Security Professionals - ipfw add deny all from eindgebruikers to any

Internet: toenemende impersonatie

09-03-2024, 17:55 door Erik van Straten, 12 reacties
Laatst bijgewerkt: 09-03-2024, 18:09
A) Internet steeds onveiliger t.g.v. impersonatie
Voor geïnteresseerden laat ik, aan de hand van twee voorbeelden van de afgelopen week, zien dat het internet steeds bedriegelijker wordt, en dat de weinige vangnetten voor nietsvermoedende en onschuldige internetters steeds verder worden gesloopt.

B) tvspot.nl
Afgelopen dinsdagavond werd in het TV-programma "Opsporing verzocht" gemeld dat, eind vorig jaar, minstens 47 mensen TV's en audioapparatuur hadden besteld en betaald op de webshop tvspot.nl - maar dat zij naar die spullen en hun geld kunnen fluiten (zie https://opsporingverzocht.avrotros.nl/zaken/item/tientallen-gedupeerd-door-fraude-webwinkel/).

Nadat kennelijk de oude eigenaar van tvspot.nl er de brui aan had gegeven, hebben cybercriminelen die domeinnaam op 20 november gekocht (ik vermoed van bodis), waarna zij er een nepsite op hebben gebouwd. Een Nederlands sprekende en telefonisch bereikbare helpdeskmedewerker loog vervolgens steeds (stem te horen op de site van Opsporing verzocht) dat de bestelde spullen onderweg waren.

Let's Encrypt (DV)
In het (iets gewijzigde) Let's Encrypt certificaat van 20 november (zoek naar tvspot.nl in https://crt.sh/) kan de internetter niet aflezen dat de website, die een goede reputatie had opgebouwd (o.a. op scamadviser.com en trustpilot.com), van eigenaar is veranderd.

Thuiswinkel waarborg en https servercerts
Nb. bijvoorbeeld https://thuiswinkel.org (van "Thuiswinkel Waarborg") vermeldt altijd de gegevens van de (bij hen bekende) eigenaar van een website. Voor zover ik weet stond tvspot.nl niet geregistreerd bij Thuiswinkel Waarborg, maar als dat wél zo zou zijn geweest, en zélfs als Thuiswinkel Waarborg nog niet geïnformeerd zou zijn geweest over de wijziging van eigenaar, had een bezoeker uit het https servercertificaat kunnen afleiden dat de site van eigenaar gewisseld was - mits, op z'n minst, de "oude" tvspot.nl een uitgebreider https servercertificaat had gebruikt dan DV (Domain Validated). Iets dat, door eigenaarsgegevens te vergelijken met info uit de eerder genoemde-, of andere review-sites, en/of KvK-gegevens, ook had kunnen blijken.

Virustotal
Als je weet waar je moet kijken, kun je ook in https://www.virustotal.com/gui/domain/tvspot.nl/relations, onder "Historical Whois Lookups", in het record van 2023-12-23, die overnamedatum zien:
Name Server: ns1.siteground.net | ns2.siteground.net
DNSSEC: no
Updated Date: 2023-11-20
Creation Date: 2007-10-30
Domain Status: active
Domain name: tvspot.nl

Eerlijkheidshalve
Ik moet hierbij wel opmerken dat indien de criminelen ook de webserver (evt. met klantenbestand), en het oude https servercertificaat zouden blijven gebruiken, niets helpt. Maar dan had je wellicht wel, achteraf, de verkopende partij aansprakelijk kunnen stellen.

Een toenemend risico is dus dat webshops, die een redelijk tot goede reputatie hebben opgebouwd, ermee stoppen (vaak omdat winsten tegenvallen, o.a. t.g.v. onderprijzing door giganten als Amazon), en cybercriminelen zo'n domeinnaam "scoren". U bent gewaarschuwd...

C) Kifid en ICS
In https://security.nl/posting/833092 konden we gisteren lezen dat, aldus KiFUD [sic], ICS de schade van 1880 euro niet hoeft te vergoeden, geleden door een nietsvermoedende internetter nadat hij op een link in een malafide DHL-mail klikte, op een nep DHL-website uitkwam die meldde dat de "klant" 1,85 Euro moest betalen om diens pakketje alsnog te laten afleveren (vaak gaat het daarbij om gefingeerde invoerrechten, administratiekosten, etc). Het slachtoffer betaalde met diens creditcard, waarna later 1880 Euro bleek te zijn afgeschreven (en er natuurlijk geen pakketje werd afgeleverd).

