Voor geïnteresseerden laat ik, aan de hand van twee voorbeelden van de afgelopen week, zien dat het internet steeds bedriegelijker wordt, en dat de weinige vangnetten voor nietsvermoedende en onschuldige internetters steeds verder worden gesloopt.

Afgelopen dinsdagavond werd in het TV-programma "Opsporing verzocht" gemeld dat, eind vorig jaar, minstens 47 mensen TV's en audioapparatuur hadden besteld en betaald op de webshop tvspot.nl - maar dat zij naar die spullen en hun geld kunnen fluiten (zie https://opsporingverzocht.avrotros.nl/zaken/item/tientallen-gedupeerd-door-fraude-webwinkel/).

Nadat kennelijk de oude eigenaar van tvspot.nl er de brui aan had gegeven, hebben cybercriminelen die domeinnaam op 20 november gekocht (ik vermoed van bodis), waarna zij er een nepsite op hebben gebouwd. Een Nederlands sprekende en telefonisch bereikbare helpdeskmedewerker loog vervolgens steeds (stem te horen op de site van Opsporing verzocht) dat de bestelde spullen onderweg waren.

Let's Encrypt (DV)
In het (iets gewijzigde) Let's Encrypt certificaat van 20 november (zoek naar tvspot.nl in https://crt.sh/) kan de internetter niet aflezen dat de website, die een goede reputatie had opgebouwd (o.a. op scamadviser.com en trustpilot.com), van eigenaar is veranderd.

Thuiswinkel waarborg en https servercerts
Nb. bijvoorbeeld https://thuiswinkel.org (van "Thuiswinkel Waarborg") vermeldt altijd de gegevens van de (bij hen bekende) eigenaar van een website. Voor zover ik weet stond tvspot.nl niet geregistreerd bij Thuiswinkel Waarborg, maar als dat wél zo zou zijn geweest, en zélfs als Thuiswinkel Waarborg nog niet geïnformeerd zou zijn geweest over de wijziging van eigenaar, had een bezoeker uit het https servercertificaat kunnen afleiden dat de site van eigenaar gewisseld was - mits, op z'n minst, de "oude" tvspot.nl een uitgebreider https servercertificaat had gebruikt dan DV (Domain Validated). Iets dat, door eigenaarsgegevens te vergelijken met info uit de eerder genoemde-, of andere review-sites, en/of KvK-gegevens, ook had kunnen blijken.

Virustotal
Als je weet waar je moet kijken, kun je ook in https://www.virustotal.com/gui/domain/tvspot.nl/relations, onder "Historical Whois Lookups", in het record van 2023-12-23, die overnamedatum zien:

Eerlijkheidshalve
Ik moet hierbij wel opmerken dat indien de criminelen ook de webserver (evt. met klantenbestand), en het oude https servercertificaat zouden blijven gebruiken, niets helpt. Maar dan had je wellicht wel, achteraf, de verkopende partij aansprakelijk kunnen stellen.

Een toenemend risico is dus dat webshops, die een redelijk tot goede reputatie hebben opgebouwd, ermee stoppen (vaak omdat winsten tegenvallen, o.a. t.g.v. onderprijzing door giganten als Amazon), en cybercriminelen zo'n domeinnaam "scoren". U bent gewaarschuwd...

In https://security.nl/posting/833092 konden we gisteren lezen dat, aldus KiFUD [sic], ICS de schade van 1880 euro niet hoeft te vergoeden, geleden door een nietsvermoedende internetter nadat hij op een link in een malafide DHL-mail klikte, op een nep DHL-website uitkwam die meldde dat de "klant" 1,85 Euro moest betalen om diens pakketje alsnog te laten afleveren (vaak gaat het daarbij om gefingeerde invoerrechten, administratiekosten, etc). Het slachtoffer betaalde met diens creditcard, waarna later 1880 Euro bleek te zijn afgeschreven (en er natuurlijk geen pakketje werd afgeleverd).

Het primaire probleem is hier dat een ICS-klant met een CC (creditcard) heeft betaald en niets geleverd heeft gekregen (iets waar CC-maatschappijen tot nu toe van zeiden dat dergelijke schade altijd gecompenseerd zou worden).

