Op z'n minst deze zijn er gisteren bijgekomen (in https://security.nl/posting/854743 beschrijf ik hoe je dit moet interpreteren), uit: https://www.virustotal.com/gui/ip-address/104.198.14.52/relations:

Aanvulling 02:13: in https://crt.sh/?Identity=pensioenbijgb.nl zie ik dat voor deze domeinnaam al sinds 2023-02-06 certificaten worden aangevraagd (van de andere drie eentje sinds 2024-08-22 en de andere twee sinds 2024-08-23).

Deze adressen zijn aangevraagd door een onderneming die kleine MKB starters helpt aan een pensioenvoorziening voor hun medewerkers. Ze zijn ook op naam en contactpersoon geregistreerd en gewoon vindbaar in SIDN. Bij het gros van die domeinnamen is de pagina met pincode al vervangen door een informatieve pagina.

Dat geld ook voor 98% van de domeinnamen uit je post https://security.nl/posting/854743
Het enige wat in al die aanvragen overeenkomt is de hostingpartij VDX.

De conclusie kan ook gewoon zijn dat er een paar ondernemingen het MKB helpen bij het nieuwe pensioenstelsel. Het kan ook zijn dat er bij VDX iets gebeurt, met hun medeweten of buiten hen om.

Voor mij is dit wel (opnieuw) het ultieme bewijs dat al dat gedoe rondom certificaten en beveiligde DNS waar jij steeds op hamert, niet de oplossing van het probleem is. Maar ik denk dat jij al lang in SIDN hebt gekeken, dus blijft voor mij de vraag over waarom je dit op dit forum, en op deze manier, onder de aandacht brengt in plaats van VDX gewoon een berichtje te sturen.

Dat heb ik net gedaan. Geen dank verschuldigd.

Dat klopt niet hoor. Er zijn wel degelijk personeel administratie systemen die zo werken.
Bijvoorbeeld om je salarisstrook te lezen krijg je een URL gemaild en als je die opent moet je een pincode opgeven die je eerder verstrekt is, en dan krijg je een PDF te zien.
Dat dit in jouw ogen niet 100% veilig en 100% betrouwbaar is weerhoudt softwaremakers (vroeger noemden we ze "COBOL krassers") er niet van hun systeem zo te bouwen.
Jouw waarschuwingen ook niet, zeker niet als je ze hier plaatst in plaats van ze naar die bedrijven te sturen die dat doen.

Ongeacht of Anoniem (Vandaag, 11:37) gelijk heeft dat het hierbij niet om een criminele partij gaat, is dit wel (opnieuw) het ultieme bewijs dat https servercertificaten, waaruit blijkt wie de eigenaar is van de domeinnaam (noodzakelijkerwijs vastgesteld door een door internetgebruikers vertrouwde certificaatuitgever) en sterk verbeterde browsers onmisbaar zijn voor kritische websites (sites die door de bezoeker moeten kunnen worden vertrouwd, bijv. omdat er persoons- en/of financiële- en/of medische gegevens mee worden uitgewisseld).

Uit helemaal niets op de websites blijkt welke partij erachter zit, anders dan een plaatje met de naam van het bedrijf waarvan de medewerkers iets met pensioen zouden kunnen regelen. Geen privacy-statement, geen contactgegevens en geen mogelijkheid om een vraag te stellen. Naast -uitsluitend- de krankzinnige vraag om een pincode. Welke noob verzint zoiets?

Als het hier niet om phishing gaat, smeekt het erom. Het heeft er beslist alle kenmerken van.

Overigens hamer ik nooit op beveiligde DNS; daar schiet je veel te weinig mee op. De meeste domeinnamen zijn veel te moeilijk exact te onthouden door mensen, waardoor zij eenvoudig gefopt (kunnen) worden met een domeinnaam met daarin een extra streepje (zie https://security.nl/posting/768888), een "typo" of een andere TLD. Ook zijn zij veel te vaak nietszeggend of stinken ze (zoals yo88.wtf of https://gateway.stepup-prd.rijk.sson.overheid-i.nl).

Bovendien, indien deze pensioenregelaar vertrouwenswaardig over zou willen komen (en daadwerkelijk het vertrouwen geniet van het bedrijf waar zij het medewerkerpensioen voor zouden willen verzorgen), zouden hun domeinnamen pensioenbij.bedrijfsnaam.tld hebben geluid. Dáár hamer ik wél vaak op (mogelijk geef ik in een volgende reactie nog een hersenloos voorbeeld van hoe het niet moet). Niet dat dit perfect is, maar omdat zo'n hiërarchische domeinnaam een verbetering is t.o.v. een totaal ongerelateerde domeinnaam.

Een dergelijke hiërarchische domeinnaam, een subdomein van bedrijfsnaam.tld dus, kan namelijk (tenzij de eigenaar bijv. een zwak wachtwoord gebruikt voor toegang to hun DNS-records of de DNS-boer gehacked wordt) uitsluitend door de (huidige) eigenaar van bedrijfsnaam.tld worden aangemaakt of gewijzigd.

Dat denk jij fout. Als domeinnaamregistraties niet vol staan met "hidden for privacy reasons" o.i.d. zijn identiteitsgegevens van de eigenaar extreem onbetrouwbaar. Bij de registratie van domeinnamen vindt er namelijk geen betrouwbare verificatie plaats van de werkelijke identiteit van de aanvrager. Dat kan ook helemaal niet uit de minder dan 5 Euro voor het eerste jaar (zie https://000.nl/domeinnaam-registratie-vergelijken-providers-2/). Nb. cybercriminelen hebben zelden een tweede jaar nodig; voor hen zijn het wegwerpdomeinnamen.