Het primaire probleem is hier dat een ICS-klant met een CC (creditcard) heeft betaald en niets geleverd heeft gekregen (iets waar CC-maatschappijen tot nu toe van zeiden dat dergelijke schade altijd gecompenseerd zou worden).

D) Algemeen probleem
Het algemene probleem hier is dat de internetters -op uiterst overtuigende wijze- kunnen worden opgelicht. De m.i. root-cause daarvan is dat veel te veel mensen vergeten dat, als jij bewijst dat jij jij bent, zoals bij DMARC en bij DV- (Domain Validated) servercertificaten, dit niet wil zeggen dat impersonatie onmogelijk of moeilijk is.

Een analogie voor programmeurs
De meeste programmeurs weten dat een integer-variabele (een integer is een geheel getal) genaamd i met de waarde 0 als false wordt beschouwd, en met de waarde -1 als true. Als je weet dat i true is, zou je kunnen concluderen dat:

  i + 1 == false

maar dat is vaak onjuist. De reden daarvoor is dat elke andere waarde van i dan 0, true betekent.

Anders gezegd, "wel" is niet altijd hetzelfde als "niet niet".

Het fenomeen dat impersonatie vaak zeer eenvoudig is, is iets dat het moderne internet in toenemende mate faciliteert en zelfs stimuleert (zie hieronder). Met als gevolg dat veel internetters eenvoudig kunnen worden opgelicht.

E) Non-user issues
Internetters trappen, om te beginnen, in phishing omdat:

1) Big Tech verdient aan onbetrouwbaar internet
Er een hele industrie is ontstaan -waar ook Big Tech vet aan verdient- die het hosten van nepwebsites, het verstrekken van flutcertificaten (en het saboteren van betrouwbaar de eigenaar identificerende https servercertificaten), het vooral aan criminelen beschikbaar stellen van een schier oneindig aantal absurde TLD's (Top Level Domains), het verhuren van domeinnamen, en het reputatie-verhogen resp. -herstellen van nieuwe resp. eerder misbruikte domeinnamen (zoek naar: bodis dns) faciliteert, en

2) DMARC: OK
De ontvangen e-mail (hoogstwaarschijnlijk) niet als spam is gelabeld (SPF, DKIM en DMARC waren waarschijnlijk onberispelijk), en

3) Google (Un)Safe Browsing
Google safe browsing de nepwebsite (nog) niet blokkeerde, en

4) Virusscanner: forget it
De mogelijk door het slachtoffer gebruikte virusscanner de nepwebsite ook (nog) niet blokkeerde, en

5) Onvoorspelbare domeinnamen
Big Tech, overheden en feitelijk bijna iedereen rotzooit maar aan met domeinnamen. Een voorbeeld van woensdag (bron: https://security.nl/posting/832643): waarom wéér een nieuwe domeinnaam, voor een website getiteld "Blijf luid":
  jouwplatformrechten.nl
in plaats van:
  jouwplatformrechten.bitsoffreedom.nl
of:
  watjemaarwilt.bitsoffreedom.nl ?

Waarom microsoftonline.com? Waarom ook in het volgende scenario zoveel ongerelateerde domeinnamen, die zomaar van een ander zouden kunnen zijn, zoals:
  werkenbijorganisatie.nl
in plaats van
  werkenbij.organisatie.nl ?

Op deze manier leren we internetters dat volstrekt verschillende domeinnamen wel dégelijk van de kennelijke organisatie kunnen zijn. Als je dat doet, hoe kun je dan van internetters verwachten dat zij weten dat een andere gegeven domeinnaam niet van de kennelijke organisatie is?

Domeinnamen zijn, in de praktijk, voor de meeste mensen, net zo waardeloos identificerend als een lange reeks willekeurige letters en/of cijfers.

Veel te vaak zijn het niets-zeggende pseudoniemen, of, zo je wilt, aliasen (voor meer info zie https://security.nl/posting/833156).