Het algemene probleem hier is dat de internetters -op uiterst overtuigende wijze- kunnen worden opgelicht. De m.i. root-cause daarvan is dat veel te veel mensen vergeten dat, als jij bewijst dat jij jij bent, zoals bij DMARC en bij DV- (Domain Validated) servercertificaten, dit niet wil zeggen dat impersonatie onmogelijk of moeilijk is.


Het fenomeen dat impersonatie vaak zeer eenvoudig is, is iets dat het moderne internet in toenemende mate faciliteert en zelfs stimuleert (zie hieronder). Met als gevolg dat veel internetters eenvoudig kunnen worden opgelicht.

Internetters trappen, om te beginnen, in phishing omdat:

1) Big Tech verdient aan onbetrouwbaar internet
Er een hele industrie is ontstaan -waar ook Big Tech vet aan verdient- die het hosten van nepwebsites, het verstrekken van flutcertificaten (en het saboteren van betrouwbaar de eigenaar identificerende https servercertificaten), het vooral aan criminelen beschikbaar stellen van een schier oneindig aantal absurde TLD's (Top Level Domains), het verhuren van domeinnamen, en het reputatie-verhogen resp. -herstellen van nieuwe resp. eerder misbruikte domeinnamen (zoek naar: bodis dns) faciliteert, en

2) DMARC: OK
De ontvangen e-mail (hoogstwaarschijnlijk) niet als spam is gelabeld (SPF, DKIM en DMARC waren waarschijnlijk onberispelijk), en

3) Google (Un)Safe Browsing
Google safe browsing de nepwebsite (nog) niet blokkeerde, en

4) Virusscanner: forget it
De mogelijk door het slachtoffer gebruikte virusscanner de nepwebsite ook (nog) niet blokkeerde, en

5) Onvoorspelbare domeinnamen
Big Tech, overheden en feitelijk bijna iedereen rotzooit maar aan met domeinnamen. Een voorbeeld van woensdag (bron: https://security.nl/posting/832643): waarom wéér een nieuwe domeinnaam, voor een website getiteld "Blijf luid":
in plaats van:
of:

Waarom microsoftonline.com? Waarom ook in het volgende scenario zoveel ongerelateerde domeinnamen, die zomaar van een ander zouden kunnen zijn, zoals:
in plaats van

Op deze manier leren we internetters dat volstrekt verschillende domeinnamen wel dégelijk van de kennelijke organisatie kunnen zijn. Als je dat doet, hoe kun je dan van internetters verwachten dat zij weten dat een andere gegeven domeinnaam niet van de kennelijke organisatie is?

Domeinnamen zijn, in de praktijk, voor de meeste mensen, net zo waardeloos identificerend als een lange reeks willekeurige letters en/of cijfers.

Veel te vaak zijn het niets-zeggende pseudoniemen, of, zo je wilt, aliasen (voor meer info zie https://security.nl/posting/833156).

Als we het internet veiliger willen maken, is dit m.i. een van de éérste dingen die aangepakt zou moeten worden (maar dat is geen sinecure, dit zal ten koste gaan van de bloeiende inkomsten van Big Tech, die daar -net als bij QWAC's- met, desnoods totaal ongeloofwaardige, argumenten vóór zullen gaan liggen).

Is het "ordinaire pech" als items 1 t/m 5 hierboven een internetter "niet redden"? Iets dat steeds vaker vóórkomt, doordat scammers alsmaar effectiever worden in het omzeilen van lapmiddelen (door de verstrekkers "beveiligingsmaatregelen" genoemd) - die sowieso slecht werken. Immers, er moeten eerst een aantal slachtoffers vallen voordat een domeinnaam geblokkeerd wordt (wat niet in het belang is van dezelfde Big Tech, het maakt hun betalende klanten boos), en dat aantal neemt duidelijk toe.

Daarnaast neemt dit vermoedelijk toe doordat de handel in (potentieel misleidende) domeinnamen lijkt te stijgen (in elk geval neemt het aantal, via certificate transparency gelogde, https certificaten per tijdseenheid nog steeds toe - ik vermoed in het overgrote deel voor domeinnamen van websites waar, behalve criminelen en andere zakkenvullers, helemaal niemand op zit te wachten).

