Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Pensioen-phishing?

22-08-2024, 22:34 door Erik van Straten, 28 reacties
Laatst bijgewerkt: 22-08-2024, 22:41
Pensioen-phishing?
Er lijkt een groep cybercriminelen bezig om aan pensioenen gerelateerde phishing-aanvallen voor te bereiden of reeds uit te voeren.

Vermoedelijke inhoud bericht
Het vermoedelijke scenario is als volgt: je ontvangt een bericht (e-mail, Whatsapp, SMS) betreffende het via jouw werkgever opgebouwde pensioen.

Vermoedelijk zal het bericht lijken te zijn verzonden door jouw werkgever of pensioenverstrekker. Denkbaar is dat een e-mailaccount van een collega (wellicht van personeelszaken) is gehacked en je dus aan niets in zo'n e-mail kunt zien dat deze door iemand anders geschreven is.

Het bericht zou kunnen melden dat je jouw moet verifiëren of jouw gegevens nog kloppen, dat je recht hebt op een bonus, of dat je juist (t.g.v. een fout o.i.d.) minder pensioen zult krijgen (wellicht tenzij je snel bezwaar maakt), of dat er een probleem is met jouw pensioengerechtigde leeftijd. Hoe zo'n bericht er precies uitziet weet ik simpelweg niet.

In het bericht zult je hoogstwaarschijnlijk aantreffen:
1) een pincode
2) een link naar een website die er ongeveer uitziet als volgt:
of: https://pensioenbij<naam-van-jouw-werkgever>.tld
of: https://ditispensioenbij<naam-van-jouw-werkgever>.tld
of: https://helderoverpensioenbij<naam-van-jouw-werkgever>.tld
of: variaties op de bovengenoemde drie domeinnamen.

Waarbij .tld kan zijn: .nl, .com of iets heel anders (zoals .top, .xyz, .me, .finance of .insurance - en ga zo maar door).

Actuele voorbeelden van dat soort domeinnamen (webserver-adressen) kun je zien in https://security.nl/posting/854743.

Waarschuwing voor de waarschuwing
Ik herhaal uit laatstgenoemde reactie: deze waarschuwing is tegen beter weten in, want mensen worden knettergek van de lijsten met kenmerken van phishing-berichten en/of -websites die aanwezig zouden kunnen zijn - in zowel phishing- als stomme legitieme exemplaren. Dus gaat *terecht* niemand dit onthouden. En daarom moet het internet veiliger worden gemaakt (en dat kan best, maar daardoor zal big tech minder crimineel geld "verdienen").

Waarschuwing
Als je een e-mail ontvangt met daarin een pincode en een link naar zo'n pensioenwebsite waar je eerst een pincode moet invoeren, stop dan daar: maak screenshots van alles wat je geopend hebt (e-mail en eventueel de website). Laat personeelszaken van jouw organisatie het voltallige en voormalige personeel waarschuwen, waarbij de door jou gemaakte screenshots kunnen worden meegezonden. Ik zou de e-mail bewaren voor het geval dat een security-officer (of evt. de politie) daar onderzoek naar wil doen.

Zaken die zouden kunnen opvallen
Een pincode (of wachtwoord) in een bericht met een link is sowieso verdacht; geen verstandig mens verstuurt zo'n bericht (helaas zijn er zeer veel, goedbedoelende, onverstandige mensen - naast kwaadwillenden die precies weten wat zij doen).

Op een website moeten "inloggen" met een pincode of wachtwoord doch zonder een user-ID (gebruikersnaam of e-mailadres) te moeten invoeren is niet normaal. Tenzij de link lang en "gepersonaliseerd" is (voorzien van vaak een decimaal of hexadecimaal getal), heeft de server immers geen idee wie jij precies bent (of wélk personeelslid).

Indien de link "gepersonaliseerd" zou zijn, zou daar ook de (afgeleide van de) pincode in kunnen worden opgenomen - dat je die moet overtikken is dus pure onzin.

Daarnaast is het opnemen van álle inloginformatie voor een website met vertrouwelijke persoons- (en pensioen-) gegevens in één bericht (of meerdere via hetzelfde kanaal) veel te onveilig. Immers, bij een tikfout of als u ondertussen een ander e-mailadres of telefoonnummer heeft, kunnen die inloggegevens te eenvoudig in andere (potentieel verkeerde) handen vallen.

Makkelijk praten
Bovengenoemde zaken vallen op geredeneed vanuit het perspectief van iemand die zich verdiept heeft in hoe een deel van de cybercriminelen te werk gaat - zodanig dat doorsnee internet-gebruikers worden misleid.

Kortom, wees op je hoede - maar zelfs als je dat bent, hoef je je niet te schamen als je in zo'n oplichtingstruc trapt. Big tech maakt het cybercriminelen véél te gemakkelijk - in hun eigen belang. Zij vullen hun zakken met geld gestolen uit die van jou.
Reacties (28)
24-08-2024, 01:58 door Erik van Straten - Bijgewerkt: 24-08-2024, 02:13
Op z'n minst deze zijn er gisteren bijgekomen (in https://security.nl/posting/854743 beschrijf ik hoe je dit moet interpreteren), uit: https://www.virustotal.com/gui/ip-address/104.198.14.52/relations:
DateR. #Det Domeinnaam
240823 0/94 pensioenbijgb.nl
240823 0/94 pensioenbijdevoteamgcloud.nl
240823 0/94 pensioenbijdevoteam.nl
240823 0/94 pensioenbijsempre.com

Aanvulling 02:13: in https://crt.sh/?Identity=pensioenbijgb.nl zie ik dat voor deze domeinnaam al sinds 2023-02-06 certificaten worden aangevraagd (van de andere drie eentje sinds 2024-08-22 en de andere twee sinds 2024-08-23).
24-08-2024, 11:37 door Anoniem
Door Erik van Straten: Op z'n minst deze zijn er gisteren bijgekomen (in https://security.nl/posting/854743 beschrijf ik hoe je dit moet interpreteren), uit: https://www.virustotal.com/gui/ip-address/104.198.14.52/relations:
DateR. #Det Domeinnaam
240823 0/94 pensioenbijgb.nl
240823 0/94 pensioenbijdevoteamgcloud.nl
240823 0/94 pensioenbijdevoteam.nl
240823 0/94 pensioenbijsempre.com

Aanvulling 02:13: in https://crt.sh/?Identity=pensioenbijgb.nl zie ik dat voor deze domeinnaam al sinds 2023-02-06 certificaten worden aangevraagd (van de andere drie eentje sinds 2024-08-22 en de andere twee sinds 2024-08-23).

Deze adressen zijn aangevraagd door een onderneming die kleine MKB starters helpt aan een pensioenvoorziening voor hun medewerkers. Ze zijn ook op naam en contactpersoon geregistreerd en gewoon vindbaar in SIDN. Bij het gros van die domeinnamen is de pagina met pincode al vervangen door een informatieve pagina.

Dat geld ook voor 98% van de domeinnamen uit je post https://security.nl/posting/854743
Het enige wat in al die aanvragen overeenkomt is de hostingpartij VDX.

De conclusie kan ook gewoon zijn dat er een paar ondernemingen het MKB helpen bij het nieuwe pensioenstelsel. Het kan ook zijn dat er bij VDX iets gebeurt, met hun medeweten of buiten hen om.

Voor mij is dit wel (opnieuw) het ultieme bewijs dat al dat gedoe rondom certificaten en beveiligde DNS waar jij steeds op hamert, niet de oplossing van het probleem is. Maar ik denk dat jij al lang in SIDN hebt gekeken, dus blijft voor mij de vraag over waarom je dit op dit forum, en op deze manier, onder de aandacht brengt in plaats van VDX gewoon een berichtje te sturen.

Dat heb ik net gedaan. Geen dank verschuldigd.
24-08-2024, 14:00 door Anoniem
Als je een e-mail ontvangt met daarin een pincode en een link naar zo'n pensioenwebsite waar je eerst een pincode moet invoeren, stop dan daar: maak screenshots van alles wat je geopend hebt (e-mail en eventueel de website). Laat personeelszaken van jouw organisatie het voltallige en voormalige personeel waarschuwen, waarbij de door jou gemaakte screenshots kunnen worden meegezonden. Ik zou de e-mail bewaren voor het geval dat een security-officer (of evt. de politie) daar onderzoek naar wil doen.

