Beste mensen, het is tijd om het over phishing 2.0 te hebben. Er zijn
namelijk nog veel gewiekstere methodes om je te misleiden dan waar de meesten
van jullie tot nu toe van hebben gehoord. In deze Security (b)log ga ik het dus
niet hebben over relatief eenvoudig te herkennen vormen van phishing waar je
tegenwoordig ook in de algemene media over wordt bijgepraat. Nee, we gaan het
hier over de hogeschool van het phishen hebben, met uitleg van het bijbehorende
visserslatijn.
Bij de eerste truc komen nog geen moeilijke woorden kijken, en ik heb hem
hier ook wel eerder genoemd. Vooruit, als opwarmertje: zie je verschil tussen google.nl
en googIe.nl? Het verschil
openbaart zich in een lettertype met schreven, zoals het goede oude
Courier: dan staat er google.nl en googIe.nl. In een schreefloze letter
zie je niet of nauwelijks het verschil tussen een kleine L en een grote i. En
zo kan dus iemand, die dat tweede domein geregistreerd heeft, je naar zijn
natuurgetrouw nagebouwde site lokken en je daar informatie ontfutselen of je
besmetten met malware – dat zijn altijd de twee belangrijkste tussendoelen van
phishers, op weg naar hun hoofddoel: rijkdom.
Homogliefen (ook
wel homografen) heb ik ook al eens
kort genoemd. Dat zijn letters uit andere schriftsoorten, die lijken op letters
uit het ons zo vertrouwde Latijnse schrift. Zo lijkt de Cyrillische letter a
als twee druppels water op zijn Latijnse collega. Maar omdat hij door computers
anders gecodeerd wordt (U+0430 versus U+0061, met de U van Unicode), beland je
toch ergens heel anders dan je verwacht. Als gebruiker sta je hier tamelijk machteloos
tegenover; anders dan in het eerste trucje valt hier niets aan te zien. Maar er
zijn ook homogliefen die alleen sterk op onze letters lijken, maar toch een beetje afwijken. Uit naam van een bekend
sportmerk werd dit sms’je verzonden: “Adidas donne 2500 paire de chaussures
gratuites pour célébrer son 69 anniversaire, obtenir vos chaussures gratuites à
hxxp://www.adıdas.de/chaussures” (URL door mij onklaar gemaakt). Zie je het?
Het puntje op de i ontbreekt. Die letter wordt in het Turkse alfabet gebruikt
en heeft uiteraard een heel andere code dan de ‘gewone’ i. Ook het verschil
tussen i, ì en í kun je gemakkelijk over het hoofd zien. Browserfabrikanten
hebben maatregelen genomen om dit soort aanvallen te onderscheppen, maar die
zijn nog niet volledig waterdicht. Daarnaast is er beleid dat het registreren
van verdachte internetdomeinen verbiedt.
Het Engelse woord voor kraken (als in: een woning kraken) is to squat. En de typo kennen we allemaal: een typfout. Voeg die woorden samen en je
krijgt typosquatting, het ‘kraken’
van websites. Dit is dan weer een truc die je gemakkelijk kunt detecteren – áls
je je ogen maar openhoudt. Voorbeelden van typosquatting zijn belastingsdienst,
belastindienst en belastingdiens. De typosquatter hoopt dat mensen een typfout
maken en daardoor op zijn site
terechtkomen in plaats van op de bedoelde site.
De laatste tijd sturen phishers graag mailtjes die niet uit tekst, maar
uit een plaatje bestaan. Het plaatje ziet eruit als een gewoon mailtje – pas
als je erop klikt zou je kunnen opvallen dat het hele mailtje ‘oplicht’. Door
het plaatje omzeilen de boeven filters die op verdachte tekst scannen, al zijn
de betere phishing-scanners inmiddels in staat om teksten in plaatjes te
herkennen. Nadat iemand mij de tip gaf om mijn mailprogramma zo in te stellen
dat plaatjes niet meer automatisch worden opgehaald, zijn dergelijke mailtjes
radicaal uit mijn inbox verdreven.
Tegenwoordig worden ook bestanden in bijvoorbeeld Dropbox en Google Docs
gebruikt om phishing-URL’s te verspreiden. Dat wekt minder wantrouwen, want met
het mailtje, dat je naar zo’n bestand verwijst, is niets aan de hand, en ook is
de plek waar het bestand staat voor veel mensen vertrouwd.
Misschien zie je deze trucjes nu nog niet in je mailbox. Maar net zoals
spammers steeds iets nieuws verzinnen om hun reclame toch in jouw mailbox te
krijgen, zo zullen criminelen nieuwe listen verzinnen als de oude niet meer
voldoende vruchten afwerpen. Wees voorbereid en blijf alert. En gebruik
tweefactorauthenticatie overal waar dat kan, zodat een gephisht wachtwoord niet
genoeg is om in een account in te breken.
Heel soms is er ook een andere reden dan hebzucht om nepsites te bouwen
en mensen erheen te lokken. In 2011 registreerde iemand een domein waarvan de
naam leek op die van een Amerikaans tv-station. Bij wijze van 1-aprilgrap
berichtte de nepsite over het voornemen van de gouverneur van Idaho om de
verkoop van muziek van Justin Bieber te verbieden.
En in de grote boze buitenwereld …
... neemt de schade door phishing nog steeds toe.
... geeft dit artikel maar liefst zeventien cybertips voor de reiziger.
... vond de Autoriteit Persoonsgegevens het geen goed idee dat
supermarktpersoneel een bijna-blootfoto moest opsturen om de maat voor hun
bedrijfskleding te bepalen.
... besmette geavanceerde ransomware wereldwijd vele systemen, ook in
Nederland.
... zijn ook beveiligingsbedrijven niet immuun voor dergelijke
aanvallen.
... blijft het moeilijk om DigiD te vervangen door iets beters – en niet
omdat DigiD zo goed is.
... is deze cartoon een waardige opvolger van die met het bijschrift “On
the internet, nobody knows you’re a dog”, die eveneens in The New Yorker stond
(1993).
... maakt de vader van het world
wide web zich ernstige zorgen over zijn kindje.
... kun je ook als individu het reddingsplan voor het web ondertekenen.
... wordt virtualisatieplatform Docker aangevallen.
... windt deze wiskunde-columniste zich op over de eisen die aan
wachtwoorden worden gesteld.
... is juice jacking geen
groot risico meer, zegt de bedenker ervan.
... is het cruciaal om te weten waar je cyberuitdagingen liggen. Daar is
nu een kompas voor.
... is er weer een test van virusscanners voor Windows geweest. Er zijn
veel winnaars.
... plunderen digitale boeven je portemonnee.