(PEBCAK betekent "Problem Exists Between Keyboard And Chair", oftewel de gebruiker is het probleem). Naast dat Big Tech en de techniek ons volledig in de steek laten, is het volgende probleem dat, voor doorsnee mensen, de volgende items niet van echt te onderscheiden waren en zijn, zowel:

6) SMTP-domeinnaam van de afzender
De domeinnaam van de e-mail afzender (voor zover e-mailprogramma's die überhaupt nog laten zien), en

7) De domeinnaam van de website
Ik heb meerdere keren geprobeerd te beschrijven hoe gebruikers een domeinnaam, zoals getoond in de adresbalk in hun webbrowser, kunnen extraheren (voor het laatst hier, in reactie op een toot van David Sass, in het Engels: https://infosec.exchange/@ErikvanStraten/112004464673857528). David reageert daarop (in https://infosec.exchange/@sassdawe/112004682027487544) dat dit veel te ingewikkeld is om aan mensen, zoals zijn vader, uit te leggen.

Inderdaad, want zelfs als mensen dat feilloos zouden kunnen, zitten zij nog met probleem 5 hierboven..., en

8) De webpagina's zelf
Er zijn steeds meer tools beschikbaar waarmee identieke kopiën van websites kunnen worden gemaakt. Maar ook in dezelfde stijl een website bouwen, inclusief gekopieerde logo's, wordt steeds eenvoudiger.

Bovendien geeft niemand hen de middelen om te kunnen, en/of sluitende instructies hoe je dat moet doen (*), te verifiëren of het allemaal wel klopt wat er gesuggereerd wordt. Wat geheel niet onlogisch klinkt als je bijvoorbeeld een pakketje verwacht, of netjes eerst reviewsites geraadpleegd hebt.

(*) Anders dan ronduit stupide adviezen zoals:
• Check de afzender
• Klik niet zomaar op een link, of "doe dat voorzichtig"
• Let op taal- en spelfouten
• Gebruik 2FA
• etc. etc.
WAT ALS DE USER DAT DOET EN HET TOCH FAKE IS?

Voor een vermoedelijk relatief kleine aantal sluwe CC-gebruikers zou kunnen gelden dat, mocht het om oplichting gaan, zij denken dat dit hen -naar verluidt- slechts 1,85 Euro kan kosten. Waarbij eventuele schade sowieso vergoed zal worden door de CC-maatschappij, zoals die maatschappijen hebben beloofd.

De fuik waar zeer veel slachtoffers in zwemmen is dat cybercriminelen er alles aan doen om zo geloofwaardig mogelijk over te komen. Vooral als je toevallig een pakketje verwacht (wie niet) ben je beslist geen stomme CC-bezitter als je hier intrapt. Dat deze mensen, in goed vertrouwen en wellicht in de haast, over het hoofd zien dat een circa 1000 maal zo groot bedrag wordt overgeschreven, vind ik dan ook volkomen begrijpelijk, want dit is voorspelbaar menselijk gedrag. Als cybercriminelen en ik dat weten, waarom ontkent het Kifid dit dan effectief?

De hierboven beschreven CC-gebruiker is één van de vele (aantal per tijdseenheid stijgende) "kinderen van de rekening" van de "handige" (wellicht nog méér voor cybercriminelen, zeker voor zakkenvullers in het algemeen), doch potentieel extreem onbetrouwbare, online maatschappij.

Terecht anticiperend op een toenemende onbetrouwbaarheid zijn we, jaren geleden, een soort van "vangnetten" overeengekomen - waar Kifid, nu dat structureel geld blijkt te gaan kosten, steeds grotere gaten in knipt. De worst die ons is voorgehouden wordt nu opgegeten - door directeuren en aandeelhouders.

Het internet is al onveilig, en dat wordt alleen maar erger. Daarbij worden de risico's steeds meer op eindgebruikers afgewenteld. Vooral de miljoenen minder taal- en/of digitaal-vaardige Nederlanders, typisch de mensen die het al niet breed hebben, worden hier het slachtoffer van. Niemand helpt hen, in tegendeel: we laten hen in steeds vaker in de steek en velen roepen "eigen schuld, had je maar niet zo stom moeten zijn" - vanaf hun luie zitbank.

Zie ook https://security.nl/posting/833162 (reactie nr. 101 in "Kopie-ID: kap ermee!").