Dat klopt niet hoor. Er zijn wel degelijk personeel administratie systemen die zo werken.
Bijvoorbeeld om je salarisstrook te lezen krijg je een URL gemaild en als je die opent moet je een pincode opgeven die je eerder verstrekt is, en dan krijg je een PDF te zien.
Dat dit in jouw ogen niet 100% veilig en 100% betrouwbaar is weerhoudt softwaremakers (vroeger noemden we ze "COBOL krassers") er niet van hun systeem zo te bouwen.
Jouw waarschuwingen ook niet, zeker niet als je ze hier plaatst in plaats van ze naar die bedrijven te sturen die dat doen.
24-08-2024, 15:26 door Erik van Straten - Bijgewerkt: 24-08-2024, 15:28
Door Anoniem: Voor mij is dit wel (opnieuw) het ultieme bewijs dat al dat gedoe rondom certificaten en beveiligde DNS waar jij steeds op hamert, niet de oplossing van het probleem is.
Ongeacht of Anoniem (Vandaag, 11:37) gelijk heeft dat het hierbij niet om een criminele partij gaat, is dit wel (opnieuw) het ultieme bewijs dat https servercertificaten, waaruit blijkt wie de eigenaar is van de domeinnaam (noodzakelijkerwijs vastgesteld door een door internetgebruikers vertrouwde certificaatuitgever) en sterk verbeterde browsers onmisbaar zijn voor kritische websites (sites die door de bezoeker moeten kunnen worden vertrouwd, bijv. omdat er persoons- en/of financiële- en/of medische gegevens mee worden uitgewisseld).

Uit helemaal niets op de websites blijkt welke partij erachter zit, anders dan een plaatje met de naam van het bedrijf waarvan de medewerkers iets met pensioen zouden kunnen regelen. Geen privacy-statement, geen contactgegevens en geen mogelijkheid om een vraag te stellen. Naast -uitsluitend- de krankzinnige vraag om een pincode. Welke noob verzint zoiets?

Als het hier niet om phishing gaat, smeekt het erom. Het heeft er beslist alle kenmerken van.

Overigens hamer ik nooit op beveiligde DNS; daar schiet je veel te weinig mee op. De meeste domeinnamen zijn veel te moeilijk exact te onthouden door mensen, waardoor zij eenvoudig gefopt (kunnen) worden met een domeinnaam met daarin een extra streepje (zie https://security.nl/posting/768888), een "typo" of een andere TLD. Ook zijn zij veel te vaak nietszeggend of stinken ze (zoals yo88.wtf of https://gateway.stepup-prd.rijk.sson.overheid-i.nl).

Bovendien, indien deze pensioenregelaar vertrouwenswaardig over zou willen komen (en daadwerkelijk het vertrouwen geniet van het bedrijf waar zij het medewerkerpensioen voor zouden willen verzorgen), zouden hun domeinnamen pensioenbij.bedrijfsnaam.tld hebben geluid. Dáár hamer ik wél vaak op (mogelijk geef ik in een volgende reactie nog een hersenloos voorbeeld van hoe het niet moet). Niet dat dit perfect is, maar omdat zo'n hiërarchische domeinnaam een verbetering is t.o.v. een totaal ongerelateerde domeinnaam.

Een dergelijke hiërarchische domeinnaam, een subdomein van bedrijfsnaam.tld dus, kan namelijk (tenzij de eigenaar bijv. een zwak wachtwoord gebruikt voor toegang to hun DNS-records of de DNS-boer gehacked wordt) uitsluitend door de (huidige) eigenaar van bedrijfsnaam.tld worden aangemaakt of gewijzigd.

Door Anoniem: Maar ik denk dat jij al lang in SIDN hebt gekeken, [...]
Dat denk jij fout. Als domeinnaamregistraties niet vol staan met "hidden for privacy reasons" o.i.d. zijn identiteitsgegevens van de eigenaar extreem onbetrouwbaar. Bij de registratie van domeinnamen vindt er namelijk geen betrouwbare verificatie plaats van de werkelijke identiteit van de aanvrager. Dat kan ook helemaal niet uit de minder dan 5 Euro voor het eerste jaar (zie https://000.nl/domeinnaam-registratie-vergelijken-providers-2/). Nb. cybercriminelen hebben zelden een tweede jaar nodig; voor hen zijn het wegwerpdomeinnamen.

Als je gelijk hebt dat het hierbij niet om criminelen gaat, is perfect aangetoond dat zelfs een ervaren oude rot als ik nep niet van echt kon onderscheiden. Laat staan dat doorsnee internetters dit zouden kunnen.

Op internet wordt gebruikers doelbewust de informatie onthouden waaruit zij, in nagenoeg alle gevallen, het verschil zouden kunnen zien tussen een filiaal van de Bijenkorf en een kofferbaksale uit een auto met gestolen kentekenplaten.

Het internet is ziek, doodziek - veroorzaakt door noobs, idioten zoals jij en door Big Tech die meeverdient aan cybercriminaliteit.
24-08-2024, 16:26 door Erik van Straten
Door Anoniem: Dat dit in jouw ogen niet 100% veilig en 100% betrouwbaar is [...]
Dat 100% veilig en betrouwbaar niet bestaan, weet ik. Het is mijn beroep.

Meer dan 0%, en dan vooral redelijke (alles overwegende) veiligheid, betrouwbaarheid en authenticiteit, bestaan wél.

Er is ook nog zoiets als de AVG. Persoonlijk denk ik dat DV- (Domain Validated) https servercertificaten niet conform de AVG (GDPR) zijn voor websites waar je vertrouwelijke persoonsgegevens mee uitwisselt. Het risico op phishing (d.m.v. een nepwebsite) is al snel véél te groot.
24-08-2024, 16:45 door Anoniem
Door Erik van Straten:
Door Anoniem: Voor mij is dit wel (opnieuw) het ultieme bewijs dat al dat gedoe rondom certificaten en beveiligde DNS waar jij steeds op hamert, niet de oplossing van het probleem is.
Ongeacht of Anoniem (Vandaag, 11:37) gelijk heeft dat het hierbij niet om een criminele partij gaat, is dit wel (opnieuw) het ultieme bewijs dat https servercertificaten, waaruit blijkt wie de eigenaar is van de domeinnaam (noodzakelijkerwijs vastgesteld door een door internetgebruikers vertrouwde certificaatuitgever) en sterk verbeterde browsers onmisbaar zijn voor kritische websites (sites die door de bezoeker moeten kunnen worden vertrouwd, bijv. omdat er persoons- en/of financiële- en/of medische gegevens mee worden uitgewisseld).
Maar dat levert toch niks op?
Geen enkele gebruiker die dat gaat controleren, sterker nog: het gros van de gebruikers heeft tegenwoordig een device waar je dat niet eens KUNT controleren.
Dus wat schiet je er dan mee op?

Bovendien, indien deze pensioenregelaar vertrouwenswaardig over zou willen komen (en daadwerkelijk het vertrouwen geniet van het bedrijf waar zij het medewerkerpensioen voor zouden willen verzorgen), zouden hun domeinnamen pensioenbij.bedrijfsnaam.tld hebben geluid. Dáár hamer ik wél vaak op (mogelijk geef ik in een volgende reactie nog een hersenloos voorbeeld van hoe het niet moet). Niet dat dit perfect is, maar omdat zo'n hiërarchische domeinnaam een verbetering is t.o.v. een totaal ongerelateerde domeinnaam.

Dat is mooi voor het koppelen van een naam aan een bedrijf, maar het is weer moeilijk voor het verkrijgen van het juiste certificaat.
Immers degene die deze pensioen pagina regelt (externe partij) kan geen certificaten namens het betrokken bedrijf aanvragen.
Dat moet dan iemand bij het bedrijf zelf doen (wie?) en die moet dat verkregen certificaat dan veilig overhandigen aan die externe partij (hoe?).
En na een jaar verloopt het, en moet die procedure herhaald worden (liefst daarvoor al).
Als ik in mijn bedrijf eens rondkijk hoe de personeelsadministratie dat zou moeten regelen dan voorzie ik een hoop ellende.