Als je gelijk hebt dat het hierbij niet om criminelen gaat, is perfect aangetoond dat zelfs een ervaren oude rot als ik nep niet van echt kon onderscheiden. Laat staan dat doorsnee internetters dit zouden kunnen.

Op internet wordt gebruikers doelbewust de informatie onthouden waaruit zij, in nagenoeg alle gevallen, het verschil zouden kunnen zien tussen een filiaal van de Bijenkorf en een kofferbaksale uit een auto met gestolen kentekenplaten.

Het internet is ziek, doodziek - veroorzaakt door noobs, idioten zoals jij en door Big Tech die meeverdient aan cybercriminaliteit.

Dat 100% veilig en betrouwbaar niet bestaan, weet ik. Het is mijn beroep.

Meer dan 0%, en dan vooral redelijke (alles overwegende) veiligheid, betrouwbaarheid en authenticiteit, bestaan wél.

Er is ook nog zoiets als de AVG. Persoonlijk denk ik dat DV- (Domain Validated) https servercertificaten niet conform de AVG (GDPR) zijn voor websites waar je vertrouwelijke persoonsgegevens mee uitwisselt. Het risico op phishing (d.m.v. een nepwebsite) is al snel véél te groot.

Maar dat levert toch niks op?
Geen enkele gebruiker die dat gaat controleren, sterker nog: het gros van de gebruikers heeft tegenwoordig een device waar je dat niet eens KUNT controleren.
Dus wat schiet je er dan mee op?


Dat is mooi voor het koppelen van een naam aan een bedrijf, maar het is weer moeilijk voor het verkrijgen van het juiste certificaat.
Immers degene die deze pensioen pagina regelt (externe partij) kan geen certificaten namens het betrokken bedrijf aanvragen.
Dat moet dan iemand bij het bedrijf zelf doen (wie?) en die moet dat verkregen certificaat dan veilig overhandigen aan die externe partij (hoe?).
En na een jaar verloopt het, en moet die procedure herhaald worden (liefst daarvoor al).
Als ik in mijn bedrijf eens rondkijk hoe de personeelsadministratie dat zou moeten regelen dan voorzie ik een hoop ellende.

In plaats daarvan gebruikt men dus de domeinnaam onzebedrijfsnaam.bedrijfsnaamvanservicebedrijf.nl waar dat servicebedrijf een (wildcard) cert voor gebruikt wat dus alleen garandeert dat het dat servicebedrijf is en niet ons bedrijf.
Maar dat maakt niet heel veel uit want de gebruikers geloven het toch wel.

Ik was -en ben- de naam "VDX" nog nergens tegengekomen. Daarnaast heeft/hebben de "Anoniem" of de "Anoniemen" op deze site duidelijk grote moeite met percentages.

De volgende websites vroegen vanmiddag uitsluitend om een pincode (nadat mijn browser van / was geredirect naar /online/ (dat ik, net als www., weglaat uit de domeinnamen hieronder):

De volgende URL's geven momenteel een certificaatfoutmelding:
Het certificaat is wél geldig voor netlify.app en *.netlify.app. Overigens één van de bedrijven die flink aan cybercriminaliteit verdient. Druk in https://www.virustotal.com/gui/domain/netlify.app/relations, onder "Subdomains (252.8 K)", onder in die sectie, maar een paar maal op ••• en merk op hoeveel, op dit moment al, als crimineel gediagnosticeerde sites hier tussen zitten.

De volgende site geeft een geheel lege pagina:

De volgende sites melden, onder een logo, "De website wordt op dit moment bijgewerkt zodat deze weer helemaal up-to-date is.":

De overige websites bieden meer informatie, maar je moet flink zoeken naar wie er achter zit. Er is onderaan een knop "Disclaimer" te zien waarin m.i. nogal vage informatie staat en je vooral naar https://mijnpensioenoverzicht.nl/ wordt verwezen - naast de gebruikelijke volgende info:

Een privacy-statement ontbreekt volledig.

Je hebt geen idee dat jouw gegevens bij Amerikaanse bedrijven op goedkope hosting worden verwerkt, laat staan wat daar verder mee gebeurt. Bijvoorbeeld uit
https://www.ditispensioenbijdeessentie.nl/online/eigen-situatie/:
"Maak je geen zorgen, de gegevens worden alleen opgeslagen op je telefoon, tablet of computer."
Tuurlijk joh.

Ik kap er nu mee, ik vind dat ik genoeg tijd heb verspild aan deze amateuristische, niet van phishing te onderscheiden rommel. Waarvan ik nog steeds geen enkel overtuigend bewijs heb gevonden dat deze campagne niet met criminele intenties is opgezet, c.q. bedoeld is om mensen over te halen om -hoogstwaarschijnlijk tegen betaling- een pensioenadviseur in de arm te nemen.

Ik heb geen idee hoeveel de betrokken bedrijven voor deze troep betaald hebben. Een foldertje was enorm veel veiliger en privacy-vriendelijker, waarschijnlijk veel effectiever en, zo goed als zeker, een stuk goedkoper geweest. Als het niet om phishing gaat.