Als we het internet veiliger willen maken, is dit m.i. een van de éérste dingen die aangepakt zou moeten worden (maar dat is geen sinecure, dit zal ten koste gaan van de bloeiende inkomsten van Big Tech, die daar -net als bij QWAC's- met, desnoods totaal ongeloofwaardige, argumenten vóór zullen gaan liggen).

F) Pechvogels of stom?
Is het "ordinaire pech" als items 1 t/m 5 hierboven een internetter "niet redden"? Iets dat steeds vaker vóórkomt, doordat scammers alsmaar effectiever worden in het omzeilen van lapmiddelen (door de verstrekkers "beveiligingsmaatregelen" genoemd) - die sowieso slecht werken. Immers, er moeten eerst een aantal slachtoffers vallen voordat een domeinnaam geblokkeerd wordt (wat niet in het belang is van dezelfde Big Tech, het maakt hun betalende klanten boos), en dat aantal neemt duidelijk toe.

Daarnaast neemt dit vermoedelijk toe doordat de handel in (potentieel misleidende) domeinnamen lijkt te stijgen (in elk geval neemt het aantal, via certificate transparency gelogde, https certificaten per tijdseenheid nog steeds toe - ik vermoed in het overgrote deel voor domeinnamen van websites waar, behalve criminelen en andere zakkenvullers, helemaal niemand op zit te wachten).

G) PEBKAC?
(PEBCAK betekent "Problem Exists Between Keyboard And Chair", oftewel de gebruiker is het probleem). Naast dat Big Tech en de techniek ons volledig in de steek laten, is het volgende probleem dat, voor doorsnee mensen, de volgende items niet van echt te onderscheiden waren en zijn, zowel:

6) SMTP-domeinnaam van de afzender
De domeinnaam van de e-mail afzender (voor zover e-mailprogramma's die überhaupt nog laten zien), en

7) De domeinnaam van de website
Ik heb meerdere keren geprobeerd te beschrijven hoe gebruikers een domeinnaam, zoals getoond in de adresbalk in hun webbrowser, kunnen extraheren (voor het laatst hier, in reactie op een toot van David Sass, in het Engels: https://infosec.exchange/@ErikvanStraten/112004464673857528). David reageert daarop (in https://infosec.exchange/@sassdawe/112004682027487544) dat dit veel te ingewikkeld is om aan mensen, zoals zijn vader, uit te leggen.

Inderdaad, want zelfs als mensen dat feilloos zouden kunnen, zitten zij nog met probleem 5 hierboven..., en

8) De webpagina's zelf
Er zijn steeds meer tools beschikbaar waarmee identieke kopiën van websites kunnen worden gemaakt. Maar ook in dezelfde stijl een website bouwen, inclusief gekopieerde logo's, wordt steeds eenvoudiger.

H) Ongewapend en ongeïnformeerd
Bovendien geeft niemand hen de middelen om te kunnen, en/of sluitende instructies hoe je dat moet doen (*), te verifiëren of het allemaal wel klopt wat er gesuggereerd wordt. Wat geheel niet onlogisch klinkt als je bijvoorbeeld een pakketje verwacht, of netjes eerst reviewsites geraadpleegd hebt.

(*) Anders dan ronduit stupide adviezen zoals:
• Check de afzender
• Klik niet zomaar op een link, of "doe dat voorzichtig"
• Let op taal- en spelfouten
• Gebruik 2FA
• etc. etc.
WAT ALS DE USER DAT DOET EN HET TOCH FAKE IS?

I) Potentieel sluwe CC-bezitters
Voor een vermoedelijk relatief kleine aantal sluwe CC-gebruikers zou kunnen gelden dat, mocht het om oplichting gaan, zij denken dat dit hen -naar verluidt- slechts 1,85 Euro kan kosten. Waarbij eventuele schade sowieso vergoed zal worden door de CC-maatschappij, zoals die maatschappijen hebben beloofd.

