Politiesite met SSL-certificaat host phishingsite
Aanvallers zijn erin geslaagd om het politieportaal van de Maleisische politie te hacken en te gebruiken voor het hosten van een phishingsite. De politiesite is voorzien van een geldig SSL-certificaat, waardoor er in de browser een 'slotje' verschijnt. Hierdoor kunnen bezoekers de identiteit van de website controleren en weten ze dat het verkeer tussen de website en de computer versleuteld is.
Als het gaat om inloggen en zaken als internetbankieren wordt vaak geadviseerd om naar de aanwezigheid van een SSL-certificaat te kijken. In het geval van de phishingsite die op de Maleisische politiesite wordt gehost, lift deze mee op het SSL-certificaat. Daardoor zouden gebruikers kunnen denken dat het om een legitieme website gaat.
In dit geval gaat het om een phishingsite voor PayPal. Volgens internetbedrijf Netcraft is de aanwezigheid van een SSL-certificaat op websites die phishingsites hosten niet ongewoon. Vorige maand werden 234 websites met een legitiem SSL-certificaat ontdekt waar één of meerdere phishingsites waren ondergebracht.
Een certificaat is geen indicatie dat een site niet gehacked is of niet gehacked kan worden, of dat er
op een andere manier ongewenste content op staat.
Een certificaat koppelt alleen een domeinnaam aan een vertrouwde uitgever.
Er zou hooguit iets met het certificaat gedaan moeten worden als de secret key in verkeerde handen
gevallen is en het domein gekaapt is. Maar dat hoeft hier helemaal niet zo te zijn, en het tweede is zeker
niet zo.
Als deze site weg moet dan kan de eigenaar of hoster heel simpel de steker eruit trekken en de boel
gaan opschonen, daarvoor hoef je met het certificaat niks te doen.
Wat we hier weer zien is een onterecht gelegde relatie tussen certificaat en vertrouwen van de content.
Die relatie is er simpelweg niet. Net zoals een gesignede Java applet helemaal niet betekent dat
die veilig is (eerder het omgekeerde). De uitgever van het certificaat doet helemaal niks op het
gebied van auditing van de code. Idem voor de uitgever van een website certificaat, die niks te schaften
heeft met phishing.
kunnen ze meteen het politie virus hosten...
Denken Maleisiche burgers dat ze de website van de politie bezoeken als ze die nodig hebben,maar dan is het een nepsite.
Balen voor die mensen.
Zo zie je maar hoe gevaarlijk internet kan zijn.
Zeker ook omdat er mensen zijn met een computer,en denken ach hij werkt dan is alles goed met de software.
Die weten niet welke gevaren er op de loer kunnen liggen.
Dit soort mensen zijn vaak het slachtoffer van phishing aanvallen,niet alleen dat maar ook vaak van malware,en virussen op hun computer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.