Laat ik beginnen met de allereerste link http://pensioenbijvanerum.nl die je zelf hebt onderzocht.
Uit SIDN blijkt dat deze domeinnaam is geregistreerd door VDX Internet Services B.V. dan laat ik de rest van je lijst gewoon los, ok?

Dan het privacystatement van VLC & Partners. Inderdaad zijn de domeinnamen (dat zegt nog niets over de westen zelf trouwens) gehost bij de Amerikaanse versies van AmazonWS en/of Google. Normaliter spreek je bij aanvang overeenkomst af dat de data binnen de EER blijft. Binnen de Europese Economische Ruimte (EER) is het niveau van gegevensbescherming gelijk. Dat komt omdat alle EER-landen zich moeten houden aan de Algemene verordening gegevensbescherming (AVG). Geef je als organisatie persoonsgegevens door van Nederland naar een ander land uit de EER? Dan moet u dus voldoen aan de AVG. Voor doorgifte van persoonsgegevens vanuit Nederland naar landen buiten de Europese Economische Ruimte (EER) gelden aparte regels. Landen buiten de EER worden ook wel ‘derde landen’ genoemd. Het is in 3 gevallen mogelijk om persoonsgegevens door te geven naar een derde land. Namelijk op basis van: (1) een adequaatheidsbesluit; (2) passende waarborgen, zoals een modelcontract, een gedragscode, certificering of ‘binding corporate rules’ (BCR) of (3) specifieke uitzonderingen.

Als je naar de lijst met derde landen kijkt staat de Verenigde Staten (organisaties die meedoen aan het Data Privacy Framework) daar gewoon tussen. Als je vervolgens naar het privacystatement van AmazoneWS kijkt lees je dat ze voldoen aan de GDPR en het DPF.

En dan mijn laatste punt: jouw betiteling van andere personen hier als amateur. Ik vind jou helemaal geen amateur. Ik vind je een toptechneut (maar ik vind je ook niet meer dan dat). Internet is niet alleen onveilig geraakt door Big Tech en overheden. Begin deze eeuw hebben beleidsmakers bij Internic besloten om domeinnaam registraties voor behalve bedrijven ook open te zetten voor publiek. Dat komt vooral doordat toptechneuten uit de Linux/Unix gemeenschap vonden dat het internet een open karakter moest hebben. En die toptechneuten hebben de beleidsmakers ervan weten overtuigen dat zij het internet veilig zouden kunnen houden. Maar werkend vanachter hun shell, koude koffie en Bedrocksandalen hebben die toptechneuten ergens het idee gekregen dat ze alles overzagen.

Jawel. Ook in het echte leven is weten met wie je zaken doet een essentiële voorwaarde voor vertrouwen. Alleen dán kun je afgaan op reputatie en/of iemand voor de rechter slepen als deze jou belazert. Als je überhaupt nog zaken wil doen als het om iemand uit een ander land gaat waar de kans op "jouw recht halen" kleiner is dan in Nederland of eventueel de EU.

Dat was en is onjuist, en dat *moet* veranderen; mensen moet geleerd worden dat het uiteindelijk in hun eigen belang is (ook als zij op het werk in phishing trappen) dat zij vaststellen met wie zij te maken hebben - en hoe zeker het is dat het niet om een vervalste identiteit gaat.

Ik ken ook geen (enigszins bruikbaar) alternatief voor een paspoort of ID-kaart - waarbij de identiteit van de betrokken persoon met redelijke betrouwbaarheid is vastgesteld door een derde partij (de overheid). Dat is niet 100% waterdicht, maar hoe dichter je daar in de buurt wil komen, hoe moeilijker (en duurder) het wordt.

Momenteel niet (uitzondering: Chrome onder Android - een niet te onderschatten percentage gebruikers). Maar dat valt prima te verbeteren (Big Tech zal gedwongen moeten worden, want minder phishing betekent minder inkomsten voor hen).

Bijvoorbeeld: als je met een specifieke browser voor de allereerste keer een website met een specifieke domeinnaam bezoekt, laat de browser éérst (vóórdat er überhaupt content van de site wordt opgehaald) voor mensen begrijpelijke identificerende informatie van de juridisch verantwoordelijke voor de website zien.

Tevens hoort daar informatie bij die beschrijft met welke betrouwbaarheid die identiteit is vastgesteld.

En neem tutorials op in browsers waarin wordt uitgelegd waarom de "context" belangrijk is (zie de kofferbaksale die ik eerder noemde).

Het is namelijk zinloos om te bewijzen dat (beiden zijn bereikbaar via https://):

    circleci.com

de juiste domeinnaam van jouw website is, terwijl

    circle-ci.com

van een nepsite is (nogmaals, zie https://security.nl/posting/768888 uit sept. 2022).

Tenzij ik het mij verkeerd herinner, werd, daags na de aanval in 2022, jouw browser doorgestuurd naar https://circleci.com als je https://circle-ci.com opende.

Dat is vandaag (en waarschijnlijk al maanden) niet meer het geval!

De nepsite heeft sinds maart 2024 weer certificaten (zie https://crt.sh/?q=circle-ci.com) en ziet er véél gelikter uit dan https://circleci.com. Beiden hebben een Let's Encrypt certificaat.

Als je als beginnend ontwikkelaar met CI (Continuous Integration) aan de slag wilt, hoe kun je dan nep van echt onderscheiden?