J) Fuik
De fuik waar zeer veel slachtoffers in zwemmen is dat cybercriminelen er alles aan doen om zo geloofwaardig mogelijk over te komen. Vooral als je toevallig een pakketje verwacht (wie niet) ben je beslist geen stomme CC-bezitter als je hier intrapt. Dat deze mensen, in goed vertrouwen en wellicht in de haast, over het hoofd zien dat een circa 1000 maal zo groot bedrag wordt overgeschreven, vind ik dan ook volkomen begrijpelijk, want dit is voorspelbaar menselijk gedrag. Als cybercriminelen en ik dat weten, waarom ontkent het Kifid dit dan effectief?

K) Handige maar onbetrouwbare online maatschappij
De hierboven beschreven CC-gebruiker is één van de vele (aantal per tijdseenheid stijgende) "kinderen van de rekening" van de "handige" (wellicht nog méér voor cybercriminelen, zeker voor zakkenvullers in het algemeen), doch potentieel extreem onbetrouwbare, online maatschappij.

L) Vangnetten met steeds meer en grotere gaten
Terecht anticiperend op een toenemende onbetrouwbaarheid zijn we, jaren geleden, een soort van "vangnetten" overeengekomen - waar Kifid, nu dat structureel geld blijkt te gaan kosten, steeds grotere gaten in knipt. De worst die ons is voorgehouden wordt nu opgegeten - door directeuren en aandeelhouders.

M) Conclusie
Het internet is al onveilig, en dat wordt alleen maar erger. Daarbij worden de risico's steeds meer op eindgebruikers afgewenteld. Vooral de miljoenen minder taal- en/of digitaal-vaardige Nederlanders, typisch de mensen die het al niet breed hebben, worden hier het slachtoffer van. Niemand helpt hen, in tegendeel: we laten hen in steeds vaker in de steek en velen roepen "eigen schuld, had je maar niet zo stom moeten zijn" - vanaf hun luie zitbank.

Zie ook https://security.nl/posting/833162 (reactie nr. 101 in "Kopie-ID: kap ermee!").
Reacties (12)
09-03-2024, 18:27 door Anoniem
Aan de andere kant gebeurt het ook in betrouwbare situaties.

Marktplaats wordt gevaarlijk voor mensen in de bijstand.
Stel dat je eigen spulletjes te gelde maakt om wat gemakkelijker de eindjes aan elkaar te kunnen knopen.

Er staat nog geen ambtenaar naast je om te checken hoeveel je aan statiegeld uit de automaat haalt,
maar de controle- en surveillancestaat kan je gaan opbreken. Denk aan de toeslagenaffaire.

Voor een website als Marktplaats daarentegen is daarvoor een grens in het leven geroepen.
Zij moeten transacties doorgeven als iemand 30 keer of meer per jaar iets verkoopt
of als het verkoopbedrag hoger is dan 2.000 euro.

De info van https://www.inlichtingenbureau.nl/Over-ons/Veelgestelde-vragen
kan je gaan opbreken, als je bepaald inkomen hebt verzuimd op te geven.

Alles hoeft dus allang niet meer te zijn, zoals het op het eerste gezicht lijkt.

Aan de ene kant vergaande controle over de burgers
en aan de andere kant grove nalatigheid bij het verhinderen van cybercrime.

luntrus
09-03-2024, 19:16 door Anoniem
Door Anoniem: Marktplaats wordt gevaarlijk voor mensen in de bijstand.

Nu Marktplaats data deelt met de Belastingdienst, kunnen gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

https://www.nrc.nl/nieuws/2024/03/03/met-bijstand-online-bijverdienen-vrees-voor-nieuwe-affaire-a4191926
09-03-2024, 20:14 door Anoniem
Door Anoniem:
Door Anoniem: Marktplaats wordt gevaarlijk voor mensen in de bijstand.

Nu Marktplaats data deelt met de Belastingdienst, kunnen gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

https://www.nrc.nl/nieuws/2024/03/03/met-bijstand-online-bijverdienen-vrees-voor-nieuwe-affaire-a4191926

Ja.

En terecht ook. Iemand in de bijstand door zoveel bijverdient dat ze eigenlijk geen recht heeft op bijstand moet worden aangepakt.

Die bijstandsuitkering wordt gefinancierd door de belastingbetaler.
09-03-2024, 20:47 door Anoniem
Door Anoniem: Aan de andere kant gebeurt het ook in betrouwbare situaties.


