Dank aan allen die het opnemen voor de slachtoffers van identiteitsfraude, ongeacht of dat er (in 2022) nou 10.000 of veel meer waren.
CybercrimeAangezien de meest zinvolle reacties lijken te zijn gegeven, en de discussie helaas verzand is in een dispuut met reageerders die niet lezen en sowieso onvoorwaardelijk overtuigd zijn van hun gelijk, schrijf ik een -wellicht off-topic gevonden- reactie.
Namelijk dat op het huidige internet cybercrime welig tiert - en niemand die er iets tegen lijkt te willen of kunnen doen. Dit is een cadeautje voor cybercriminelen, die zich steeds "onaantastbaarder" wanen. Eén afwijkend karakter in een domeinnaam kan al het verschil maken tussen een echte website en een ogenschijnlijk (inhoudelijk) identieke nepsite, waarna ook identiteitsfraude op de loer ligt (vooral als je identiteitsfraude "breed" interpreteert, zoals dat een ander, met jouw credentials en/of creditcard, jouw rekening plundert).
Live AitM aanvallenVoor het uitvoeren van
live AitM aanvallen (om ook 2FA/MFA te kapen) kunnen "evil proxy" tools zoals Evilginx door iedereen worden gedownload (dat dit kan vind ik an sich niet bezwaarlijk, omdat deze ook voor security-awareness trainingen kunnen worden gebruikt; als ze niet algemeen beschikaar waren zouden ze wel op het dark web te vinden zijn).
Postpakket-scamsVoor het enorme aantal "postpakket" nepsites (elke dag komen er veel nieuwe domeinnamen bij), waar slachtoffers middels een nepbericht naartoe gestuurd worden - zogenaamd omdat een pakketje niet kon worden afgeleverd, er onvoldoende gefrankeerd is of invoerbelasting moet worden voldaan etcetera. Vaak kun je op meerdere manieren betalen, maar bij dit soort sites wijkt het (uiteindelijk) van je rekening afgeschreven geldbedrag enorm af van het aangekondigde (en heb je heel veel identificerende gegevens moeten prijsgeven voordat je verder kon - waar later nog meer fraude mee gepleegd wordt). En dat "nog niet afgeleverde pakketje" krijg je natuurlijk nooit.
Zodra eID's meer gangbaar zijn (er zijn al heel veel fake "itsme.be" en "digid.nl" met meer of minder afwijkende "zou-van-die-organisatie-kunnen-zijn" domeinnamen), zullen dit soort criminelen eisen dat je online aurhenticeert om jouw pakketje te kunnen ontvangen.
Veel meer soorten nepsites, vervalste e-mailafzenders etc.Naast sites met postpakket-scams bestaan er nog veel meer soorten nepsites (met en zonder login-mogelijkheid) waarop je op allerlei manieren kunt worden opgelicht (cybercriminelen zijn zeer creatief). Ook bij e-mail maken cybercriminelen dankbaar misbruik van de mogelijkheden voor impersonatie, waar we -tot nu toe- geen waterdichte oplossingen tegen hebben kunnen vinden.
Internet is door en door verrotHet internet is simpelweg door en door verrot en mede daarom ongeschikt voor identiteits-kritische toepassingen; veel te veel mensen zijn eenvoudig te foppen - en vangnetten ontbreken (omdat o.a. banken, aandeelhouders, en klanten die bang zijn dat bankieren
nóg duurder wordt, dat niet willen), ondanks dat de winsten van banken tegen de plinten klotsen (zoals bijvoorbeeld hier beschreven:
https://www.rtlnieuws.nl/economie/bedrijven/artikel/5432539/hoeveel-winst-heeft-ing-gemaakt-2023-73-miljard-verdubbeld).
Whois is NIET de oplossingM.b.t. het openbaar maken, via whois, van gegevens van personen die domeinnamen registreren: dat is m.i. grotendeels zinloos om de volgende redenen:
1) DNS-boeren horen dergelijke gegevens al te registreren en beschikbaar te stellen aan justitie als die laatste daar een inzagevoerzoek voor doet (wat in veel landen kansloos is). Privacywetgeving staat toe dat deze gegevens worden achtergehouden voor het grote publiek.
