image

Phishingsites gebruiken koppeltekens om domein te verbergen

donderdag 15 juni 2017, 16:46 door Redactie, 6 reacties

Gebruikers op smartphones zijn gewaarschuwd voor phishingsites die koppeltekens gebruiken om het werkelijke domein voor mobiele gebruikers te verbergen. Het gaat bijvoorbeeld om phishingsites die zich als Facebook of Apple iCloud voordoen, zo laat beveiligingsbedrijf PhishLabs weten.

Het gebruikte domein begint met m.facebook.com gevolgd door een lange reeks koppeltekens en woorden als "validate" en "step1" voordat de werkelijke domeinnaam verschijnt. Door de beperkte schermruimte van smartphones is voor de gebruiker alleen m.facebook.com------ zichtbaar. Volgens onderzoeker Crane Hassold zijn de aanvallen alleen gericht op smartphones, wat ook wel blijkt uit het feit dat de aanval met een sms begint.

"De tactiek om de url met koppeltekens op te vullen maakt het mogelijk om het echte domein te verbergen en zorgt ervoor dat het lijkt alsof het slachtoffer naar een legitieme website is doorgestuurd. Om nog een stap verder te gaan worden ook andere legitiem lijkende woorden, zoals login, secure en account, na de reeks van koppeltekens gebruikt, wat de illusie van authenticiteit verder versterkt", aldus Hassold.

Image

Reacties (6)
15-06-2017, 17:23 door Jodelie
Dus... meer dan drie of vier koppeltekens achter elkaar in de url verbieden.
15-06-2017, 18:26 door Briolet
Het wordt tijd dat ook mobiele browsers in elk geval het belangrijkste deel van een domeinnaam laten zien, als de hele domeinnaam niet in het scherm past. Dus alleen het laatste deel, want dat is het belangrijkste deel.

Ik dacht dat diverse browsers op een PC dit al deden. In elk geval laat Safari alle subdomeinen weg in de url balk, wat dit soort misleiding lastiger maakt. Als je de subdomeinen wilt zien, moet je expliciet op de url-balk klikken. In het begin vond ik dat vervelend, maar nu ben ik er inmiddels blij mee.
15-06-2017, 18:53 door Anoniem
Door Briolet: Het wordt tijd dat ook mobiele browsers in elk geval het belangrijkste deel van een domeinnaam laten zien, als de hele domeinnaam niet in het scherm past. Dus alleen het laatste deel, want dat is het belangrijkste deel.

Aha, dus bij bijvoorbeeld een url als deze
https://www.security.nl/posting/519639/Phishingsites+gebruiken+koppeltekens+om+domein+te+verbergen

In het geval van jouw tip wordt dat dan
+verbergen

Misschien moet je je tip nog eens herzien en verder uitwerken.
Denk namelijk niet dat het helpt.
Gelukkig heb je meer verstand van boekhouden?
15-06-2017, 22:21 door Briolet
Door Anoniem: In het geval van jouw tip wordt dat dan
+verbergen

Blijkbaar weet jij het verschil niet tussen een url en een domeinnaam.
15-06-2017, 22:42 door swake - Bijgewerkt: 15-06-2017, 22:44
Amateuristisch nagemaakt !!
Als dat niemand ziet . www werkt al niet .
En het gaat niet over subdomeinen maar over domeinen .
Probeer maar eens op een desktop of laptop .
http://m.facebook.com .
Dus iedereen die een desktop of laptop gebruikt laat jullie niet vangen en kijk maar eens hoe amateuristisch het is geprobeerd na te maken .
16-06-2017, 10:01 door Anoniem
Door Jodelie: Dus... meer dan drie of vier koppeltekens achter elkaar in de url verbieden.

Nee, daarmee zou je veel punycode domeinen ongeldig maken. Die beginnen met "xn-" en ze worden gebruikt voor non ASCII domeinnamen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.