Voor een website als Marktplaats daarentegen is daarvoor een grens in het leven geroepen.
Zij moeten transacties doorgeven als iemand 30 keer of meer per jaar iets verkoopt


luntrus

Hoe weet je dit? En geldt dit voor iedereen? Aan wie geven ze dat door dan.
09-03-2024, 21:04 door Anoniem
Door Anoniem:
Door Anoniem: Marktplaats wordt gevaarlijk voor mensen in de bijstand.

Nu Marktplaats data deelt met de Belastingdienst, kunnen gebruikers onterecht het label ‘potentiële fraudeur’ krijgen

https://www.nrc.nl/nieuws/2024/03/03/met-bijstand-online-bijverdienen-vrees-voor-nieuwe-affaire-a4191926

Neemt niet weg dat er fraudeurs bestaan die bijstand als basisinkomen zien naast hun verdere (semi)criminele bijverdiensten, maar dat geldt voor werkenden evengoed. Denk aan de cadeausfeer van 'commissariaatje' of 'studiebeurs voor je kind', 'sepot van je strafzaak', enz. Het mooiste 'cadeaubaantje' is natuurlijk invloedrijke stichtingsbestuursvoorzitter bij de stichting Bureau Inlichtingen van de belastingdienst zoals in het nrc artikel genoemd. Die persoon wordt vast geflankeerd door een controller en jurist.

Hebben wie nog onderzoeksjournalisten in NL? Wie zitten het bestuur van die Stichting? Wie zijn die mensen?
09-03-2024, 22:42 door Erik van Straten
@luntrus: waarom begin je niet zelf een draad als je het over iets heel anders wilt hebben?
10-03-2024, 07:22 door Anoniem
Laten we het inderdaad over techniek hebben. Ik ben het er mee eens. Bedrijven zijn vooral op winst gericht. Dat mensen risico's lopen zal ze worst wezen. Zelf een desktop gekocht en even niet goed opgelet. Deze bevatte een wifi met bluetooth interface. De computer wilde iedere keer met het toetsenbord van de buurman verbinding maken. Iets wat ik niet wil. In de BIOS is de interface niet uit te schakelen, dus uiteindelijk de interface er maar verwijderd.

Ook als je bijvoorbeeld een share maakt met Windows, dan wordt ook automatisch een share van je schijf gedeeld (waarom?). Met een registry-instelling moet je dat weer repareren.

Zo zijn er natuurlijk nog legio voorbeelden.....
10-03-2024, 13:20 door Anoniem
Ik zal on-topic blijven voortaan,

Het bedrieglijke internet komt door info-manipulatie op legio manieren en voor legio doeleinden.
Big Tech en de tracking trail doen het, je betaalt met je data.
Statelijke agenten doen het, malcreanten doen het.

Zie je een domein dat eindigt op dot lol moet je extra oppassen,
maar ook op cloud IP's zit er volop misbruik.

Let's encrypt registratie en geanonimiseerd geregistreerd via de Caraïben,
zodat je niet kunt vaststellen wie de eigenaar is, die heeft geregistreerd.

En malwarebytes ziet ook niet alles in de browser. Dus constant oppassen geblazen.

luntrus
10-03-2024, 14:28 door Anoniem
Door Erik van Straten:
Virustotal
Als je weet waar je moet kijken, kun je ook in https://www.virustotal.com/gui/domain/tvspot.nl/relations, onder "Historical Whois Lookups", in het record van 2023-12-23, die overnamedatum zien:
Name Server: ns1.siteground.net | ns2.siteground.net
DNSSEC: no
Updated Date: 2023-11-20
Creation Date: 2007-10-30
Domain Status: active
Domain name: tvspot.nl
De "Updated Date" in whois geeft niet per se een "overnamedatum" aan... het is gewoon de datum van de laatste aanpassing.
Hoewel hier (waarschijnlijk) niet van toepassing, kan deze aanpassing ook betekenen dat op deze datum het DS-record (DNSSEC) is veranderd.