2) Uit
https://www.netcraft.com/blog/health-product-scam-campaigns-abusing-cheap-tlds/:
Door Netcraft, January 16, 2024: [...]
Netcraft found that domains in the .cloud and .sbs gTLDs can be acquired for $0.99.
[...]
Registrar gen.xyz offers domains for as low as $0.99 per year. This is as cheap as domain names have been since Freenom halted registrations of its free domains earlier this year.
[...]
Het is omogelijk om voor kleine bedragen, zeker voor $0,99 per jaar, naast de noodzakelijke DNS-gerelateerde services, een betrouwbare authenticatie van een huurder van een domeinnaam uit te voeren. Vooral niet omdat ook hier "natuurlijk" alles online plaatsvindt. Het is een illusie om te denken dat slimme cybercriminelen onder hun eigen naam domeinnamen huren.
3) DNS boeren verkopen niet alleen domeinnamen voor websites. Aan een domeinnaam die niet met
www. begint kun je niet zien of het om een adres van een website gaat (trouwens ook andersom niet, niemand belet je om op een domeinnaam die begint met
www. géén website aan te bieden maar bijv. wel een SSH-server). Daarom is het onlogisch als bijvoorbeeld het CA/Browser-forum zich misdragende DNS-boeren zou buitensluiten (voor zover browsers dat überhaupt zouden kunnen) of op andere wijze sanctioneren.
4) Er zijn zat "bullet-proof" hosters, maar ook gewone Big Tech, die er
geen enkel probleem mee hebben om geld aan te verdienen aan de verhuur van servers waarop phishing-sites en/of malware wordt gehost. Voorbeelden:
4.a) Een Russische hoster:
https://www.virustotal.com/gui/ip-address/213.226.123.24/relations, eerdere voorbeelden daaruit (In de genoemde "n/89" is "n" steeds het aantal, van in totaal 89, virusscanners dat alarm slaat op genoemde domeinnaam):
2024-02-02 0/89 webinfo-bunq.com
2024-01-31 10/89 bank-santander.verify-personal-info.online
2024-01-31 0/89 web-bunqonline.com
2024-01-30 0/89 visma-ubetalt.com
2024-01-29 0/89 betaling-visma.net
2024-01-28 0/89 mygov-login-au.net
2024-01-27 11/89 mijnbelastingdienst-bs7372891.info
2024-01-26 0/89 mijnbelastingdienst-bs3565846.info
2024-01-25 4/89 belastingdienst-bs7383812.info
2024-01-25 6/89 belastingdienst-bs4828393.info
4.b) Akamai:
https://www.virustotal.com/gui/ip-address/173.255.204.62/relations, voorbeelden:
2024-02-01 17/89 my-package-tracking.net
2024-02-01 6/89 track-my-parcel.org
2024-01-26 11/89 o-paketverfolgung.com
2024-01-26 14/89 my-parcel-tracking.org
2024-01-25 19/89 jqueurystatic.com
2024-01-25 15/89 s-paketverfolgung.com
2024-01-24 17/89 freepcgamee.com
2024-01-22 9/89 serpost-track.com
2024-01-21 15/89 verfolgen-sendung.net
2024-01-21 16/89 m-sendungsverfolgung.org
2024-01-21 12/89 mein-kontoauszug.net
2024-01-20 16/89 sendung-verfolgen.net
2024-01-18 11/89 e-paketverfolgung.com
4.c) Google:
https://www.virustotal.com/gui/ip-address/216.239.36.21/relations, voorbeelden:
2024-02-03 5/89 posts-ctt.net
2024-02-03 11/89 reverifyaccount-coinbase.com
2024-02-03 10/89 lnterbank-pe.com
2024-01-27 10/89 mydhl-express.com
2024-01-27 10/89 myaccount-suspension.com
2024-01-27 1/89 info-update.online
Bovendien verdient Google vet aan advertenties (vooral in haar zoekmachine) waarin je naar nepites met malware gestuurd wordt, als je bijv. zoekt naar KeePass of andere security tools en utilities.
