FBI waarschuwt voor malafide zoekadvertenties, adviseert adblocker
De FBI heeft een waarschuwing gegeven voor malafide zoekadvertenties die zich voordoen als de websites van bedrijven en overheidsinstanties waar werknemers en mensen allerlei zaken zelf kunnen regelen, zoals het aanpassen van salarisgegevens, het aanvragen van werkloosheidsuitkeringen, pensioenbeheer of het sparen van geld voor medische onkosten.
De malafide advertenties die boven de zoekresultaten verschijnen lijken op de gezochte legitieme website, maar wijzen slachtoffers in werkelijkheid naar phishingsites die inloggegevens ontfutselen. In het geval het account is beschermd met tweefactorauthenticatie (2FA) proberen de aanvallers de vereiste code door middel van social engineering te verkrijgen. Vervolgens logt de aanvaller in op het legitieme account en wijzigt bijvoorbeeld de rekeninggegevens en andere informatie van het slachtoffer, zodat geld naar een rekening van de aanvaller wordt overgemaakt. Ook kunnen aanvallers nieuwe accounts aanmaken of frauduleuze aanvragen doen.
De FBI geeft verschillende adviezen om geen slachtoffer van malafide zoekadvertenties te worden. Zo wordt aangeraden om voorzichtig te zijn met het klikken op advertenties. Daarnaast wordt aangeraden om de url van een bedrijf direct in de adresbalk te typen en hier niet op te zoeken, of met bookmarks te werken. Verder is het volgens de FBI verstandig om bij het zoeken op internet een adblocker te gebruiken. Als laatste moeten internetgebruikers die 2FA voor hun account hebben ingesteld alert zijn dat criminelen social engineering kunnen toepassen om deze codes te bemachtigen.
En met behulp van IDN domeinnamen kan het verschil in de URL ook gewoon niet zichtbaar zijn.
De visueel identieke "apple.com" en "appIe.com" zijn dan dus verschillende domeinen!
(Omdat rare tekens hier niet zijn toegestaan word (L -> i) gebruikt ter illustratie.)
Het is voor de mens dus onmogelijk om een goede phishing van echt te onderscheiden.
Zolang hier geen oplossing voor komt zullen de phishing gewoon door blijven gaan.
Use an ad blocking extension when performing internet searches. Most internet browsers allow a user to add extensions, including extensions that block advertisements. These ad blockers can be turned on and off within a browser to permit advertisements on certain websites while blocking advertisements on others.
En met behulp van IDN domeinnamen kan het verschil in de URL ook gewoon niet zichtbaar zijn.
De visueel identieke "apple.com" en "appIe.com" zijn dan dus verschillende domeinen!
(Omdat rare tekens hier niet zijn toegestaan word (L -> i) gebruikt ter illustratie.)
Het is voor de mens dus onmogelijk om een goede phishing van echt te onderscheiden.
Zolang hier geen oplossing voor komt zullen de phishing gewoon door blijven gaan.
Ik doe certificaat controle, DNScheck A, MX, NS en opstart datum domeinregistratie naast domein en ip reputatie check voor ik een site ook maar een letter inlog informatie verschaf. Helaas is dat veel te ver qua controle voor de meeste mensen. Het internet is beveiligingmatig stuk en dat gaan we nooit meer goed krijgen. Hoop dat de opvolger van het internet beter over nagedacht wordt op dat front maar vrees het ergste. Tot die tijd zullen we het hiermee moeten doen.
En met behulp van IDN domeinnamen kan het verschil in de URL ook gewoon niet zichtbaar zijn.
De visueel identieke "apple.com" en "appIe.com" zijn dan dus verschillende domeinen!
(Omdat rare tekens hier niet zijn toegestaan word (L -> i) gebruikt ter illustratie.)
Het is voor de mens dus onmogelijk om een goede phishing van echt te onderscheiden.
Zolang hier geen oplossing voor komt zullen de phishing gewoon door blijven gaan.
Natuurlijk kunnen we internet wel veilig (genoeg) krijgen.
Het eerste probleem is de discussie tussen de vele techneuten.
- De een komt met extreme (vaak ridicule) scenario's om te bewijzen dat internet niet veilig kan worden. Het waterdicht syndroom.
- De ander komt met technische oplossingen die de niet-technieker niet kan uitvoeren of met oplossingen waardopor je alle tijd van de wereld kwijt bent.
Het tweede probleem is dat (de business, de architecten, BigTech, etc) de kraan niet wensen dicht te draaien. Ik merk op dat dweilen alleen dan zin heeft als de kraan voldoende is dichtgedraaid.
- Business en Architecten zouden kunnen gaan begrijpen dat een Qualified Web Authenticatie Certificaat (QWAC) niet alleen de veiligheid van hun bezoekers verbetert, maar ook dat hun eigen reputatie en bedrijfszekerheid verbeteren. een QWAC is namelijk een wettelijke implementatie van Digitale Identiteit (met alle noodzakelijke toezicht). Daarvan is aansprakelijkheid geregeld van alle partijen in de keten.