Een verandering van de Registrar zou wel op een overname kunnen duiden, maar ook dat is dan niet zeker want misschien is de originele eigenaar gewoon verhuisd.
10-03-2024, 15:01 door karma4
Erik, wat hier mist is het verhaal is de controle of het over te maken bedrag wel klopt.
De vraag in de bevestiging bij het overmaken geeft een bedrag aan met die vraag.
Als die vraag getoond wordt is dat de laatste stap en wezenlijke stap om een betaling door te laten gaan. Whatsapp fraude is intussen verwijtbaar indien je op een willekeurig verzoek zelf geld overmaakt naar een onbekende rekening.

Er is een wezenlijk verschil met CC acceptanten via fysieke locaties.
10-03-2024, 20:42 door Erik van Straten
Door karma4: Erik, wat hier mist is het verhaal is de controle of het over te maken bedrag wel klopt.
De vraag in de bevestiging bij het overmaken geeft een bedrag aan met die vraag.
Als die vraag getoond wordt is dat de laatste stap en wezenlijke stap om een betaling door te laten gaan.
Heb je item J wel gelezen?

Het slachtoffer heeft bij die laatste vraag al een reeks stappen doorlopen, die allemaal gefaald hebben, waarbij dat bij 1 structureel is en dit bij 2 t/m 5 váák gebeurt (ik zie dat ik het spamfilter vergeten ben te noemen; dat heeft het, in het beschreven geval, dus ook laten afweten).

Waarbij dus niemand of niets het slachoffer waarschuwde. Dat is sowieso hartstikke fout aan het systeem: dit lijdt zeker tot slachtoffers van oplichting, waar we vangnetten voor waren overeengekomen (vastgelegd in een wet). De beteffende ICS-klant is zelf geen crimineel, maar in oplichting getrapt die gefaciliteerd wordt door genoemd systeem.

Het bedrag klopt anders altijd wél
Daarnaast gebeurt het anders nooit dat het eerder opgegeven bedrag niet klopt; daarmee heeft het systeem online-betalers erop getraind dat de bedragen altijd overeenkomen en het dus tijdverspilling is om het tweede bedrag met het eerder getoonde te vergelijken.

Waarbij ICS, "vanzelfsprekend", géén awareness-check heeft ingebouwd die klanten regelmatig dwingt om zo'n check uit te voeren én daarbij uitlegt waarom dat essentieel zou zijn.

Waarom ZELF bedragen op scherm vergelijken?
Op het moment van, offline, met cash betalen, letten de meeste mensen wel goed op dat het bedrag klopt, want het is volstrekt duidelijk dat dit het moment is dat geld van eigenaar verwisselt.

Echter: online is dat véél minder duidelijk. Waarom valideert niet de app het als eerste vermelde bedrag, maar moet de online CC-betaler dat doen? Het gaat hier immers niet om een, met een slecht handschrift, handgeschreven prijskaartje bij een gebakje in een vitrine met een ruit vol met kindervingerafdrukken, maar om tweemaal een bedrag op één en hetzelfde beeldscherm van de online CC-betaler.

Waarom zouden die bedragen kunnen afwijken van elkaar zonder dat de techniek dat opmerkt? Is het, op het eerste gezicht, niet absurd dat de betaler een bedrag, dat eerder op diens beeldscherm stond, moet onthouden en moet vergelijken met een bedrag op een nieuwe "pagina" op hetzelfde beeldscherm (*)? Wat hebben techneuten (allemaal en/of nog meer) laten liggen tijdens de overgang van offline cash naar pixelated digicash?

(*) Ik weet het antwoord al: "dat is een ingewikkeld verhaal: bla, website, bla, app, bla, scheiding, bla".

PRECIES, het is een ingewikkeld verhaal, maar VOORAL voor doorsnee online (CC)-betalers - die pixels op hun scherm zien en niet weten welke daarvan wél en welke daarvan niet betrouwbaar zijn; voor veel mensen is het abracadabra als je hen dat probeert uit te leggen (wat softwarebakkers een "seamless user experience" noemen, lijkt wellicht "seamless", maar is -onder de motorkap- vaak één grote trukendoos).

Hangslotje
Ik heb er geen info over, maar het slachtoffer zou gezegd kunnen hebben': "Die website was trouwens veilig, want hij had een hangslotje" (nagenoeg alle phishing-sites hebben dat namelijk).