4.d) Amazon:
https://www.virustotal.com/gui/ip-address/199.59.243.225/relations, voorbeelden:
2024-02-03 0/89 www.0awx8e.jp.bitcoin.comwww.cash2.de
2024-02-03 0/89 ns4.peterskot.com
2024-02-03 0/89 admin.xn--elektrizittsversorgung-solingen-zvc.de
2024-02-03 0/89 admin.xn--elektrizitt-saarbrcken-94b89c.de
2024-02-03 0/89 www.admin.xn--elektrizittsversorgung-solingen-zvc.de
2024-02-03 0/89 www.admin.xn--elektrizitt-saarbrcken-94b89c.de
2024-01-31 0/89 ftp.xn--elektrizitt-baden-wuerttemberg-4sc.de
2024-01-31 0/89 ftp.xn--elektrizittsversorgung-mecklenburg-vorpommern-z0d.de
2024-01-31 0/89 ftp.xn--elektrizittsversorgung-schleswig-holstein-kpd.de
2024-01-31 0/89 www.www.www.mail.burgdesign.de
2024-01-31 0/89 ftp.www.www.www.mail.burgdesign.de
2024-01-31 0/89 ftp.mobile.sitemap.youngandold.de
2024-01-31 0/89 ferienwohnungen-slowenien.de
2024-01-31 0/89 mta-sts.ferienwohnungen-slowenien.de
2024-01-31 0/89 ftp.mta-sts.ferienwohnungen-slowenien.de
2024-01-31 0/89 webmail.tdbank-activate.com
2024-01-31 0/89 ftp.sparkasseworms.de
De meeste of alle van de direct hierboven genoemde domeinnamen zijn geregistreerd door "domain parking" boeren (de lijst met ftp.* was nog véél langer, complete idioterie natuurlijk, want het ftp protocol is "uit"). Ik vermoed dat men domeinnamen zo laat "rijpen". Naarmate ze langer bestaan -vaak met meerdere (onzinnige) subdomeinnamen-, virusscanners er (nog) niks op vinden en ze niet op blocklists worden opgenomen, neemt de
waarde ervan toe voor
echte scammers.
4.e) Cloudflare:
https://www.virustotal.com/gui/ip-address/188.114.96.0/relations, voorbeelden:
2024-02-03 4/89 api.marake.org
2024-02-03 2/89 marake.org
2024-02-03 9/89 crackplease.com
2024-02-02 0/89 vitalikcreatedethereumtobethenewworldorderscurrency.shop
2024-02-02 11/89 pan.tenire.com
2024-02-02 14/89 486927928cm.whiteproducts.ru
2024-02-01 19/89 magic.poisontoolz.com
2024-02-01 14/89 power.poisontoolz.com
2024-01-31 13/89 l935913cm.nyashmyash.top
2024-01-31 19/89 kalnet.top
2024-01-31 12/89 vip-playstory.xyz
2024-01-31 12/89 zepetto.online
2024-01-31 7/89 ftp.mse.com.cy
2024-01-31 9/89 softwarecrack.net
2024-01-30 1/89 login-midstream-outlook.com
2024-01-30 1/89 docsign.eu1-cloudshare.com
2024-01-30 0/89 gooqle.com.br
4.f) Ook Cloudflare:
https://www.virustotal.com/gui/ip-address/104.17.123.55/relations:
2024-02-02 17/89 partial-mega-nickel-arrivals.trycloudflare.com
2024-02-02 10/89 harder-innocent-clicking-ieee.trycloudflare.com
2024-02-02 11/89 political-msgstr-concept-famous.trycloudflare.com
2024-02-02 10/89 athletic-thing-motherboard-juan.trycloudflare.com
2024-02-02 11/89 lone-rainbow-payable-stickers.trycloudflare.com
2024-02-02 11/89 acquire-tex-strange-pending.trycloudflare.com
2024-02-01 11/89 collector-context-traffic-incorrect.trycloudflare.com
2024-01-31 11/89 traveling-bend-button-rendering.trycloudflare.com
2024-01-31 12/89 identification-automated-cast-equations.trycloudflare.com
2024-01-31 12/89 incidents-excessive-conservation-douglas.trycloudflare.com
Scammers proberen hier voortdurend nepsites met schijnbaar willekeurige subdomeinnamen zo lang als mogelijk online te houden. Het is een kat-en-muisspel: sites komen online en worden vaak snel op blocklists gezet en/of offline gehaald, maar er is bijna altijd een tijdvenster waarin slachtoffers (die niet op domeinnamen letten, maar een website zien die inhoudelijk overeenkomt met wat zij verwachtten toen ze op een phishing-link klikten) opgelicht worden.
