Door Anoniem: Fantastisch. Ongeacht wat de rest van de security community er van vond, ik vond EV certificates toch altijd wel een zeker nut hebben - niet perfect, maar toch een paar stappen moeilijker dan DVs.
[...]
Dank voor alle reacties! EV was niet perfect, maar van grootschalig misbruik was geen sprake. Bij alle argumentaties waarom EV "waardeloos" zou zijn, wordt verwezen naar één incident m.b.t. "Stripe, Inc" - beschreven door onderzoeker Ian Carrol (zie bijv. [1]). Helaas zegt EV ook niets over de betrouwbaarheid van de eigenaar van een website, noch iets over de wijze waarop gegevens beveiligd worden en wie (en hoeveel mensen) daar allemaal bij kunnen; wel vergroten ze de pakkans van cybercriminelen.
[1]
https://arstechnica.com/information-technology/2017/12/nope-this-isnt-the-https-validated-stripe-website-you-think-it-is/Keerzijde: zeer veel "post" phishingIn een blog van augustus ([2]) over de wereldwijde "pakket kon niet worden afgeleverd" phishing campagne van de, naar verluidt Chinese, "Chenlun aka Sinkinto01" cybercriminelen, wordt
postnl.post als de officiële PostNL site aangemerkt. Later schreef ook Brian Krebs [3] over die kennelijk "succesvolle" scammers, recentelijk gevolgd door DomainTools ([4]). Nu steeds meer Nederlandse Maestro bankpassen door debit/creditcards worden vervangen, verwacht ik een toename van dit soort scams in Nederland.
[2]
https://g0njxa.medium.com/chenlun-a-worldwide-phishing-carding-campaigns-provider-a45c4fed6d1b[3]
https://krebsonsecurity.com/2023/10/phishers-spoof-usps-12-other-natl-postal-services/[4]
https://www.domaintools.com/resources/blog/merry-phishmas-beware-us-postal-service-phishing-during-the-holidays/Die Chenlun groep heeft zeker al honderden en mogelijk tienduizenden domeinnamen geregistreerd en daar DV certificaten voor verkregen (weet ik uit eigen onderzoek). Ik vermoed dat zij steeds nieuwe (semi-willekeurige) domeinnamen registreren zodra bestaande domeinnamen op blocklists, zoals Google Safe Browsing, terechtkomen - terwijl, naast Let's Encrypt, ook Google en andere DV-certificaatverstrekkers, willens en wetens, schier eindeloos gratis certificaten blijven uitgeven voor websites van die phishers. Google + andere DNS-providers, en goedkope hosters (zoals Fastly, zie ook [5]), lobbyen niet voor niets voor DV-certs (en steunen tevens Mozilla, EFF en Let's Encrypt financieel) - waarmee zij ook cybercrime faciliteren.
[5]
https://tweakers.net/plan/4086/#r_19435098Terug naar postnl.postAls je de certificaten uitgegeven voor
postnl.post bekijkt zie je daar ook
postnl.nl en subdomeinnamen eindigend op
.postnl.nl in staan. Tenzij er bij die certificaatuitgifte iets heel erg mis gaat, ga ik er vanuit dat het om dezelfde eigenaar gaat.
Het beperkt zich echter niet tot
postnl.post:
•
https://post.nl/ werkt niet, maar
http://post.nl/ stuurt jouw browser door naar
https://postnl.nl/ (tenzij een AitM je naar een andere site stuurt. Dat kan niet als je
https only in jouw browser hebt ingesteld, maar dan kom je weer niet zomaar uit op
https://postnl.nl/).
•
https://nl.post/ werkt niet (resolvt niet, address not found), maar
https://stamps.nl.post/ werkt
wél (
nl.post is dus,
op dit moment, ook van PostNL - je moet het maar weten).
• Ook de domeinnaam in
https://postnlpunt.nl/ resolvt niet, maar de domeinnaam in
https://bestellen.stg.postnlpunt.nl/ wel - die mijn browser doorstuurt naar
https://mijnpostnl--uat.sandbox.my.site.com/mijnpostnlpunt/s/login/?language=nl_NL (flink ingekort, werkt wel) - een pagina waarop je moet inloggen, die ik op geen enkele wijze van een phishingpagina kan onderscheiden (
site.com is niet van PostNL).
Op dit moment zijn, zo te zien (in certificaten), de volgende domeinnamen ook van PostNL:
• crossborderreturns.com
• spring-gds.com
• springtracking.com
• adreskenmerken.eu
• cldsvc.net
• floraathome.nl
• postnlpakketten.nl
• internationalparceltracking.com
• mijnpostnl.nl
• postnl.be
• mijnpostnl.be
• monpostnl.be
• mypostnl.be
• postnl.com
• loginpostnl.net
Lastig is dat niet alle websites met genoemde domeinnamen jouw browser doorsturen naar
[*.]postnl.nl (zodat bezoekers uitluitend
postnl.nl of eindigend op
.postnl.nl hoeven te onthouden). En zodra PostNL de registratie van zo'n domeinnaam niet verlengt is deze bemachtigen natuurlijk de kers op de taart voor cybercriminelen.
Bron:
https://crt.sh/, o.a.
https://crt.sh/?q=postnl.post en bijvoorbeeld
https://crt.sh/?id=11395054293 (met in die laatste een lijst met alternatieve domeinnamen, waaronder ook (eindigend op .)
postnl.nl).