In plaats daarvan gebruikt men dus de domeinnaam onzebedrijfsnaam.bedrijfsnaamvanservicebedrijf.nl waar dat servicebedrijf een (wildcard) cert voor gebruikt wat dus alleen garandeert dat het dat servicebedrijf is en niet ons bedrijf.
Maar dat maakt niet heel veel uit want de gebruikers geloven het toch wel.
24-08-2024, 19:18 door Erik van Straten
Door Anoniem: Bij het gros van die domeinnamen is de pagina met pincode al vervangen door een informatieve pagina.

Dat geld ook voor 98% van de domeinnamen uit je post https://security.nl/posting/854743
Het enige wat in al die aanvragen overeenkomt is de hostingpartij VDX.
Ik was -en ben- de naam "VDX" nog nergens tegengekomen. Daarnaast heeft/hebben de "Anoniem" of de "Anoniemen" op deze site duidelijk grote moeite met percentages.

De volgende websites vroegen vanmiddag uitsluitend om een pincode (nadat mijn browser van / was geredirect naar /online/ (dat ik, net als www., weglaat uit de domeinnamen hieronder):
01) pensioenbijvanerum.nl
Zie https://archive.is/vUTPQ

02) pensioenbijborgheserealestate.nl
Zie https://archive.is/aqr0a

03) pensioenbijbensellrealestate5.com
Nb. i.p.v. een plaatje met een logo staat hier de tekst "logo". Zie https://archive.is/AuZhv

04) pensioenbijcne.n
Zie https://archive.is/kZxUJ

05) pensioenbijgb.nl
Zie https://archive.is/ttjNU

06) pensioenbijpodotherapiewestfriesland.n
Zie https://archive.is/aUuID

07) pensioenbijdream.nl
Zie https://archive.is/BqeRX

08) pensioenbijcontrolin.com
Zie https://archive.is/3Zxzz

09) pensioenbijhollister.com
Zie https://archive.is/pRFk2

10) pensioenbijsmulders-wholesale.nl
Zie https://archive.is/LzxPM

11) pensioenbijnewway.nl
Zie https://archive.is/appmB

12) pensioenbijuboengineering.nl
Zie https://archive.is/oOEMu

13) pensioenbijinfoscore.nl
Zie https://archive.is/JFS0m

14) pensioenbijsmelt.eu
Zie https://archive.is/Tu2YA

15) pensioenbijperfectpro.eu
Zie https://archive.is/0uWY5

De volgende URL's geven momenteel een certificaatfoutmelding:
16) https://pensioenbijkccnisbets.nl/

17) https://pensioenbijkklerkvisniekus.nl/
Het certificaat is wél geldig voor netlify.app en *.netlify.app. Overigens één van de bedrijven die flink aan cybercriminaliteit verdient. Druk in https://www.virustotal.com/gui/domain/netlify.app/relations, onder "Subdomains (252.8 K)", onder in die sectie, maar een paar maal op ••• en merk op hoeveel, op dit moment al, als crimineel gediagnosticeerde sites hier tussen zitten.

De volgende site geeft een geheel lege pagina:
18) pensioenbijbensell4.nl
Zie https://archive.is/AtWDW

De volgende sites melden, onder een logo, "De website wordt op dit moment bijgewerkt zodat deze weer helemaal up-to-date is.":
19) mijngeldvoorstraks.nl

20) pensioenbijtrifleetindienstvoor2024.nl
(wie bedenkt dat, een jaartal in een domeinnaam?)

21) pensioenbijzuiderhuis.nl

De overige websites bieden meer informatie, maar je moet flink zoeken naar wie er achter zit. Er is onderaan een knop "Disclaimer" te zien waarin m.i. nogal vage informatie staat en je vooral naar https://mijnpensioenoverzicht.nl/ wordt verwezen - naast de gebruikelijke volgende info:
Werking Website
VLC & Partners garandeert niet dat deze website foutloos, ononderbroken functioneert en vrij zal zijn van virussen of vergelijkbare componenten en aanvaardt geen aansprakelijkheid als je schade lijdt.

Een privacy-statement ontbreekt volledig.

Je hebt geen idee dat jouw gegevens bij Amerikaanse bedrijven op goedkope hosting worden verwerkt, laat staan wat daar verder mee gebeurt. Bijvoorbeeld uit
https://www.ditispensioenbijdeessentie.nl/online/eigen-situatie/:
Mijn persoonlijke situatie inzien
in slechts60seconden jouw situatie bekijken
           ( Stap 1)
Vul je gegevens in voor een persoonlijk inzicht.
Maak je geen zorgen, de gegevens worden alleen opgeslagen op je telefoon, tablet of computer.

Geboortedatum [ 24021965 ]
"Maak je geen zorgen, de gegevens worden alleen opgeslagen op je telefoon, tablet of computer."
Tuurlijk joh.

Ik kap er nu mee, ik vind dat ik genoeg tijd heb verspild aan deze amateuristische, niet van phishing te onderscheiden rommel. Waarvan ik nog steeds geen enkel overtuigend bewijs heb gevonden dat deze campagne niet met criminele intenties is opgezet, c.q. bedoeld is om mensen over te halen om -hoogstwaarschijnlijk tegen betaling- een pensioenadviseur in de arm te nemen.

Ik heb geen idee hoeveel de betrokken bedrijven voor deze troep betaald hebben. Een foldertje was enorm veel veiliger en privacy-vriendelijker, waarschijnlijk veel effectiever en, zo goed als zeker, een stuk goedkoper geweest. Als het niet om phishing gaat.
24-08-2024, 20:08 door Anoniem
Door Erik van Straten: [..onwijs veel onzin..]

Laat ik beginnen met de allereerste link http://pensioenbijvanerum.nl die je zelf hebt onderzocht.
Uit SIDN blijkt dat deze domeinnaam is geregistreerd door VDX Internet Services B.V. dan laat ik de rest van je lijst gewoon los, ok?

Dan het privacystatement van VLC & Partners. Inderdaad zijn de domeinnamen (dat zegt nog niets over de westen zelf trouwens) gehost bij de Amerikaanse versies van AmazonWS en/of Google. Normaliter spreek je bij aanvang overeenkomst af dat de data binnen de EER blijft. Binnen de Europese Economische Ruimte (EER) is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EER-landen zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). Geef je als organisatie persoonsgegevens door van Nederland naar een ander land uit de EER? Dan moet u dus voldoen aan de AVG. Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Landen buiten de EER worden ook wel ‘derde landen’ genoemd. Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van: (1) een adequaatheidsbesluit; (2) passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR) of (3) specifieke uitzonderingen.

Als je naar de lijst met derde landen kijkt staat de Verenigde Staten (organisaties die meedoen aan het Data Privacy Framework) daar gewoon tussen. Als je vervolgens naar het privacystatement van AmazoneWS kijkt lees je dat ze voldoen aan de GDPR en het DPF.

En dan mijn laatste punt: jouw betiteling van andere personen hier als amateur. Ik vind jou helemaal geen amateur. Ik vind je een toptechneut (maar ik vind je ook niet meer dan dat). Internet is niet alleen onveilig geraakt door Big Tech en overheden. Begin deze eeuw hebben beleidsmakers bij Internic besloten om domeinnaam registraties voor behalve bedrijven ook open te zetten voor publiek. Dat komt vooral doordat toptechneuten uit de Linux/Unix gemeenschap vonden dat het internet een open karakter moest hebben. En die toptechneuten hebben de beleidsmakers ervan weten overtuigen dat zij het internet veilig zouden kunnen houden. Maar werkend vanachter hun shell, koude koffie en Bedrocksandalen hebben die toptechneuten ergens het idee gekregen dat ze alles overzagen.
24-08-2024, 23:15 door Erik van Straten - Bijgewerkt: 25-08-2024, 00:06
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Voor mij is dit wel (opnieuw) het ultieme bewijs dat al dat gedoe rondom certificaten en beveiligde DNS waar jij steeds op hamert, niet de oplossing van het probleem is.
Ongeacht of Anoniem (Vandaag, 11:37) gelijk heeft dat het hierbij niet om een criminele partij gaat, is dit wel (opnieuw) het ultieme bewijs dat https servercertificaten, waaruit blijkt wie de eigenaar is van de domeinnaam (noodzakelijkerwijs vastgesteld door een door internetgebruikers vertrouwde certificaatuitgever) en sterk verbeterde browsers onmisbaar zijn voor kritische websites (sites die door de bezoeker moeten kunnen worden vertrouwd, bijv. omdat er persoons- en/of financiële- en/of medische gegevens mee worden uitgewisseld).
Maar dat levert toch niks op?
Jawel. Ook in het echte leven is weten met wie je zaken doet een essentiële voorwaarde voor vertrouwen. Alleen dán kun je afgaan op reputatie en/of iemand voor de rechter slepen als deze jou belazert. Als je überhaupt nog zaken wil doen als het om iemand uit een ander land gaat waar de kans op "jouw recht halen" kleiner is dan in Nederland of eventueel de EU.

