Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Nieuwe phishingaanval gebruikt truc met data-URL

woensdag 2 juli 2014, 10:59 door Redactie, 7 reacties

Cybercriminelen gebruiken een redelijk nieuwe tactiek voor het uitvoeren van phishingaanvallen, namelijk het gebruik van de data-URL in de adresbalk. Daardoor krijgen internetgebruikers als ze op een link in een phishingmail klikken geen domeinnaam in de adresbalk te zien, maar alleen data: URL.

De aanval werd door e-mailaanbieder FastMail opgemerkt. Het ging om een phishingbericht dat vanaf een gekaapt Gmail-account was verstuurd en stelde dat de bankrekening van de ontvanger zou worden geblokkeerd, tenzij hij op de meegestuurde link klikte. Het ging om een verkorte link die naar een gekaapte website wees.

De pagina waar de gebruiker op uitkwam bevatte geen HTML-phishingpagina, maar JavaScript. Deze JavaScript geeft een phishingformulier weer, maar laat in de adresbalk alleen data: URL zien. "Deze aanpak is interessant, omdat het het onmogelijk maakt om deze pagina bij Firefox als een phishingpagina te rapporteren, omdat Firefox denkt dat het een data: URL is", zegt Rob Mueller van FastMail.

Het probleem dat Firefox-gebruikers deze phishingsites niet kunnen rapporteren is inmiddels bij Mozilla gemeld. Onlangs werden ook Chrome-gebruikers het doelwit van een phishingaanval die de data: URL gebruikte.

Gartner: fysieke locatie data steeds minder belangrijk
Microsoft bekent fout bij offline halen miljoenen websites
Reacties (7)
02-07-2014, 11:58 door Anoniem
Data: URL - Warning in Firefox met NoScript

NoScript

javascript: and data: URLs typed or pasted in the address bar are disabled to prevent social engineering attacks.
Developers can enable them for testing purposes by toggling the "noscript.allowURLBarJS" preference

NoScript dus.
02-07-2014, 11:59 door Anoniem
Heel slim. En wat als je nou een emailprogramma pakt dat geen HTML weergeeft? Dan is in ieder geval gelijk zichtbaar dat er rare dingen aan de hand zijn met dat oh-zo-hulpvaardige linkje, en dus beter niet op klikken.

IMO is het maar zoveel mogelijk de eindgebruiker niet willen vertellen wat er nou eigenlijk aan de hand is wat redelijk veel openingen voor dit soort ongein opengelaten, zelfs geschapen heeft.
02-07-2014, 12:40 door Anoniem
Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...
02-07-2014, 13:18 door [Account Verwijderd] - Bijgewerkt: 02-07-2014, 13:18
[Verwijderd]
02-07-2014, 16:12 door SynC
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
02-07-2014, 16:31 door Anoniem
Door SynC:
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een URI is een Uniform Resource Identifier. Het identifien van een resource kan op verschillende manieren.

Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.

Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.

Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,

DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).

Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.
02-07-2014, 21:07 door SynC - Bijgewerkt: 02-07-2014, 21:10
Door Anoniem:
Door SynC:
Door Anoniem: Zou dit geen data-URI moeten heten? bij deze techniek zit de data namelijk in de URI zelf en is het dus geen Uniform Resource LOCATOR meer...

Dan is het noch een URL noch een URI. Als er data in zit is het toch geen verwijzing meer? Dan is het gewoon data.
Een URI is een Uniform Resource Identifier. Het identifien van een resource kan op verschillende manieren.

Een verwijzing geven naar WAAR de data te vinden is een manier; deze vorm van URI noemen we URL omdat het de LOCATIE van de data aangeeft.

Je KAN echter een resource ook identifien, door het object te encoderen in base64 en mee te geven in de URI zelf. Het blijft een URI want hij identificeert je object, maar omdat het niet meer de locatie van je resource aangeeft is het geen URL meer.

Oftewel: URL's zijn een subset van URI's, iedere URL is een URI, maar niet iedere URI is een URL,

DUS OOK NIET IEDERE URI HOEFT EEN VERWIJZING TE ZIJN. (<- ik denk dat jij hebt aangenomen dat dit wel zo is en dat dat de fout in je denkproces geweest is).

Ook als ik op internet rondkijk wordt er ook overal, of ik nou op data-URI's of koppig toch "data-URL's" opzoek, gesproken over data-URI's.

Nee hoor, er is toch geen sprake van een URI of URL in dit bericht? Het gaat hier om code die direct geïnterpreteerd wordt door de browser. De link in de mail is inderdaad een URL bestaande uit meerdere URI's, maar de 'data URL' waarover gesproken wordt is:

<script type="text/javascript">
window.location="data:text/html;base64,... base64 encoded version of HTML phishing login page ...";
</script>

Dat de browser denkt dat het een URL/URI is, prima, maar als er 'alert('1')' stond, was het ook geen URL/URI geweest.

Voor meer informatie kan je hier lezen wat een URI inhoudt: http://tools.ietf.org/html/rfc3986
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search

Digitaal monitoren van werknemers op de werkvloer:

18 reacties
Aantal stemmen: 1152
Certified Secure
Edward Snowden: How Your Cell Phone Spies on You
01-12-2019 door donderslag

Hij zegt echt een hele hoop, maar er zijn een tweetal punten die ik er uit wil halen: 1. Je telefoon staat pas echt uit als de ...

43 reacties
Lees meer
Juridische vraag: Is de norm 'goed werknemerschap' aan de orde wanneer een werkgever een 2FA-app op de privételefoon verplicht?
27-11-2019 door Arnoud Engelfriet

Als werkgever in een gebied waar met gevoelige persoonsgegevens wordt gewerkt, zie ik mezelf verplicht om 2factor authenticatie ...

49 reacties
Lees meer
Nieuwe provider Freedom Internet zet in op privacy en veiligheid
11-11-2019 door Redactie

Nederland is vandaag een nieuwe internetprovider rijker die zegt zich te zullen inzetten voor privacy, veiligheid en vrijheid. ...

47 reacties
Lees meer
Vacature
Image

CTF/Challenge Developer

Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?

Lees meer
'Ransomware komt voornamelijk binnen via Office-macro'
11-11-2019 door Redactie

Wanneer het over cyberaanvallen gaat worden vaak termen als geavanceerd of geraffineerd gebruikt, maar in de praktijk blijkt ...

30 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2019 Security.nl - The Security Council
RSS Twitter