Tenzij je de tegenwoordigheid van geest hebt om bijv. https://www.virustotal.com/gui/domain/circle-ci.com/detection te bekijken (of toevallig ofwel Antiy-AVL, BitDefender, CyRadar, ESET, Fortinet, G-Data, Lionic, Sophos, VIPRE, of Webroot als virusscanner gebruikt op het apparaat waarmee je die website opent, en je dat niet deed vóórdat de maker van die virusscanner doorhad dat de geschiedenis zich herhaalt met de foute domeinnaam)?

Uit https://circleci.com/security/:
Wat heb je daaraan als je een mail ontvangt:

  From: CircleCI Support <een—naam@circle-ci.com>

waarbij SPF, DKIM en DMARC netjes in orde zijn - maar jij niet weet (of je niet realiseert) dat het circleci zonder minnetje er in moet zijn? En dat alles mits het door jou gebruikte e-mail programma die regel niet inkort tot:

  From: CircleCI Support

en je helemaal geen domeinnaam meer ziet.

Het probleem hier is is dat de kans dat een entiteit (zoals een webserver of een e-mail afzenderdomein) authentiek is (werkelijk de geclaimde identiteit heeft) kleiner is naamate impersonatie eenvoudiger is. Waarbij je rekening moet houden met elke (mogelijk zwakke) schakel, waaronder onvolkomenheden van mensen zoals niet precies weten dat er géén minnertje in de domeinnaam hoort, en de TLD niet .dev, .io, .net, .me, .biz, .id etc. is maar .com.

Het maximaal haalbare.

Betrouwbare authenticatie is duur. Als je betrouwbare authenticatie achterwege laat bij het verkrijgen van https servercertificaten, die ooit expliciet ontworpen zijn om ten minste te bevatten:

1) public key;
2) domeinnaam;
3) uniek identificerende gegevens van verantwoordelijke;
4) metadata (geldigheidsduur, uitgever etc)

dan verdwijnt punt 3 en moet elke individuele internetter zien uit te vogelen van wie 2 is. En dat schaalt voor geen meter.

Een certificaat mag je aan iedereen overhandigen, zo onveilig als je maar wilt. Sterker, via https geopende websites sturen hun certificaat naar elke bezoeker, hoe ombetrouwbaar ook.

Hoe dan wel: op de uiteindelijke server wordt een sleutelpaar en vervolgens een CSR (Certificate Signing Request) gegenereerd. De verantwoordelijke voor de website gaat met dat CSR naar de CSP (Certificate Service Provider, de certificaatuitgever) die vaststelt dat (en/en):

• De domeinnaam in het certificaat van de server is die over de private key beschikt die uniek past bij de public key in het CSR;

• De aanvrager daadwerkelijk degene is die verantwoordelijk is voor de website met de gegeven domeinnaam, of geautoriseerd is om namens die verantwoordelijke het certificaat aan te vragen.

Als alles klopt vult de CSP het CSR verder aan en ondertekent het digitaal, waarmee het CSR een certificaat is geworden (sinds certificate transparency zijn er meer stappen, maar die zijn niet relevant voor deze beknopte uitleg).

Er valt heel goed een eenvoudiger aanpak te bedenken voor het verlengen van certificaten. Essentieel is dat er bewijs geleverd wordt dat de verantwoordelijke voor een domeinnaam dat nog steeds is (de domeinnaam niet in andere handen is overgegaan).

Je zou kunnen denken aan certificaten met twee public keys: een korte-termijn voor de authenticatie van de website, en een lange termijn voor de authenticatie van de verantwoordelijke (met de daarbij passende private key natuurlijk niet op de server).

Als ik eens rondkijk en zie dat Europeanen straks met sterke authenticatie (EDIW aka EUDIW), op -onder meer- potentieel nep porno-, drank- en goksites moeten gaan bewijzen dat zij oud genoeg zijn (in de misplaatste hoop dat dit te jonge mensen tegenhoudt), of sterk moeten authenticeren op nep pensioensites - die daarmee, als "doorzetter" daarnaartoe, identiteitsfraude op authentieke websites kunnen plegen, dan voorzie ik een hoop ellende.

Sowieso: wat heeft personeelszaken met authenticatie van websites te maken? Dit is echt een taak voor een CIO of security-officer - die direct verantwoording aflegt aan de directie. Die directie mag, net zoals Ali Niknam, verantwoording afleggen als jouw bedrijf voor de camera's gesleept wordt omdat je niet genoeg doet tegen cybercrime.

Als je, voor jouw klanten, een betrouwbaar bedrijf wilt zijn, in de zin van dat je hen zo goed als mogelijk helpt voorkómen dat zij in oplichting met een nepsite trappen (door hen handvatten te geven waarmee zij nep van echt kunnen onderscheiden), heb je een voordeel op jouw concurrenten. Die welliswaar goedkoper kunnen zijn, maar alle waar naar z'n geld. Dit krijgt een boost zodra internetgebruikers in hun browser zien dat het om een risicovolle anonieme low budget website gaat, of eentje waar men respect heeft voor alle klanten.

Niet alle gebruikers (ik niet). En als het aan mij ligt, maken we het internet veel veiliger dan het nu is, en gaat het om een toenemend aantal gebruikers die het niet langer pikt dat steeds meer onnaceptabel grote risico's op hen worden afgewenteld - waar een deel van hen daadwerkelijk en op soms afschuwelijke wijze slachtoffer van wordt.