Door Anoniem: Geen enkele gebruiker die dat gaat controleren,
Dat was en is onjuist, en dat *moet* veranderen; mensen moet geleerd worden dat het uiteindelijk in hun eigen belang is (ook als zij op het werk in phishing trappen) dat zij vaststellen met wie zij te maken hebben - en hoe zeker het is dat het niet om een vervalste identiteit gaat.

Ik ken ook geen (enigszins bruikbaar) alternatief voor een paspoort of ID-kaart - waarbij de identiteit van de betrokken persoon met redelijke betrouwbaarheid is vastgesteld door een derde partij (de overheid). Dat is niet 100% waterdicht, maar hoe dichter je daar in de buurt wil komen, hoe moeilijker (en duurder) het wordt.

Door Anoniem:sterker nog: het gros van de gebruikers heeft tegenwoordig een device waar je dat niet eens KUNT controleren.
Momenteel niet (uitzondering: Chrome onder Android - een niet te onderschatten percentage gebruikers). Maar dat valt prima te verbeteren (Big Tech zal gedwongen moeten worden, want minder phishing betekent minder inkomsten voor hen).

Bijvoorbeeld: als je met een specifieke browser voor de allereerste keer een website met een specifieke domeinnaam bezoekt, laat de browser éérst (vóórdat er überhaupt content van de site wordt opgehaald) voor mensen begrijpelijke identificerende informatie van de juridisch verantwoordelijke voor de website zien.

Tevens hoort daar informatie bij die beschrijft met welke betrouwbaarheid die identiteit is vastgesteld.

En neem tutorials op in browsers waarin wordt uitgelegd waarom de "context" belangrijk is (zie de kofferbaksale die ik eerder noemde).

Het is namelijk zinloos om te bewijzen dat (beiden zijn bereikbaar via https://):

    circleci.com

de juiste domeinnaam van jouw website is, terwijl

    circle-ci.com

van een nepsite is (nogmaals, zie https://security.nl/posting/768888 uit sept. 2022).

Tenzij ik het mij verkeerd herinner, werd, daags na de aanval in 2022, jouw browser doorgestuurd naar https://circleci.com als je https://circle-ci.com opende.

Dat is vandaag (en waarschijnlijk al maanden) niet meer het geval!

De nepsite heeft sinds maart 2024 weer certificaten (zie https://crt.sh/?q=circle-ci.com) en ziet er véél gelikter uit dan https://circleci.com. Beiden hebben een Let's Encrypt certificaat.

Als je als beginnend ontwikkelaar met CI (Continuous Integration) aan de slag wilt, hoe kun je dan nep van echt onderscheiden?

Tenzij je de tegenwoordigheid van geest hebt om bijv. https://www.virustotal.com/gui/domain/circle-ci.com/detection te bekijken (of toevallig ofwel Antiy-AVL, BitDefender, CyRadar, ESET, Fortinet, G-Data, Lionic, Sophos, VIPRE, of Webroot als virusscanner gebruikt op het apparaat waarmee je die website opent, en je dat niet deed vóórdat de maker van die virusscanner doorhad dat de geschiedenis zich herhaalt met de foute domeinnaam)?

Uit https://circleci.com/security/:
If you find a serious security issue such as any of the following issues, please contact us with relevant details including steps to reproduce or a proof-of-concept.
[...]
• Email spoofing, SPF, DKIM, and DMARC errors
Wat heb je daaraan als je een mail ontvangt:

  From: CircleCI Support <een—naam@circle-ci.com>

waarbij SPF, DKIM en DMARC netjes in orde zijn - maar jij niet weet (of je niet realiseert) dat het circleci zonder minnetje er in moet zijn? En dat alles mits het door jou gebruikte e-mail programma die regel niet inkort tot:

  From: CircleCI Support

en je helemaal geen domeinnaam meer ziet.

Het probleem hier is is dat de kans dat een entiteit (zoals een webserver of een e-mail afzenderdomein) authentiek is (werkelijk de geclaimde identiteit heeft) kleiner is naamate impersonatie eenvoudiger is. Waarbij je rekening moet houden met elke (mogelijk zwakke) schakel, waaronder onvolkomenheden van mensen zoals niet precies weten dat er géén minnertje in de domeinnaam hoort, en de TLD niet .dev, .io, .net, .me, .biz, .id etc. is maar .com.

Door Anoniem: Dus wat schiet je er dan mee op?
Het maximaal haalbare.

Door Anoniem:
Bovendien, indien deze pensioenregelaar vertrouwenswaardig over zou willen komen (en daadwerkelijk het vertrouwen geniet van het bedrijf waar zij het medewerkerpensioen voor zouden willen verzorgen), zouden hun domeinnamen pensioenbij.bedrijfsnaam.tld hebben geluid. Dáár hamer ik wél vaak op (mogelijk geef ik in een volgende reactie nog een hersenloos voorbeeld van hoe het niet moet). Niet dat dit perfect is, maar omdat zo'n hiërarchische domeinnaam een verbetering is t.o.v. een totaal ongerelateerde domeinnaam.

Dat is mooi voor het koppelen van een naam aan een bedrijf, maar het is weer moeilijk voor het verkrijgen van het juiste certificaat.
Betrouwbare authenticatie is duur. Als je betrouwbare authenticatie achterwege laat bij het verkrijgen van https servercertificaten, die ooit expliciet ontworpen zijn om ten minste te bevatten:

1) public key;
2) domeinnaam;
3) uniek identificerende gegevens van verantwoordelijke;
4) metadata (geldigheidsduur, uitgever etc)

dan verdwijnt punt 3 en moet elke individuele internetter zien uit te vogelen van wie 2 is. En dat schaalt voor geen meter.

Door Anoniem: Immers degene die deze pensioen pagina regelt (externe partij) kan geen certificaten namens het betrokken bedrijf aanvragen.
Dat moet dan iemand bij het bedrijf zelf doen (wie?) en die moet dat verkregen certificaat dan veilig overhandigen aan die externe partij (hoe?).
Een certificaat mag je aan iedereen overhandigen, zo onveilig als je maar wilt. Sterker, via https geopende websites sturen hun certificaat naar elke bezoeker, hoe ombetrouwbaar ook.

Hoe dan wel: op de uiteindelijke server wordt een sleutelpaar en vervolgens een CSR (Certificate Signing Request) gegenereerd. De verantwoordelijke voor de website gaat met dat CSR naar de CSP (Certificate Service Provider, de certificaatuitgever) die vaststelt dat (en/en):

• De domeinnaam in het certificaat van de server is die over de private key beschikt die uniek past bij de public key in het CSR;

• De aanvrager daadwerkelijk degene is die verantwoordelijk is voor de website met de gegeven domeinnaam, of geautoriseerd is om namens die verantwoordelijke het certificaat aan te vragen.

Als alles klopt vult de CSP het CSR verder aan en ondertekent het digitaal, waarmee het CSR een certificaat is geworden (sinds certificate transparency zijn er meer stappen, maar die zijn niet relevant voor deze beknopte uitleg).

Door Anoniem: En na een jaar verloopt het, en moet die procedure herhaald worden (liefst daarvoor al).
Er valt heel goed een eenvoudiger aanpak te bedenken voor het verlengen van certificaten. Essentieel is dat er bewijs geleverd wordt dat de verantwoordelijke voor een domeinnaam dat nog steeds is (de domeinnaam niet in andere handen is overgegaan).

Je zou kunnen denken aan certificaten met twee public keys: een korte-termijn voor de authenticatie van de website, en een lange termijn voor de authenticatie van de verantwoordelijke (met de daarbij passende private key natuurlijk niet op de server).

