PayPal-phishingsite op Wereldbank Groep website
Een website die beheerd wordt door de Wereldbank Groep, is deze week gecompromitteerd. Op de site climatesmartplanning.org, die voorzien was van een geldig Extended Validation SSL-certificaat, verscheen gedurende een korte tijd een bijna niet van echt te onderscheiden phishingsite met een PayPal-login pagina.
Bezoekers werd gevraagd in te loggen met de eigen PayPal-gegevens. De ingevoerde gegevens werden verwerkt en vervolgens naar de criminelen gestuurd.
Hierna gaf de site gaf een melding dat de accountgegevens tijdelijk niet beschikbaar waren, en er werd gevraagd om een extra verificatie. Bezoekers werd verzocht om hun naam, geboortedatum, adres, telefoonnummer en uiteindelijk het creditcardnummer plus de CSV-code op te geven, schrijft Netcraft . Wie alles had ingevuld, werd uiteindelijk doorgestuurd naar echte website van PayPal.
Volgens Netcraft hebben de criminelen slim kunnen profiteren van het Extended Validation SSL- certificaat dat de site climatesmartplanning.org heeft. Daardoor leek het alsof de site te vertrouwen was. Het EV-certificaat is inmiddels ingetrokken.
Het Climate Smart Planning Platform is een initiatief, onder leiding van de Wereldbank, om ontwikkelingsmedewerkers te voorzien van gereedschappen, data en kennis om in Ontwikkelingslanden met het klimaat bezig te zijn.
- Een https certificaat zegt niets over de betrouwbaarheid van een website en/of haar beheerder(s);
- Een https certificaat zegt niets over de wijze waarop de verbinding met een website is versleuteld en garandeert dus ook geen veilige verbinding.
Wat dan wel: een https certificaat (mits correct en zonder foutmeldingen verwerkt door een fatsoenlijke en up-to-date webbrowser, en alleen indien dat certificaat gebruik maakt van als veilig beschouwde cryptografie) toont minstens aan dat die webbrowser een https verbinding heeft met een "server":
1) waarvan de domainname in de URL balk getoond wordt -en-
2) die over de private key beschikt behorende bij de public key die is opgenomen in het certificaat.
Nb. dit is totaal onafhankelijk van het door de "server" gebruikte IP-adres. Anderzijds zegt het niets over waar deze server precies staat en door wie hij daadwerkelijk wordt beheerd; het kan best om een uitbestede CDN (Content Delivery Network) server of Cloud "proxy" server (zoals Cloudflare) gaan.
Of die "server" daadwerkelijk de door de domainname in de URL gesuggereerde server is, en niet een Man-in-the-Middle aanvaller zoals een virusscanner of externe firewall met SSL inspection, hangt af van de betrouwbaarheid van de certificaatuitgever (die het certificaat heeft ondertekend) en de (root-) certificaten die in jouw webbrowser zijn opgenomen en als betrouwbaar zijn aangemerkt.
Bij een EV (Extended Validation) certificaat heeft de certificaatuitgever, vóór het ondertekenen van het certificaat, een check uitgevoerd waarbij, met enige zekerheid, is vastgesteld dat de aanvrager van het certificaat geautoriseerd is om dat namens een specifieke organisatie te doen. In het certificaat is dan een derde punt opgenomen: de organisatie aan wie de domainname toebehoort.
Bij niet-EV certificaten kan er ook sprake zijn van zo'n controle, waarmee die certificaten (zoals PKI Overheid) zich onderscheiden van DV (Domain Validated) en Let's Encrypt certificaten. Echter, op het eerste gezicht zie je dat verschil niet (je zult in het certificaat moeten kijken om het verschil vast te stellen).
Kortom: als er niks fout gaat, zegt een https certificaat slechts iets over de identiteit van een server.
gaat het toch goed.
Https de tekort komingen van een security ontwerp:
1- je moet een onbekende vertrouwen die zegt dat een ander echt degeen is die hij beweert te zijn
2- je moet degeen die beweert is te zijn wie hij zegt vertrouwen op wat hij zegt te doen voor jou.
3- Er wordt van je verwacht dat je niet iedereen dat zegt wat hij beweert voor je te doen te vertrouwen (pishing)
Leuk, de volgorde 1,2,3 is gangbaar (het verkoopverhaal) doe het nu eens in de volgorde 3,2,1 .... (begin met niet alles te vertrouwen), het resultaat ....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.