- Business en architecten zouden kunnen begrijpen dat ondertekening van elke uitgaande zakelijke email met een Qualified Electronic Seal (QES) wederom de veiligheid van email ontvangers verbetert. Door QES ondertekening kunnen ontvangers onderkennen of de verzender wel of niet Digitaal Betrouwbaar is.
Hoe werkt dat dan?
Voor een QWAC en een QES wordt de houder van dat certificaat vastgelegd na gedegen controle. De gebruiker van een QWAC of QES is dan altijd bekend bij de uitgevende instantie.
- als een houder van een QWAC of QES betrouwbaar is, dan is er niets aan de hand.
- als een houder van een QWAC of QES een bedrieger is, dan is die (na klacht van de benadeelde) op te sporen door opsporingsinstanties.
Een bedrieger zal daarom niet snel een QWAC of QES gebruiken.
Is het waterdicht? Nou nee. bedriegers zullen ook dit stelsel willen bedriegen. Als vakman: dat zal niet meevallen.
Gebruik van QWAC en QES is de kraan dichtdraaien zodat
de opsporingsinstanties in staat zijn effectief te dweilen.
FB
Voor dagelijks gebruik acht ik de kans op een domein hijack of AitM aanval nihil. Het controleren van DNS, IP en certificaatgegevens voegt dan weinig toe tenzij je specifiek naar iets op zoek bent, denk ik.
Voor dagelijks gebruik acht ik de kans op een domein hijack of AitM aanval nihil. Het controleren van DNS, IP en certificaatgegevens voegt dan weinig toe tenzij je specifiek naar iets op zoek bent, denk ik.
Natuurlijk kunnen we internet wel veilig (genoeg) krijgen.
Het eerste probleem is de discussie tussen de vele techneuten.
- De een komt met extreme (vaak ridicule) scenario's om te bewijzen dat internet niet veilig kan worden. Het waterdicht syndroom.
- De ander komt met technische oplossingen die de niet-technieker niet kan uitvoeren of met oplossingen waardopor je alle tijd van de wereld kwijt bent.
Het tweede probleem is dat (de business, de architecten, BigTech, etc) de kraan niet wensen dicht te draaien. Ik merk op dat dweilen alleen dan zin heeft als de kraan voldoende is dichtgedraaid.
- Business en Architecten zouden kunnen gaan begrijpen dat een Qualified Web Authenticatie Certificaat (QWAC) niet alleen de veiligheid van hun bezoekers verbetert, maar ook dat hun eigen reputatie en bedrijfszekerheid verbeteren. een QWAC is namelijk een wettelijke implementatie van Digitale Identiteit (met alle noodzakelijke toezicht). Daarvan is aansprakelijkheid geregeld van alle partijen in de keten.
- Business en architecten zouden kunnen begrijpen dat ondertekening van elke uitgaande zakelijke email met een Qualified Electronic Seal (QES) wederom de veiligheid van email ontvangers verbetert. Door QES ondertekening kunnen ontvangers onderkennen of de verzender wel of niet Digitaal Betrouwbaar is.
Hoe werkt dat dan?
Voor een QWAC en een QES wordt de houder van dat certificaat vastgelegd na gedegen controle. De gebruiker van een QWAC of QES is dan altijd bekend bij de uitgevende instantie.
- als een houder van een QWAC of QES betrouwbaar is, dan is er niets aan de hand.
- als een houder van een QWAC of QES een bedrieger is, dan is die (na klacht van de benadeelde) op te sporen door opsporingsinstanties.
Een bedrieger zal daarom niet snel een QWAC of QES gebruiken.
Is het waterdicht? Nou nee. bedriegers zullen ook dit stelsel willen bedriegen. Als vakman: dat zal niet meevallen.
Gebruik van QWAC en QES is de kraan dichtdraaien zodat
de opsporingsinstanties in staat zijn effectief te dweilen.
FB
En zo erg vertrouw ik er ook niet op. Ik heb zelf administratie ermee moeten doen voor zakelijke klanten en kan je zeggen dat genoeg tussenpartijen behoorlijk laks zijn met de controle fase. Dan was een nummer niet overeenkomend of een naam misde een tussen deel en dan was het telefoontje vanaf uitgever met verificatie vraag naar ons *niet* de klant om te vragen of het klopte. Vervolgens paste ze het zelf aan zonder verdere schriftelijke bevestiging van de klant omdat ze niet wouden wachten tot de KVK informatie aangepast was voor ze er verder mee konden. En ja dat waren de grotere partijen want het draait om geld en nog eens geld.
Dus nee certificaten is ook niet de beste oplossing, waterdicht bestaat niet maar zo lek als het internet bestaat er bijna niks.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