Uit https://www.transip.nl/ssl-certificaten/ (voorbeeld 1 van vele):
Je website AVG proof.
Door het toevoegen van een SSL certificaat voldoet jouw website of webshop aan de AVG en kan je vertrouwen op de de veiligheid van jouw website.

Voorbeeld 2 https://www.digivaardigindezorg.nl/digitip-hoe-herken-ik-een-veilige-website/:
Een veilige website begint altijd met ‘https’ in de websitelink. De ‘s’ staat hierin voor ‘safe’. Je kunt dit vaak ook zien aan het slotje dat voor de websitelink staat. Een website die ‘https’ in de websitelink heeft is dus ‘beveiligd’.
(Checken op het slotje ben ik trouwens ook vergeten in de "todo" lijst bovenaan).

Aan mensen is geleerd dat een hangslotje staat voor een veilige (dus betrouwbare) website. Waarom zou je opgelicht worden door zo'n site?

Er zal, ongetwijfeld, toch wel een mechanisme bestaan dat voorkómt dat cybercriminelen al te eenvoudig willekeurige ("klinkt als" of "zou kunnen zijn van") domeinnamen kunnen registreren, servers huren en daar probleemloos https servercertificaten voor kunnen kopen?

Wat zegt u nu: certificaten zijn gratis?! Domeinnamen kosten bijna niks? Hosting kost, de eerste tijd, ook nauwelijks of niets - en een gehackte website is gratis - met vaak een goede reputatie van het IP-adres?

Uit https://www.linkedin.com/pulse/how-many-cyber-attacks-happen-daily-2024-cywreck-zf5yf:
12. Globally, 30,000 websites are hacked daily.
(Source: Web Arx Security)

Uit https://unit42.paloaltonetworks.com/internet-threats-late-2022/:
From July-December 2022, Unit 42 researchers have observed and analyzed over 67 million unique malicious URLs, domains and IPs

Wat ICS nog meer nalaat (en de klant voor opdraait)
Waarom wist ICS niet dat werd overgeboekt naar een rekening van een crimineel? Waarom krijgt de gebruiker geen waarschuwing voor een overboeking van, bijvoorbeeld, 99 Euro of meer via een website met een duidelijke, maar nog nauwelijks bekende, phishing-achtige domeinnaam en een DV-certificaat? Waarom past ICS geen "allow-list" toe voor bekende en betrouwbaar geachte websites?

Oftewel, hoe kan het dat, naast de online CC-betaler, ook de ICS-app een website en het rekeningnummer van cybercriminelen vertrouwt, en het risico op de klant afwentelt als dat vertrouwen achteraf onterecht blijkt te zijn?

Conclusie
Kortom, eerst liet het "systeem" de klant volledig in de steek en had ICS véél meer kunnen doen om deze phishing-aanval niet te laten slagen. Aanvankelijk heeft die klant vervolgens niks fout gedaan - tot de "pagina" met het werkelijk over te boeken bedrag verscheen. Waarbij de gebruiker eraan gewend is dat dit bedrag nooit afwijkt van het eerder vermeldde bedrag, en ICS niet regelmatig online CC-betalers laat oefenen en/of uitlegt waarom die check toch essentieel is, en waarom dezelfde beeldschermpixel de ene keer niet betrouwbaar is en de andere keer wél, en waaraan je dat -als gebruiker- kunt zien (succes vooral dáármee).

Dus heeft het slachtoffer, m i. volkomen voorspelbaar, één van meerdere gebruiker-checks niet uitgevoerd (of heeft dat wél gedaan, maar heeft het bedrag verkeerd afgelezen). Touché!

En dus zwaaien ICS, Kifid en jij nu dapper met jullie wijsvingertjes...
11-03-2024, 09:22 door Erik van Straten - Bijgewerkt: 11-03-2024, 09:41
Zie ook het voorpaginanieuws van zojuist:
"Tienduizend Nederlanders vorig jaar slachtoffer van bankhelpdeskfraude"
https://security.nl/posting/833318.

En Trouw meldt vanochtend:
"Twee derde jongeren laat financiën beïnvloeden door influencers"
https://trouw.nl/duurzaamheid-economie/~b8f6f7fbd/.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.