Sterke toename van phishingsites die van https gebruikmaken
Niet alleen legitieme websites maken steeds vaker gebruik van https, ook phishingsites beschikken meer en meer over een beveiligde verbinding. Er is zelfs sprake van een sterke toename van het aantal https-phishingsites, zo stelt securitybedrijf PhishLabs. In het derde kwartaal van dit jaar beschikte bijna 25 procent van de waargenomen phishingsites over een https-verbinding.
Een kwartaal eerder ging het nog om zo'n 12 procent, terwijl een jaar geleden minder dan 3 procent van de phishingsites over een ssl-certificaat beschikte. Volgens het securitybedrijf zijn er twee redenen waarom er een toename is van het https-gebruik onder phishingsites. De eerste reden is dat phishingsites geregeld via gehackte, legitieme websites worden aangeboden. Wanneer een legitieme website met een ssl-certificaat wordt gehackt, zal ook de phishingpagina die via de website wordt aangeboden over een beveiligde verbinding beschikken.
De tweede reden volgens PhishLabs is dat criminelen domeinen voor hun phishingsite registreren en vervolgens zelf https inschakelen. Dit gebeurt dan via certificaatautoriteiten die gratis ssl-certificaten aanbieden, zoals Let's Encrypt en Comodo. Op deze manier ziet de phishingsite er legitiemer uit, aldus Crane Hassold van PhishLabs. Chrome laat bij https-sites automatisch de melding "Veilig" zien. Dit slaat op de beveiligde verbinding, maar eindgebruikers denken dat de website die ze bezoeken veilig is, merkt Hassold op.
"Het misverstand over de betekenis van https onder het algemene publiek en de verwarrende benoeming van https-websites in browsers zijn de voornaamste redenen waarom het een populaire voorkeur is van phishers bij het hosten van phishingsites", gaat Hassold verder. "Gecombineerd met de snelle groei van https onder website-eigenaren, verwachten we dat het aantal https-phishingsites verder zal groeien."
@Anoniem, met alle respect hoor, maar misschien dat het leuker is om buiten sneeuwballen te gaan gooien in plaats van deze reactie te plaatsen, want neen er is helemaal geen humoristiche basis aanwezig in dit bericht.
Het rijtje met mogelijk bekende factoren die wijzen op eventuele phishing wordt hierdoor kleiner en het riscio om slachtoffer te worden van deze praktijken groeit omgekeerd evenredig daaraan.
M.b.t. tot de opmerking over Chrome:
Eergisteren deze browser op het werk gaan gebruiken en inderdaad deze toonde het woord veilig bij websites die ik bezocht. Vond dat in een flits al een 'maffe' mededeling.. en nu ik dit lees bedenk ik me inderdaad hoe radicaal fout het is dit woord te gebruiken. Lijkt in mijn ogen een beetje op een fles ammonia met kinderveilige schroefdop... ofdat de inhoud dan 'veilig' zou zijn.
die optie staat standaard aangevinkt om het niet te laten scannen,zet dit dus uit ! (Tip)
Instellingen-Onderdelen-Webshield-Hoofdinstellingen-Vertrouwde sites niet scannen (laat dit leeg,geen vinkje plaatsen).
Vertrouwde websites kunnen ook gehackt worden,en die malware bevatten namelijk.
Https groen met slotje is onvoldoende om alleen daar op te vertrouwen.
Het is echt een interpretatie probleem. Stel een crimineel heeft een auto om naar de volgende inbraak te rijden. De auto heeft veiligheidsgordels, ABS, airbags en zelf traction/stability control. Hebben die veiligheidsmaatregelen nu schuld als de crimineel veilig bij de volgende inbraak aankomt?
Beter is alleen bij onbeveiligde verbindingen een rood slot te tonen en voor EV dan de tekst zonder slot. Slot moet de standaard worden en daar helpen dus die gratis certificaten aan mee.
Dan weet je binnen 5 s of je met een phishing website te maken hebt of niet
Werkt voor IE, Firefox en Chrome
Geen idee hoe het zit met de toename maar het gebruik van https voor normale sites is hoger dan van phising sites.
of minstens een melding dat het certificaat afkomstig is van Comodo of Let's encrypt
om mensen te triggeren dat ze op hun hoede moeten zijn.
Wat je wil weten is net zo ondoenlijk interessant als het percentage verdachte criminelen willen weten op de totale bevolking. Er zijn geen harde definities en geen harde cijfers. Dat is een van de redenen waarom een bedrijf als phishinglabs met percentages werkt en de getallen daar achter niet noemt.
De security wereld hamerde altijd zo op encryptie en dat "de boeven" ons af zouden luisteren als onze verbindingen niet versleuteld waren. Tjonge, wat is de consument daar van doordrongen! Dus nu is elk slotje, elke beveiligde verbinding te vertrouwen ook al lijkt het erop dat de ABN Amro site ineens uit Rusland komt - er is een slotje dus het is goed.
Dus de enige les is hier voor de security-community: de consument wil dolgraag leren, pakt echt wel op wat je ze voorhoudt, maar sta er dan niet van de kijken dat de criminelen daar dan ook mee aan de wandel gaan en misbruik van maken...