Om een trap na te krijgen van aso's die stellen dat ze niet zo stom hadden moeten zijn, terwijl de problematiek bewust veroorzaakt wordt door hen essentiële informatie te onthouden. Onder het mom van "Geen enkele gebruiker die dat gaat controleren".

Edit 20240824 00:06: link https://circleci.com/security/ toegevoegd

Dit verhaal geeft duidelijk aan hoe ver jij van de realiteit verwijderd bent.
Je gaat mij, een IT-er, op een IT security site uitleggen hoe een certificaat moet worden aangevraagd in antwoord op mijn vermoeden dat Miep van de Personeelsadministratie dit nooit voor elkaar gaat krijgen.
Daarmee bewijs je alleen maar dat ik gelijk had, en nog zie je het zelf niet.

Jij bent er nog een van de generatie "het moet wel moeilijk zijn anders kijken ze niet meer tegen ons op!".
Zo rolt de IT in bedrijven niet meer, tegenwoordig.

Ik begrijp jouw fixatie op domeinnamen niet.

Domeinnamen zijn tijdelijke aliases die (net als telefoonnummers en woonadressen), zonder dat iemand jou dat actief vertelt, van eigenaar kunnen veranderen (zie bijv. tvspot.nl in https://security.nl/posting/833217).

Domeinnamen zijn compact en toch uniek, maar voor mensen zijn ze een zwaktebod. Een naar anoniem neigend pseudoniem dat door big tech werd gepromoot als volwaardig alternatief voor uniek identificerende gegevens van de verantwoordelijke voor een website (waar mensen veel meer aan kunnen hebben). Want: meer winst - over de ruggen van internet gebruikers.

Mensen en domeinnamen zijn incompatibel met elkaar, zie https://security.nl/posting/852763.

Vanuit een techneuten perspectief snap ik dat dit zo gezien word.

Ehm. Even een domme opmerking.

Maar hoort de onderneming haar eigen personeel niet (vooraf) te informeren dat ze een mailtje gaan krijgen over hun pensioen (omdat de medewerkers iets moeten doen).
Als er echt iets speelt, dan kan dat kenbaar gemaakt worden via hun eigen intranet of anders mbv een briefje bij de koffiehoek (in het MKB). Ook de chef zou iets kunnen melden bij de dag- of weekstart.

En als dat niet gebeurd is, dan zou ik zelf als medewerker eerst eens met personeelszaken gaan bellen (of de chef aan schieten).
Dan is snel genoeg duidelijk of het serieus is (en er beter gecommuniceerd moet worden) of dat het een hoax is.
En als iedereen in het bedrijf dat gaat doen...

Techniek is leuk, maar het gros van de gebruikers gaat niet zo diep speuren. Of 'vreemde' urls's herkennen.
Ze krijgen een mail en moeten daar iets mee. Hoe simpeler de oplossing, hoe makkelijker ze die (standaard) oplossing onthouden.
Vertrouw je het niet, controleer dan of er over gecommuncieerd is / vraag het na.

Nee. Ik vind absoluut niet dat betrouwbare authenticatie moeilijk en/of prijzig MOET zijn. Het is een gegeven, helaas pindakaas.

Van mij mag dat allemaal. Mits bedrijven en overheden stoppen met van burgers/klanten/patiënten te eisen dat zij wél, om "economische redenen" steeds vaker beperkt tot uitsluitend online, met toenemende betrouwbaarheidseisen (2FA/MFA, passkeys, paspoortscan, VideoIdent, eIDAS, EDIW) authenticeren. En daarbij steeds meer onvervalsbare privacygevoelige gegevens moeten delen met slecht beveiligde servers beheerd door niet gescreende uitzendkrachten.

Dat terwijl eisen voor betrouwbare en zinvolle authenticatie aan de serverzijde zijn afgeschaft, steeds meer operationele (bedrijfs-) risico's op klanten/burgers/patiënten persoonlijk worden afgewenteld, evil proxies welig tieren en steeds meer certificaten onterecht worden uitgegeven (wat ooit nog een doodzonde was ten tijde van Diginotar). Waarbij ook nog eens de weinige bestaande vangnetten door Kifid en rechters kapot worden geknipt.

En mensen die in phishing trappen stom worden gevonden door anonieme malloten - terwijl commerciële partijen, die websites uit de grond stampen die alle kenmerken van (pensioen) phishing hebben, door diezelfde (? ik kan ze niet van elkaar onderscheiden) anonieme malloten met hand en tand worden verdedigd.

Dat is natuurlijk ook wel gebeurd, maar Erik bekijkt dit verhaal niet van binnenuit maar denkt dat ie met externe observatie begrijpt wat er gaande is.
Inderdaad, als je ergens werkt waar ze zo iets gebruiken dan krijg je die informatie wel. Tegelijk met die pincode.

Anoniem van 23.35 heeft het niet over prijzig.


Dat is een suggestieve aanname.


Ah Diginotar komt uit de mouw. De hack op Diginotar en het gevolg daarvan bewijst dat veiligheid van internet niet alleen kan worden opgelost door techniek.

In dat Kifid en de rechters verhaal: mensen drukken niet op een knopje en zijn hun geld kwijt. Ze verrichten veel, veel meer handelingen voordat zo'n situatie kan ontstaan. OF ze installeren malafide software uit een alternatieve App Store (want ja Google en Apple bespioneren iedereen vinden wij hier op dit forum) en raken op die manier hun geld kwijt.