Nog twee Cloudflare IP-adressen, waarop je ook veel foute *.workers.dev sites kunt vinden, zijn
https://www.virustotal.com/gui/ip-address/104.21.72.252/relationshttps://www.virustotal.com/gui/ip-address/172.67.156.1/relations.
Zo kan ik nog veel meer ellende opsommen. Door zelf op één of meerdere van alle bovengenoemde virustotal-links te klikken zul je, in de meeste gevallen, zien dat er alweer nieuwe junk is bijgekomen.
ConclusieHet is "leuk" en wellicht "vrijheid van meningsuiting" dat elke dwaas en/of crimineel, voor zeer weinig geld en anoniem (of liegend over diens identiteit) een website online kan brengen, in bijna alle gevallen voorzien van een https servercertificaat (waarvan ik vaak genoeg heb gewaarschuwd over het zwaar overschatte nut daarvan voor doorsnee mensen). Het alsmaar groeiende aantal (deels misleidende) TLD's maakt het er voor internetters alleen maar ingewikkelder op (.co is niet .com en .nI is niet .nl).
Probleem: er bestaat geen enkele betrouwbare manier meer om authentieke en serieuze websites te onderscheiden van zinloze of ronduit kwaadaardige troep.
Weinig weldenkende mensen zullen geld proberen te "trekken" uit een geldautomaat aan de buitenmuur van een obscuur honk van een foute motorclub op een luguber industrieterrein (wat doe je als de automaat jouw pinpas niet teruggeeft nadat je jouw pincode hebt ingevoerd - en je ook geen geld krijgt?). Op internet heb je, afhankelijk van jouw digitale vaardigheden, soms of vaak
geen idee over de betrouwbaarheid van een website en de mensen met beheertoegang tot de server (je hebt ook geen idee in welk land de server staat en wie de hoster is), laat staan dat je weet of die website, en back-ups met bijv. klantgegevens, fatsoenlijk beveiligd zijn.
Gisteren schreef Lawrence Abrams, oprichter van Bleeping Computer, onderaan
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/:
Every week, it feels like we learn of a new breach against well-known companies.
Last night, Cloudflare disclosed that they were hacked on Thanksgiving using authentication keys stolen during last years Okta cyberattack.
Last week, Microsoft also revealed that they were hacked by Russian state-sponsored hackers named Midnight Blizzard, who also attacked HPE in May.
Aanvallen beperken zich overigens niet tot internet; bij alle authenticatie op afstand is impersonatie vaak erg simpel, vooral met enige social engineering (denk aan bellende bankhelpdeskfraudeurs).
Hoe "online" betrouwbaarder gemaakt kan worden, weet ik niet. Eén simpele fix zal het zeker niet zijn, en ik zie op de afzienbare termijn geen significante verbeteringen doorgevoerd worden. Daarom is het naïef om te denken dat online authenticatie veilig kan, en daarom vind ik dat we, voor kritische authenticatie, terug moeten naar
offline-authenticatie door betrouwbare verifieerders.