Door Anoniem: Als ik in mijn bedrijf eens rondkijk hoe de personeelsadministratie dat zou moeten regelen dan voorzie ik een hoop ellende.
Als ik eens rondkijk en zie dat Europeanen straks met sterke authenticatie (EDIW aka EUDIW), op -onder meer- potentieel nep porno-, drank- en goksites moeten gaan bewijzen dat zij oud genoeg zijn (in de misplaatste hoop dat dit te jonge mensen tegenhoudt), of sterk moeten authenticeren op nep pensioensites - die daarmee, als "doorzetter" daarnaartoe, identiteitsfraude op authentieke websites kunnen plegen, dan voorzie ik een hoop ellende.

Sowieso: wat heeft personeelszaken met authenticatie van websites te maken? Dit is echt een taak voor een CIO of security-officer - die direct verantwoording aflegt aan de directie. Die directie mag, net zoals Ali Niknam, verantwoording afleggen als jouw bedrijf voor de camera's gesleept wordt omdat je niet genoeg doet tegen cybercrime.

Als je, voor jouw klanten, een betrouwbaar bedrijf wilt zijn, in de zin van dat je hen zo goed als mogelijk helpt voorkómen dat zij in oplichting met een nepsite trappen (door hen handvatten te geven waarmee zij nep van echt kunnen onderscheiden), heb je een voordeel op jouw concurrenten. Die welliswaar goedkoper kunnen zijn, maar alle waar naar z'n geld. Dit krijgt een boost zodra internetgebruikers in hun browser zien dat het om een risicovolle anonieme low budget website gaat, of eentje waar men respect heeft voor alle klanten.

Door Anoniem: In plaats daarvan gebruikt men dus de domeinnaam onzebedrijfsnaam.bedrijfsnaamvanservicebedrijf.nl waar dat servicebedrijf een (wildcard) cert voor gebruikt wat dus alleen garandeert dat het dat servicebedrijf is en niet ons bedrijf.
Maar dat maakt niet heel veel uit want de gebruikers geloven het toch wel.
Niet alle gebruikers (ik niet). En als het aan mij ligt, maken we het internet veel veiliger dan het nu is, en gaat het om een toenemend aantal gebruikers die het niet langer pikt dat steeds meer onnaceptabel grote risico's op hen worden afgewenteld - waar een deel van hen daadwerkelijk en op soms afschuwelijke wijze slachtoffer van wordt.

Om een trap na te krijgen van aso's die stellen dat ze niet zo stom hadden moeten zijn, terwijl de problematiek bewust veroorzaakt wordt door hen essentiële informatie te onthouden. Onder het mom van "Geen enkele gebruiker die dat gaat controleren".

Edit 20240824 00:06: link https://circleci.com/security/ toegevoegd
24-08-2024, 23:35 door Anoniem
Door Erik van Straten:
Door Anoniem: Immers degene die deze pensioen pagina regelt (externe partij) kan geen certificaten namens het betrokken bedrijf aanvragen.
Dat moet dan iemand bij het bedrijf zelf doen (wie?) en die moet dat verkregen certificaat dan veilig overhandigen aan die externe partij (hoe?).
Een certificaat mag je aan iedereen overhandigen, zo onveilig als je maar wilt. Sterker, via https geopende websites sturen hun certificaat naar elke bezoeker, hoe ombetrouwbaar ook.

Hoe dan wel: op de uiteindelijke server wordt een sleutelpaar en vervolgens een CSR (Certificate Signing Request) gegenereerd. De verantwoordelijke voor de website gaat met dat CSR naar de CSP (Certificate Service Provider, de certificaatuitgever) die vaststelt dat (en/en):

• De domeinnaam in het certificaat van de server is die over de private key beschikt die uniek past bij de public key in het CSR;

• De aanvrager daadwerkelijk degene is die verantwoordelijk is voor de website met de gegeven domeinnaam, of geautoriseerd is om namens die verantwoordelijke het certificaat aan te vragen.

Als alles klopt vult de CSP het CSR verder aan en ondertekent het digitaal, waarmee het CSR een certificaat is geworden (sinds certificate transparency zijn er meer stappen, maar die zijn niet relevant voor deze beknopte uitleg).

Dit verhaal geeft duidelijk aan hoe ver jij van de realiteit verwijderd bent.
Je gaat mij, een IT-er, op een IT security site uitleggen hoe een certificaat moet worden aangevraagd in antwoord op mijn vermoeden dat Miep van de Personeelsadministratie dit nooit voor elkaar gaat krijgen.
Daarmee bewijs je alleen maar dat ik gelijk had, en nog zie je het zelf niet.

Jij bent er nog een van de generatie "het moet wel moeilijk zijn anders kijken ze niet meer tegen ons op!".
Zo rolt de IT in bedrijven niet meer, tegenwoordig.
24-08-2024, 23:57 door Erik van Straten
Door Anoniem: [..onwijs veel onzin..]
Begin deze eeuw hebben beleidsmakers bij Internic besloten om domeinnaam registraties voor behalve bedrijven ook open te zetten voor publiek.
Ik begrijp jouw fixatie op domeinnamen niet.

Domeinnamen zijn tijdelijke aliases die (net als telefoonnummers en woonadressen), zonder dat iemand jou dat actief vertelt, van eigenaar kunnen veranderen (zie bijv. tvspot.nl in https://security.nl/posting/833217).

Domeinnamen zijn compact en toch uniek, maar voor mensen zijn ze een zwaktebod. Een naar anoniem neigend pseudoniem dat door big tech werd gepromoot als volwaardig alternatief voor uniek identificerende gegevens van de verantwoordelijke voor een website (waar mensen veel meer aan kunnen hebben). Want: meer winst - over de ruggen van internet gebruikers.

Mensen en domeinnamen zijn incompatibel met elkaar, zie https://security.nl/posting/852763.
25-08-2024, 00:14 door Anoniem
Door Erik van Straten:

Domeinnamen zijn compact en toch uniek, maar voor mensen zijn ze een zwaktebod. Een naar anoniem neigend pseudoniem dat door big tech werd gepromoot als volwaardig alternatief voor uniek identificerende gegevens van de verantwoordelijke voor een website (waar mensen veel meer aan kunnen hebben). Want: meer winst - over de ruggen van internet gebruikers.

Vanuit een techneuten perspectief snap ik dat dit zo gezien word.
25-08-2024, 09:17 door Anoniem
Ehm. Even een domme opmerking.

Maar hoort de onderneming haar eigen personeel niet (vooraf) te informeren dat ze een mailtje gaan krijgen over hun pensioen (omdat de medewerkers iets moeten doen).
Als er echt iets speelt, dan kan dat kenbaar gemaakt worden via hun eigen intranet of anders mbv een briefje bij de koffiehoek (in het MKB). Ook de chef zou iets kunnen melden bij de dag- of weekstart.

En als dat niet gebeurd is, dan zou ik zelf als medewerker eerst eens met personeelszaken gaan bellen (of de chef aan schieten).
Dan is snel genoeg duidelijk of het serieus is (en er beter gecommuniceerd moet worden) of dat het een hoax is.
En als iedereen in het bedrijf dat gaat doen...

Techniek is leuk, maar het gros van de gebruikers gaat niet zo diep speuren. Of 'vreemde' urls's herkennen.
Ze krijgen een mail en moeten daar iets mee. Hoe simpeler de oplossing, hoe makkelijker ze die (standaard) oplossing onthouden.
Vertrouw je het niet, controleer dan of er over gecommuncieerd is / vraag het na.
25-08-2024, 10:14 door Erik van Straten - Bijgewerkt: 25-08-2024, 10:27
Door Anoniem: Jij bent er nog een van de generatie "het moet wel moeilijk zijn
Nee. Ik vind absoluut niet dat betrouwbare authenticatie moeilijk en/of prijzig MOET zijn. Het is een gegeven, helaas pindakaas.

Door Anoniem: Zo rolt de IT in bedrijven niet meer, tegenwoordig.
Van mij mag dat allemaal. Mits bedrijven en overheden stoppen met van burgers/klanten/patiënten te eisen dat zij wél, om "economische redenen" steeds vaker beperkt tot uitsluitend online, met toenemende betrouwbaarheidseisen (2FA/MFA, passkeys, paspoortscan, VideoIdent, eIDAS, EDIW) authenticeren. En daarbij steeds meer onvervalsbare privacygevoelige gegevens moeten delen met slecht beveiligde servers beheerd door niet gescreende uitzendkrachten.