Daar valt niets tegen te doen. Niet door Kifid en niet door de banken. Omdat deze scenario's te kunnen voorkomen moet banken de mobiele telefoons in een MDM oplossing duwen. Moet je ze dan horen hier: "oh maar de banken bepalen niet of ik een Android telefoon heb".


Bedoel je de reageerders hier? Beetje vergezocht niet?

Als er andere opties geboden worden door diezelfde banken, hoeft MDM geen probleem te zijn:
1. Een apart dedicated toestel uitgegeven door de bank (op diens kosten svp) met MDM
2. Een analoge oplossing (bv betaalkaarten of balie)
3. Een weboplossing met autenticator steeds nieuwe codes voor inloggen en handelingen.
4. Een (gratis) inbelverbinding 0:-)

En?

• https://www.at5.nl/artikelen/228145/celstraf-voor-uitzendkracht-die-klantenbestand-gebruikte-voor-oplichting-bejaarden

• https://www.security.nl/posting/737959/Celstraf+voor+GGD-medewerker+die+gegevens+honderden+Nederlanders+kopieerde

et cetera.

• dv-cert mis-issuances & ocsp ending
https://infosec.exchange/@ErikvanStraten/112914047006977222

• dydx.exchange dv-cert mis-issuances
https://infosec.exchange/@ErikvanStraten/112914048116903769

In dv-cert mis-issuance incidents (https://infosec.exchange/@ErikvanStraten/112914050216821746) verwijs ik onder meer naar:

• Sitting Ducks DNS attacks let hackers hijack over 35,000 domains
https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/

Dat artikel verwijst naar https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/, waaruit:

Dat artikel verwijst naar https://certitude.consulting/blog/en/subdomain-hijacking/:

Tevens verwijs ik naar, onder meer:

• KlaySwap en Celer Bridge BGP-hijacks described
https://www.certik.com/resources/blog/1NHvPnvZ8EUjVVs4KZ4L8h-bgp-hijacking-how-hackers-circumvent-internet-routing-security-to-tear-the

• Biggest BGP Incidents/BGP-hijacks/BGP hijacks
https://blog.lacnic.net/en/routing/a-brief-history-of-the-internets-biggest-bgp-incidents

• BGP-hijack mis-issued GoGetSSL DV certificate
https://arstechnica.com/information-technology/2022/09/how-3-hours-of-inaction-from-amazon-cost-cryptocurrency-holders-235000/

• Cloudflare once again comes under pressure for enabling abusive sites
https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/

• Usenix-18: "Bamboozling Certificate Authorities with BGP"
https://www.usenix.org/conference/usenixsecurity18/presentation/birge-lee

Het gaat daarvóór al mis. Als zij dat doen is dat omdat zij, met uitgekiende psychologische trucs, ervan overtuigd zijn dat zij, op afstand, communiceren met een bankmedewerker. Wat zelfs écht gebeurt: https://www.security.nl/posting/853973/SNS-medewerker+lichtte+klanten+op+en+gebruikte+banksysteem+voor+nevenfunctie.

Er bestaat een wet die de mensen, die niet zélf de bank oplichten, zou moeten beschermen: https://wetten.overheid.nl/BWBR0005290/. Die wet wordt door Kifid en andere rechters met de voeten getreden.

Zie ook https://www.security.nl/posting/850281/Kifid+herstelt+uitspraak+bankhelpdeskfraude+wegens+%27overduidelijke+vergissing%27.

Hoezo "alternatieve"?
• https://play.google.com/store/apps/details?id=com.anydesk.anydeskandroid

• https://apps.apple.com/us/app/anydesk-remote-desktop/id1176131273

Ja. In de eerste plaats jou - een troll met eenvoudig weerlegbare "argumenten".

Ah.

Een wettelijk geregeld zichttermijn is niet bedoelt voor bankoverschrijvingen.

Certificaten helpen ook al niet tegen "uitgekiende psychologische trucs" en dat mensen in die trucs trappen kun je de banken ook niet kwalijk nemen. Misschien met je je kruistocht tegen Letscrypt en Kifid doorzetten op de plaats waar hij hoort: bij Kifid en Letscrypt.

Ik heb bij diverse organisaties een pensioen maar om daar iets mee te kunnen moet ik bij allemaal met DigiD inloggen.
Het lijkt me dan ook goed als dit soort nieuwe tactieken bij de juiste instanties gemeld gaan worden.
Ik zal er in mijn organisatie in ieder geval aandacht voor vragen want er zijn er onlangs weer een flink aantal met pensioen gegaan en er zijn er nog meer die dat op korte termijn gaan doen. Goed om deze groep, meestal niet de tech savy doelgroep alvast te waarschuwen om elk bericht wat ze ontvangen over pensioen goed te controleren en bij twijfel even contact op te nemen.

@Anoniem 18:20: dank voor jouw reactie! (Te lezen in https://security.nl/posting/855083).

Ik weet nog hoe kwaad mijn (nu gepensioneerde) vriendin was toen ze in een e-mail (schijnbaar verzonden door haar werkgever) was getrapt, waarin stond dat ze op de één-of-andere website allerlei gegevens moest invullen om in aanmerking te komen voor een fikse korting (betaald door haar werkgever) op een e-bike - die zij graag wilde hebben.

Het bleek om een -onaangekondigde- phishingtest te gaan, na nul trainingen of andere "awareness" informatie (hoe krijg je de hakken van je personeel in het zand).

