbreken servercertificaten op crt.sh. Soms helpt het dan om naar de zo kort mogelijke domeinnaam te zoeken, dus zonder "www." of in dit geval:
https://crt.sh/?q=sans.edu.
Terzijde, opvallend aan isc.sans.edu is dat het https servercertificaat tevens "op naam" staat van "imperva.com", een cloud-beveiliger die kennelijk door sans.edu in de arm is genomen (isc.sans.edu is nogal eens ge-ddos'ed omdat cybercriminelen niet op prijs stellen waar zij over schrijven). Ook viel mij op dat isc.sans.edu
tevens Let's Encrypt certificaten aanvraagt, mogelijk als fall-back mocht er een probleem onstaan met hun standaard certificaat-leverancier (zoals destijd met Diginotar het geval was).