Dat terwijl eisen voor betrouwbare en zinvolle authenticatie aan de serverzijde zijn afgeschaft, steeds meer operationele (bedrijfs-) risico's op klanten/burgers/patiënten persoonlijk worden afgewenteld, evil proxies welig tieren en steeds meer certificaten onterecht worden uitgegeven (wat ooit nog een doodzonde was ten tijde van Diginotar). Waarbij ook nog eens de weinige bestaande vangnetten door Kifid en rechters kapot worden geknipt.

En mensen die in phishing trappen stom worden gevonden door anonieme malloten - terwijl commerciële partijen, die websites uit de grond stampen die alle kenmerken van (pensioen) phishing hebben, door diezelfde (? ik kan ze niet van elkaar onderscheiden) anonieme malloten met hand en tand worden verdedigd.
25-08-2024, 10:55 door Anoniem
Door Anoniem: Ehm. Even een domme opmerking.

Maar hoort de onderneming haar eigen personeel niet (vooraf) te informeren dat ze een mailtje gaan krijgen over hun pensioen (omdat de medewerkers iets moeten doen).
Als er echt iets speelt, dan kan dat kenbaar gemaakt worden via hun eigen intranet of anders mbv een briefje bij de koffiehoek (in het MKB). Ook de chef zou iets kunnen melden bij de dag- of weekstart.

Dat is natuurlijk ook wel gebeurd, maar Erik bekijkt dit verhaal niet van binnenuit maar denkt dat ie met externe observatie begrijpt wat er gaande is.
Inderdaad, als je ergens werkt waar ze zo iets gebruiken dan krijg je die informatie wel. Tegelijk met die pincode.
25-08-2024, 11:54 door Anoniem
Door Erik van Straten:
Door Anoniem: Jij bent er nog een van de generatie "het moet wel moeilijk zijn
Nee. Ik vind absoluut niet dat betrouwbare authenticatie moeilijk en/of prijzig MOET zijn. Het is een gegeven, helaas pindakaas.

Anoniem van 23.35 heeft het niet over prijzig.

Door Erik van Straten:
Door Anoniem: Zo rolt de IT in bedrijven niet meer, tegenwoordig.
En daarbij steeds meer onvervalsbare privacygevoelige gegevens moeten delen met slecht beveiligde servers beheerd door niet gescreende uitzendkrachten.

Dat is een suggestieve aanname.

Door Erik van Straten:
Dat terwijl eisen voor betrouwbare en zinvolle authenticatie aan de serverzijde zijn afgeschaft, steeds meer operationele (bedrijfs-) risico's op klanten/burgers/patiënten persoonlijk worden afgewenteld, evil proxies welig tieren en steeds meer certificaten onterecht worden uitgegeven (wat ooit nog een doodzonde was ten tijde van Diginotar). Waarbij ook nog eens de weinige bestaande vangnetten door Kifid en rechters kapot worden geknipt.

Ah Diginotar komt uit de mouw. De hack op Diginotar en het gevolg daarvan bewijst dat veiligheid van internet niet alleen kan worden opgelost door techniek.

In dat Kifid en de rechters verhaal: mensen drukken niet op een knopje en zijn hun geld kwijt. Ze verrichten veel, veel meer handelingen voordat zo'n situatie kan ontstaan. OF ze installeren malafide software uit een alternatieve App Store (want ja Google en Apple bespioneren iedereen vinden wij hier op dit forum) en raken op die manier hun geld kwijt.

Daar valt niets tegen te doen. Niet door Kifid en niet door de banken. Omdat deze scenario's te kunnen voorkomen moet banken de mobiele telefoons in een MDM oplossing duwen. Moet je ze dan horen hier: "oh maar de banken bepalen niet of ik een Android telefoon heb".

Door Erik van Straten:
En mensen die in phishing trappen stom worden gevonden door anonieme malloten - terwijl commerciële partijen, die websites uit de grond stampen die alle kenmerken van (pensioen) phishing hebben, door diezelfde (? ik kan ze niet van elkaar onderscheiden) anonieme malloten met hand en tand worden verdedigd.

Bedoel je de reageerders hier? Beetje vergezocht niet?
25-08-2024, 14:54 door Anoniem
Door Anoniem: In dat Kifid en de rechters verhaal: mensen drukken niet op een knopje en zijn hun geld kwijt. Ze verrichten veel, veel meer handelingen voordat zo'n situatie kan ontstaan. OF ze installeren malafide software uit een alternatieve App Store (want ja Google en Apple bespioneren iedereen vinden wij hier op dit forum) en raken op die manier hun geld kwijt.

Daar valt niets tegen te doen. Niet door Kifid en niet door de banken. Omdat deze scenario's te kunnen voorkomen moet banken de mobiele telefoons in een MDM oplossing duwen. Moet je ze dan horen hier: "oh maar de banken bepalen niet of ik een Android telefoon heb".

Als er andere opties geboden worden door diezelfde banken, hoeft MDM geen probleem te zijn:
1. Een apart dedicated toestel uitgegeven door de bank (op diens kosten svp) met MDM
2. Een analoge oplossing (bv betaalkaarten of balie)
3. Een weboplossing met autenticator steeds nieuwe codes voor inloggen en handelingen.
4. Een (gratis) inbelverbinding 0:-)
25-08-2024, 15:03 door Erik van Straten
Door Anoniem: Anoniem van 23.35 heeft het niet over prijzig.
En?

Door Anoniem: Dat is een suggestieve aanname.
https://www.at5.nl/artikelen/228145/celstraf-voor-uitzendkracht-die-klantenbestand-gebruikte-voor-oplichting-bejaarden

https://www.security.nl/posting/737959/Celstraf+voor+GGD-medewerker+die+gegevens+honderden+Nederlanders+kopieerde

et cetera.

Door Anoniem: Ah Diginotar komt uit de mouw.
dv-cert mis-issuances & ocsp ending
https://infosec.exchange/@ErikvanStraten/112914047006977222

dydx.exchange dv-cert mis-issuances
https://infosec.exchange/@ErikvanStraten/112914048116903769

In dv-cert mis-issuance incidents (https://infosec.exchange/@ErikvanStraten/112914050216821746) verwijs ik onder meer naar:

Sitting Ducks DNS attacks let hackers hijack over 35,000 domains
https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/

Dat artikel verwijst naar https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/, waaruit:
Threat actors have obtained SSL certificates for the domains in many cases, both from free services like Let’s Encrypt and paid services like DigiCert.

Dat artikel verwijst naar https://certitude.consulting/blog/en/subdomain-hijacking/:
The situation becomes even more concerning as valid TLS certificates were issued for websites hosted on platforms like WordPress or Buzzsprout.

Tevens verwijs ik naar, onder meer:

KlaySwap en Celer Bridge BGP-hijacks described
https://www.certik.com/resources/blog/1NHvPnvZ8EUjVVs4KZ4L8h-bgp-hijacking-how-hackers-circumvent-internet-routing-security-to-tear-the

Biggest BGP Incidents/BGP-hijacks/BGP hijacks
https://blog.lacnic.net/en/routing/a-brief-history-of-the-internets-biggest-bgp-incidents

BGP-hijack mis-issued GoGetSSL DV certificate
https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/

Cloudflare once again comes under pressure for enabling abusive sites
https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/

Usenix-18: "Bamboozling Certificate Authorities with BGP"
https://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee

Door Anoniem: In dat Kifid en de rechters verhaal: mensen drukken niet op een knopje en zijn hun geld kwijt. Ze verrichten veel, veel meer handelingen voordat zo'n situatie kan ontstaan.
Het gaat daarvóór al mis. Als zij dat doen is dat omdat zij, met uitgekiende psychologische trucs, ervan overtuigd zijn dat zij, op afstand, communiceren met een bankmedewerker. Wat zelfs écht gebeurt: https://www.security.nl/posting/853973/SNS-medewerker+lichtte+klanten+op+en+gebruikte+banksysteem+voor+nevenfunctie.

Er bestaat een wet die de mensen, die niet zélf de bank oplichten, zou moeten beschermen: https://wetten.overheid.nl/BWBR0005290/. Die wet wordt door Kifid en andere rechters met de voeten getreden.