@Anoniem, met alle respect hoor, maar misschien dat het leuker is om buiten sneeuwballen te gaan gooien in plaats van deze reactie te plaatsen, want neen er is helemaal geen humoristiche basis aanwezig in dit bericht.
Het is wel humoristisch, want we werken er allemaal aan mee dat deze situatie ontstaat. De domme massa regeert, en dit zijn de resultaten.
Dat het security fanatisme de plank mis slaat door het niet inleven in gebruikers en misbruikers dag is iets om te beseffen.
of minstens een melding dat het certificaat afkomstig is van Comodo of Let's encrypt
om mensen te triggeren dat ze op hun hoede moeten zijn.
Het vermelden van certificaatsverstrekker doen de browsers al.
Kennelijk nog steeds niet begrepen dat EV certificaten vermeldenswaardig zijn. Alle andere certificaten zijn verkrijgbaar zonder speciale eisen anders dan geld te overleggen of nu ook gratis.
Bij ons is het zo dat alle pagina's, waar om inlog informatie wordt gevraagd, voorzien moeten zijn van een EV certificaat op naam van onze organisatie. Dat is dan eenvoudig te controleren.
Bij ons wordt de mensen dan ook verteld te controleren of de browser de naam van de organisatie toont.
Peter
Het aantal mensen op aarde neemt toe
Het internetgebruik neemt toe
Criminaliteit neemt toe
Goh, wat neemt er allemaal wel niet toe?
Zozo.
Doet het ertoe al die toename overal?
Misschien.
Het is een mooie aanleiding om mensen ervoor te waarschuwen.
Waarschuwingen gebaseerd op veronderstellingen overigens.
Want nergens kan ik iets opmaken dat de phishers zijn gevraagd naar hun beweegredenen.
En dat is dan weer jammer, aannames en daarop gebaseerde conclusies presenteren als feiten.
En eigenlijk is het zelfs een raamvertelling over aannames.
De raamvertelling dat phihshlabs aanneemt dat criminelen aannemen dat gebruikers puntje puntje puntje doen.
Best belangrijk en vergeten, het nog maar sterk de vraag in hoeverre de meerderheid van de gebruikers inderdaad meer waarde zijn gaan hechten aan https door de akties van google&fco.
Want een andere welbewezen waarheid staat haaks op al deze conclusies.
Als een gebruiker te vaak een bepaalde melding krijgt en er niets mee kan zal ze haar standaard negeren.
Dan krijg je de gekke situatie dat phislabs en criminelen aannemen dat gebruikers meer aware zijn terwijl ze dat in werkelijkheid veel vaker nog geen ene malle moer kan schelen.
En dat zijn we getuige van een toneelstukje van drie deelnemers waar de belangrijkste ontbreekt : de gebruiker.
En eigenlijk ook de crimineel! Want niet geënquêteerd.
Blijft over de werkelijke waarde van dit soort rapporten : gratis PR met een excuusverhaaltje.
Soms interessant, soms niet, en soms interessanter lijkend dan het is of omgekeerd.
Maar feiten?
Nee, het is een blog plus een rapportje dat gebaseerd is op eigen aannames en verklaringen.
Als de wereld en de economie maar blijft draaien niewaar?
Ergste is nog dat de heksenjacht op http en de geforceerde https-schijnveiligheid het web in werkelijkheid alleen maar onveiliger maakt. Op zowel servers als clients moeten nu cryptografische services draaien; met hun eigen gaten, lekken en risico's. Services die overbodig zouden zijn voor bv websites die alleen publieke informatie hosten. En dat is nog altijd de overgrote meerderheid. Belangrijke informatie achter een login zou in elk geval niet over https mogen lopen.
Misschien is het doel wel geen website meer te kunnen hosten zonder jezelf te identificeren bij het aanschaffen van een certificaat. Misschien is het doel wel het aanvalsopprvlak van servers te vergroten. Helemaal logisch is het, vanuit de optiek van een veilig internet, in ieder geval niet.
Bijvoorbeeld als je de site van de telegraaf bekijkt, die niet direct van http naar https versie redirect
en je dan weer de" https only" -extensie moet gaan draaien in je browsertje
om dat als verkeerde configuratie bij de telegraafsite op te vangen.
Dat doet iedere n00b niet en zo belanden velen van de http regen in de https drup!
Https everywhere, het lost wat problemen op en produceert weer een heleboel andere.
Is het nou echt zo moeilijk Google en consorten?
Wij hier snappen heus wel dat jullie allemaal de beschutting van https lekkerder vinden dan http,
dat soms echt nog wel kan en dan transparant blijft voor jullie tracking en profiling geweld.
Neen lekker wegkruipen in je oncontroleerbare hash-track cloudje. Foei.
Daar erger ik me het meest aan, veiligheid aanbevelen met oneigenlijke argumenten,
terwijl het eigenlijk gaat om de eigen toko gemakkelijker veilig te stellen
en meer aan het oog van de massa te ontrekken, wat er in feite gebeurt.
Maar net doen of het allemaal om de eindgebruiker begonnen is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.