Ik kon haar vraag toen niet beantwoorden {1}, nl. hoe iemand die géén expert is {2}, online, in elke mogelijke situatie met ten minste redelijke betrouwbaarheid, nep van echt kan onderscheiden.

{1} Ik kan dat sindsdien steeds minder goed. Bijv. Let's Encrypt, dat steeds vaker onterecht certificaten uitgeeft, vindt OCSP te duur worden - waar jouw browser (en dus jij) sneller mee gewaarschuwd kan worden dan via CRL's. En big tech die steeds vaker openlijk toegeeft "niet voor rechter te willen spelen" - waardoor zij zelf, "onbedoeld natuurlijk", steeds meer verdient door cybercrime, aggressieve reclame en user-tracking te faciliteren. En extra, totaal onzinnige, TLD's die ons om de oren vliegen (waardoor het theororetisch mogelijk aantal domeinnamen voor een organisatie flink is toegenomen en daarop filteren niet kan omdat ook grote legitieme partijen ze inzetten (denk bijv. aan tikkie.me, postnl.post en aka.ms). En het aantal criminele sites dat zich achter CDN's verstopt, waardoor je niet meer hun IP-adres kunt blokkeren en cybercriminelen nóg anoniemer worden. En internetters steeds meer "online" activiteiten verplaatsen naar mobiele devices - met kleinere schermpjes, die "daarom" steeds vaker essentiële informatie en/of instellingen deels of geheel ontoegankelijk maken.

{2} Zelfs als je wél deskundig bent (na het zien van de veel geliktere circle-ci.com site, begon ik mij serieus af te vragen of circleci.com de echte is c.q. ik die twee sites door elkaar aan het halen was).

Waarschuwen is op dit moment het beste dat we kunnen doen. Maar dat is simpelweg onvoldoende effectief; aan mensen vragen om checklists met veel te veel (en iedereen die iets anders zegt) "wij zillen nooit dit of dat" of "kan een inficatie zijn van" criteria te laten aflopen is bij voorbaat kansloos.

Pas als het om een simpele check gaat met een doorslaggevend resultaat, kan en wil ik dat aan gewone internetters uitleggen. D.w.z díe mensen die daar, ondanks scepsis (als gevolg van averechts werkende phishing tests en/of eerder beloofde wondermiddelen zoals virusscanners, firewalls, spamfilters en 2FA), nog naar willen luisteren.

Ok je vindt dat eindgebruikers niet op een veilige manier kunnen omgaan met diensten op het internet. Dat snap ik.
Maar wat ik dan niet snap is het soort van verhalen waar je dan mee komt. Het ligt allemaal aan Let's Encrypt, aan de domeinnaam registries, aan whatever.
En dat beschrijf je allemaal in een schrijfstijl en taalgebruik waar de meeste mensen al bij de 2e zin al afhaken.

Wat denk je precies dat het positieve effect daarvan is?

Ofwel jij leest niks na de 2e zin van mijn postings, en lult dus volledig uit jouw nek in jouw "reacties" - omdat je géén idee hebt waar precies je op reageert. Dat noemen we trollen.

Ofwel jij haakt niet af en leest mijn posts wél helemaal voordat je reageert (in dat geval: respect).

Maar waarom maak jij je eigenlijk zo druk om mijn epistels (volgens jou "allemaal in een schrijfstijl en taalgebruik") "waar de meeste mensen al bij de 2e zin al afhaken"? Wat is exact jouw probleem als toch bijna niemand mijn postings leest?

En als je het ongewenst vindt dat mijn postings door sommigen wél verder worden gelezen dan de tweede zin, waarom draag je er dan aan bij dat door mij gestarte forum-threads langdurig op de voorpagina van security.nl te vinden zijn? En waarom dwing je mij om goede argumenten te verzamelen (waarvoor hartelijk dank, zelfs als mij dat niet goed uitkomt) en te beschrijven, waar je nooit een fatsoenlijk weerwoord op hebt - anders dan uitgeschreven onderbuikgevoelens?

Jouw gedrag zou volstrekt lachwekkend zijn - als er niet zoveel volledig in de steek gelaten slachtoffers van oplichting waren en bijkomen.

En of het werk van van Straten door veel mensen word gelezen .
Durf ik als gemiddelde opgeleide best te stellen.
Hij, van Straten, doet er tenminste wat aan.

Groetjes
Noob.

@Noob: dank!