Zie ook https://www.security.nl/posting/850281/Kifid+herstelt+uitspraak+bankhelpdeskfraude+wegens+%27overduidelijke+vergissing%27.

Door Anoniem: OF ze installeren malafide software uit een alternatieve App Store
Hoezo "alternatieve"?
https://play.google.com/store/apps/details?id=com.anydesk.anydeskandroid

https://apps.apple.com/us/app/anydesk-remote-desktop/id1176131273

Door Anoniem:
Door Erik van Straten: [...] anonieme malloten [...]
Bedoel je de reageerders hier?
Ja. In de eerste plaats jou - een troll met eenvoudig weerlegbare "argumenten".
25-08-2024, 16:54 door Anoniem
Door Erik van Straten: ..

Ah.

Een wettelijk geregeld zichttermijn is niet bedoelt voor bankoverschrijvingen.

Certificaten helpen ook al niet tegen "uitgekiende psychologische trucs" en dat mensen in die trucs trappen kun je de banken ook niet kwalijk nemen. Misschien met je je kruistocht tegen Letscrypt en Kifid doorzetten op de plaats waar hij hoort: bij Kifid en Letscrypt.
25-08-2024, 18:20 door Anoniem
Ik heb bij diverse organisaties een pensioen maar om daar iets mee te kunnen moet ik bij allemaal met DigiD inloggen.
Het lijkt me dan ook goed als dit soort nieuwe tactieken bij de juiste instanties gemeld gaan worden.
Ik zal er in mijn organisatie in ieder geval aandacht voor vragen want er zijn er onlangs weer een flink aantal met pensioen gegaan en er zijn er nog meer die dat op korte termijn gaan doen. Goed om deze groep, meestal niet de tech savy doelgroep alvast te waarschuwen om elk bericht wat ze ontvangen over pensioen goed te controleren en bij twijfel even contact op te nemen.
26-08-2024, 01:16 door Erik van Straten
@Anoniem 18:20: dank voor jouw reactie! (Te lezen in https://security.nl/posting/855083).

Ik weet nog hoe kwaad mijn (nu gepensioneerde) vriendin was toen ze in een e-mail (schijnbaar verzonden door haar werkgever) was getrapt, waarin stond dat ze op de één-of-andere website allerlei gegevens moest invullen om in aanmerking te komen voor een fikse korting (betaald door haar werkgever) op een e-bike - die zij graag wilde hebben.

Het bleek om een -onaangekondigde- phishingtest te gaan, na nul trainingen of andere "awareness" informatie (hoe krijg je de hakken van je personeel in het zand).

Ik kon haar vraag toen niet beantwoorden {1}, nl. hoe iemand die géén expert is {2}, online, in elke mogelijke situatie met ten minste redelijke betrouwbaarheid, nep van echt kan onderscheiden.

{1} Ik kan dat sindsdien steeds minder goed. Bijv. Let's Encrypt, dat steeds vaker onterecht certificaten uitgeeft, vindt OCSP te duur worden - waar jouw browser (en dus jij) sneller mee gewaarschuwd kan worden dan via CRL's. En big tech die steeds vaker openlijk toegeeft "niet voor rechter te willen spelen" - waardoor zij zelf, "onbedoeld natuurlijk", steeds meer verdient door cybercrime, aggressieve reclame en user-tracking te faciliteren. En extra, totaal onzinnige, TLD's die ons om de oren vliegen (waardoor het theororetisch mogelijk aantal domeinnamen voor een organisatie flink is toegenomen en daarop filteren niet kan omdat ook grote legitieme partijen ze inzetten (denk bijv. aan tikkie.me, postnl.post en aka.ms). En het aantal criminele sites dat zich achter CDN's verstopt, waardoor je niet meer hun IP-adres kunt blokkeren en cybercriminelen nóg anoniemer worden. En internetters steeds meer "online" activiteiten verplaatsen naar mobiele devices - met kleinere schermpjes, die "daarom" steeds vaker essentiële informatie en/of instellingen deels of geheel ontoegankelijk maken.

{2} Zelfs als je wél deskundig bent (na het zien van de veel geliktere circle-ci.com site, begon ik mij serieus af te vragen of circleci.com de echte is c.q. ik die twee sites door elkaar aan het halen was).

Waarschuwen is op dit moment het beste dat we kunnen doen. Maar dat is simpelweg onvoldoende effectief; aan mensen vragen om checklists met veel te veel (en iedereen die iets anders zegt) "wij zillen nooit dit of dat" of "kan een inficatie zijn van" criteria te laten aflopen is bij voorbaat kansloos.

Pas als het om een simpele check gaat met een doorslaggevend resultaat, kan en wil ik dat aan gewone internetters uitleggen. D.w.z díe mensen die daar, ondanks scepsis (als gevolg van averechts werkende phishing tests en/of eerder beloofde wondermiddelen zoals virusscanners, firewalls, spamfilters en 2FA), nog naar willen luisteren.
26-08-2024, 08:55 door Anoniem
Ok je vindt dat eindgebruikers niet op een veilige manier kunnen omgaan met diensten op het internet. Dat snap ik.
Maar wat ik dan niet snap is het soort van verhalen waar je dan mee komt. Het ligt allemaal aan Let's Encrypt, aan de domeinnaam registries, aan whatever.
En dat beschrijf je allemaal in een schrijfstijl en taalgebruik waar de meeste mensen al bij de 2e zin al afhaken.

Wat denk je precies dat het positieve effect daarvan is?
26-08-2024, 12:35 door Erik van Straten
Door Anoniem: En dat beschrijf je allemaal in een schrijfstijl en taalgebruik waar de meeste mensen al bij de 2e zin al afhaken.
Ofwel jij leest niks na de 2e zin van mijn postings, en lult dus volledig uit jouw nek in jouw "reacties" - omdat je géén idee hebt waar precies je op reageert. Dat noemen we trollen.

Ofwel jij haakt niet af en leest mijn posts wél helemaal voordat je reageert (in dat geval: respect).

Maar waarom maak jij je eigenlijk zo druk om mijn epistels (volgens jou "allemaal in een schrijfstijl en taalgebruik") "waar de meeste mensen al bij de 2e zin al afhaken"? Wat is exact jouw probleem als toch bijna niemand mijn postings leest?

En als je het ongewenst vindt dat mijn postings door sommigen wél verder worden gelezen dan de tweede zin, waarom draag je er dan aan bij dat door mij gestarte forum-threads langdurig op de voorpagina van security.nl te vinden zijn? En waarom dwing je mij om goede argumenten te verzamelen (waarvoor hartelijk dank, zelfs als mij dat niet goed uitkomt) en te beschrijven, waar je nooit een fatsoenlijk weerwoord op hebt - anders dan uitgeschreven onderbuikgevoelens?

Jouw gedrag zou volstrekt lachwekkend zijn - als er niet zoveel volledig in de steek gelaten slachtoffers van oplichting waren en bijkomen.
26-08-2024, 14:38 door Anoniem
En of het werk van van Straten door veel mensen word gelezen .
Durf ik als gemiddelde opgeleide best te stellen.
Hij, van Straten, doet er tenminste wat aan.

Groetjes
Noob.
26-08-2024, 18:15 door Erik van Straten
@Noob: dank!
26-08-2024, 19:42 door Anoniem
@Erik, het is idd heel erg moeilijk om totale n00bs iets te leren over phishing want er is geen gouden regel waar je met een simpele blik alle phishing e-mails in een keer mee kan herkennen. Je moet ze dus trainen om hun gedrag aan te passen van meteen klikken naar eerst observeren, nadenken of iets logisch is en dan pas acteren (dat kan melden zijn of, in het geval als het een echte e-mail is, gewoon gaan lezen en klikken). Maar dat is ook een langdurig proces want ook phishers veranderen continu van strategie. Nu zijn er vaak wel overeenkomsten maar de zaken die je vaak in de adviezen terug leest kloppen vaak niet. Zo kom ik nog nauwelijks phishing tegen waarin druk wordt uitgeoefend om iets te bereiken. Als je dat als standaard opneemt gaan mensen zich daarop focussen maar wat als dat er niet in voorkomt?
Hetzelfde geldt voor gehackte M365 accounts. Ga een medewerker maar eens uitleggen dat het e-mailtje dat hij van zijn zakenpartner ontvangt in feite een phishing e-mail is omdat het account gehacked is. Ik heb al talloze bedrijven op de hoogte moeten stellen dat één van hun medewerkers gehackt is omdat wij phishing e-mails van die medewerker ontvangen. Vaak waren ze zelf niet eens op de hoogte. Zeer slordig maar ga dat maar eens een MKB'er uitleggen.
Het is niet voor niets dat phishing na al die jaren nog steeds het meest effectieve middel is om accounts over te nemen of malware op systemen los te laten. Mensen zijn geen robots en kunnen nu eenmaal niet logisch nadenken. Laatst ontving ik een vraag van een medewerker, die een duidelijke phishing mail van de "Rabobank" ontving, die aan mij vroeg of het een phishing mail was. Toen ik hem vroeg of hij een rekening bij de Rabobank had ontkende hij dat. Op mijn vraag waarom hij het dan logisch vond dat hij dan de code van een rekening moest gaan wijzigen die hij niet eens heeft moest hij lachen en toegeven dat zijn vraag wel een beetje dom was. Maar op deze manier gaan mensen wel inzien dat ze zelf moeten nadenken. Alleen vraag ik me dan wel af wat de medewerker doet als hij een phishing mail ontvangt die wel van zijn bank lijkt af te komen. Ik vrees het ergste. Maar leren doen mensen nu eenmaal door te herhalen en niet door voor schut gezet te worden na een of andere flauwe phishing test die veel bedrijven nog steeds blijven doen in de hoop dat mensen het een keer gaan snappen (wat ze niet gaan doen op die manier).
26-08-2024, 23:46 door Anoniem
Door Anoniem:Maar leren doen mensen nu eenmaal door te herhalen en niet door voor schut gezet te worden na een of andere flauwe phishing test die veel bedrijven nog steeds blijven doen in de hoop dat mensen het een keer gaan snappen (wat ze niet gaan doen op die manier).
Daarom bestaan de meeste phishing-awareness trainingen ook niet uit een éénmalige email "om te kijken wie erin trapt", maar uit een daadwerkelijk programma van een x aantal maanden waarin medewerkers met enige regelmaat een phishing-email toegestuurd krijgen die ze kunnen rapporteren. Vaak is dit ook nog gekoppeld aan een platform met online trainingen en instructies die de medewerkers kunnen/moeten doorlopen gedurende de looptijd van het programma.

Op die manier wordt er juist herhaaldelijk aandacht aan besteed en leren mensen daar alert op te zijn.
29-08-2024, 13:29 door Erik van Straten
Door Anoniem: Daarom bestaan de meeste phishing-awareness trainingen ook niet uit een éénmalige email "om te kijken wie erin trapt", maar uit een daadwerkelijk programma van een x aantal maanden waarin medewerkers met enige regelmaat een phishing-email toegestuurd krijgen die ze kunnen rapporteren. Vaak is dit ook nog gekoppeld aan een platform met online trainingen en instructies die de medewerkers kunnen/moeten doorlopen gedurende de looptijd van het programma.

Op die manier wordt er juist herhaaldelijk aandacht aan besteed en leren mensen daar alert op te zijn.
Helaas helpt dat uitsluitend tegen onnozele phishingmails.

Internetters worden doelbewust handvatten onthouden om beter nepwebsites van echte te kunnen onderscheiden: https://infosec.exchange/@ErikvanStraten/113031344934186250.

En ook m.b.t. e-mail zijn we blijgemaakt met de ene na de andere dode mus, waar nog steeds veel ICT'ers bij zweren: https://infosec.exchange/@ErikvanStraten/113042129548432457.

Om nog niet te spreken van hoe 2FA (met SMS, Voice, TOTP of "number matching") zogenaamd zou voorkómen dat jouw e-mailaccount gehacked wordt, om daar vervolgens mee op je BEC te gaan (omdat jouw klanten en/of opdrachtgevers en/of burgers en/of patiënten niet van echt te onderscheiden phishingmails van jou ontvangen).

BTBS
In https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html van mei dit jaar kun je, onder meer, de volgende Big Tech Bull Shit lezen:
May 22, 2024, door Matt Linton, "Chaos Specialist" bij Google:
On Fire Drills and Phishing Tests
[...]
Modern “Phishing tests” strongly resemble the early “Fire tests”
Google currently operates under regulations (for example, FedRAMP in the USA) that require us to perform annual “Phishing Tests.” In these mandatory tests, the Security team creates and sends phishing emails to Googlers, counts how many interact with the email, and educates them on how to “not be fooled” by phishing.
[...]
Among the harmful side effects of these tests:
• There is no evidence that the tests result in fewer incidences of successful phishing campaigns;
> Phishing (or more generically social engineering) remains a top vector [1] for attackers establishing footholds at companies.

> Research shows that these tests do not effectively prevent people from being fooled. This study [2] with 14,000 participants showed a counterproductive effect of phishing tests, showing that “repeat clickers” will consistently fail tests despite recent interventions.

[1] https://blog.knowbe4.com/verizon-phishing-is-the-attack-vector-most-often-seen-in-data-breaches

[2] https://arxiv.org/pdf/2112.07498.pdf
• Some (e.g, FedRAMP) phishing tests require bypassing existing anti-phishing defenses [3]. This creates an inaccurate perception of actual risks, [...]

[3] https://www.fedramp.gov/assets/resources/documents/CSP_Penetration_Test_Guidance.pdf
[...]
In short - we need to stop doing phishing tests and start doing phishing fire drills.

A “phishing fire drill” would aim to accomplish the following:
• Educate our users about how to spot phishing emails
[...]

Oftewel, nadruk aangebracht door mij:
• There is no evidence that the tests result in fewer incidences of successful phishing campaigns;
> Phishing (or more generically social engineering) remains a top vector [1] for attackers establishing footholds at companies.

> Research shows that these tests do not effectively prevent people from being fooled. This study [2] with 14,000 participants showed a counterproductive effect of phishing tests, showing that “repeat clickers” will consistently fail tests despite recent interventions.

HOU HIERMEE OP EN FIX HET INTERNET!

Voorbeelden van de larie die Microsoft over ons uitstort kun je lezen in https://infosec.exchange/@ErikvanStraten/112974991373414022.

Bos (met grote boze wolf) ingestuurd
Gegeven dat internetters voortdurend het bos in worden gestuurd met halve (of minder) "oplossingen", zijn die trainingen, waarin je (als het goed is) leert om een soort forensisch expert te worden en bij elke e-mail of ander bericht (in je hoofd) checklists met zeer onbetrouwbare criteria af te lopen en uiteindelijk je onderbuik te raadplegen, simpelweg onzinnig.

Mensen onthouden die criteria slecht, die bovendien voortdurend wijzigen omdat phishers zich aanpassen, en hebben zelden de tijd om, bij elk ontvangen bericht, zo'n reeks afwegingen te maken. Dus blijven ze, héél kort, uitsluitend op hun onderbuik vertrouwen.

Die trainingen, die nu slechts een klein beetje helpen, blijven nodig na de introductie van betrouwbaarder communicatiesystemem, want nep van echt onderscheiden is, ook met fatsoenlijke hulpmiddelen, nooit eenvoudig.

Conclusie
Als we een veiliger internet willen (met veel meer beperkingen voor cybercriminelen), moeten we, om te beginnen, huidige (legitieme) systemen voorzien van optimaal leesbare en voldoende vaak getoonde identiteitsbewijzen (waarbij we ons niets meer van de slechte smoezen en lobbyisten van big tech -zoals de EV browser bug (*)- moeten aantrekken; zij ontlenen hun bestaansrecht aan hun klanten, niet andersom. Ook browser-makers zullen eraan moeten geloven).

Daarna zullen die trainingen moeten worden aangepast op hoe je dergelijke identiteitsbewijzen moet interpreteren: met welke betrouwbaarheid is de identiteit vastgesteld en hoe achterhaal je of de identiteit de door jou bedoelde is (en niet van één van de organisaties geregistreerd in de pyramides van Gizeh: https://rtl.nl/economie/artikel/5432195/onderzoek-naar-frauderisicos-4150-bedrijven-op-amsterdams-adres).

(*) Zie vanaf Killed Extended Validation in https://infosec.exchange/@ErikvanStraten/113031344934186250.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.