@Erik, het is idd heel erg moeilijk om totale n00bs iets te leren over phishing want er is geen gouden regel waar je met een simpele blik alle phishing e-mails in een keer mee kan herkennen. Je moet ze dus trainen om hun gedrag aan te passen van meteen klikken naar eerst observeren, nadenken of iets logisch is en dan pas acteren (dat kan melden zijn of, in het geval als het een echte e-mail is, gewoon gaan lezen en klikken). Maar dat is ook een langdurig proces want ook phishers veranderen continu van strategie. Nu zijn er vaak wel overeenkomsten maar de zaken die je vaak in de adviezen terug leest kloppen vaak niet. Zo kom ik nog nauwelijks phishing tegen waarin druk wordt uitgeoefend om iets te bereiken. Als je dat als standaard opneemt gaan mensen zich daarop focussen maar wat als dat er niet in voorkomt?
Hetzelfde geldt voor gehackte M365 accounts. Ga een medewerker maar eens uitleggen dat het e-mailtje dat hij van zijn zakenpartner ontvangt in feite een phishing e-mail is omdat het account gehacked is. Ik heb al talloze bedrijven op de hoogte moeten stellen dat één van hun medewerkers gehackt is omdat wij phishing e-mails van die medewerker ontvangen. Vaak waren ze zelf niet eens op de hoogte. Zeer slordig maar ga dat maar eens een MKB'er uitleggen.
Het is niet voor niets dat phishing na al die jaren nog steeds het meest effectieve middel is om accounts over te nemen of malware op systemen los te laten. Mensen zijn geen robots en kunnen nu eenmaal niet logisch nadenken. Laatst ontving ik een vraag van een medewerker, die een duidelijke phishing mail van de "Rabobank" ontving, die aan mij vroeg of het een phishing mail was. Toen ik hem vroeg of hij een rekening bij de Rabobank had ontkende hij dat. Op mijn vraag waarom hij het dan logisch vond dat hij dan de code van een rekening moest gaan wijzigen die hij niet eens heeft moest hij lachen en toegeven dat zijn vraag wel een beetje dom was. Maar op deze manier gaan mensen wel inzien dat ze zelf moeten nadenken. Alleen vraag ik me dan wel af wat de medewerker doet als hij een phishing mail ontvangt die wel van zijn bank lijkt af te komen. Ik vrees het ergste. Maar leren doen mensen nu eenmaal door te herhalen en niet door voor schut gezet te worden na een of andere flauwe phishing test die veel bedrijven nog steeds blijven doen in de hoop dat mensen het een keer gaan snappen (wat ze niet gaan doen op die manier).

Daarom bestaan de meeste phishing-awareness trainingen ook niet uit een éénmalige email "om te kijken wie erin trapt", maar uit een daadwerkelijk programma van een x aantal maanden waarin medewerkers met enige regelmaat een phishing-email toegestuurd krijgen die ze kunnen rapporteren. Vaak is dit ook nog gekoppeld aan een platform met online trainingen en instructies die de medewerkers kunnen/moeten doorlopen gedurende de looptijd van het programma.

Op die manier wordt er juist herhaaldelijk aandacht aan besteed en leren mensen daar alert op te zijn.

Helaas helpt dat uitsluitend tegen onnozele phishingmails.

Internetters worden doelbewust handvatten onthouden om beter nepwebsites van echte te kunnen onderscheiden: https://infosec.exchange/@ErikvanStraten/113031344934186250.

En ook m.b.t. e-mail zijn we blijgemaakt met de ene na de andere dode mus, waar nog steeds veel ICT'ers bij zweren: https://infosec.exchange/@ErikvanStraten/113042129548432457.

Om nog niet te spreken van hoe 2FA (met SMS, Voice, TOTP of "number matching") zogenaamd zou voorkómen dat jouw e-mailaccount gehacked wordt, om daar vervolgens mee op je BEC te gaan (omdat jouw klanten en/of opdrachtgevers en/of burgers en/of patiënten niet van echt te onderscheiden phishingmails van jou ontvangen).

In https://security.googleblog.com/2024/05/on-fire-drills-and-phishing-tests.html van mei dit jaar kun je, onder meer, de volgende Big Tech Bull Shit lezen:

Oftewel, nadruk aangebracht door mij:

HOU HIERMEE OP EN FIX HET INTERNET!

Voorbeelden van de larie die Microsoft over ons uitstort kun je lezen in https://infosec.exchange/@ErikvanStraten/112974991373414022.

Gegeven dat internetters voortdurend het bos in worden gestuurd met halve (of minder) "oplossingen", zijn die trainingen, waarin je (als het goed is) leert om een soort forensisch expert te worden en bij elke e-mail of ander bericht (in je hoofd) checklists met zeer onbetrouwbare criteria af te lopen en uiteindelijk je onderbuik te raadplegen, simpelweg onzinnig.

Mensen onthouden die criteria slecht, die bovendien voortdurend wijzigen omdat phishers zich aanpassen, en hebben zelden de tijd om, bij elk ontvangen bericht, zo'n reeks afwegingen te maken. Dus blijven ze, héél kort, uitsluitend op hun onderbuik vertrouwen.

Die trainingen, die nu slechts een klein beetje helpen, blijven nodig na de introductie van betrouwbaarder communicatiesystemem, want nep van echt onderscheiden is, ook met fatsoenlijke hulpmiddelen, nooit eenvoudig.

Als we een veiliger internet willen (met veel meer beperkingen voor cybercriminelen), moeten we, om te beginnen, huidige (legitieme) systemen voorzien van optimaal leesbare en voldoende vaak getoonde identiteitsbewijzen (waarbij we ons niets meer van de slechte smoezen en lobbyisten van big tech -zoals de EV browser bug (*)- moeten aantrekken; zij ontlenen hun bestaansrecht aan hun klanten, niet andersom. Ook browser-makers zullen eraan moeten geloven).

Daarna zullen die trainingen moeten worden aangepast op hoe je dergelijke identiteitsbewijzen moet interpreteren: met welke betrouwbaarheid is de identiteit vastgesteld en hoe achterhaal je of de identiteit de door jou bedoelde is (en niet van één van de organisaties geregistreerd in de pyramides van Gizeh: https://rtl.nl/economie/artikel/5432195/onderzoek-naar-frauderisicos-4150-bedrijven-op-amsterdams-adres).

(*) Zie vanaf Killed Extended Validation in https://infosec.exchange/@ErikvanStraten/113031344934186250.