image

Criminelen gebruiken topleveldomein .US voor malafide URL-shortener

dinsdag 31 oktober 2023, 16:51 door Redactie, 5 reacties

Een groep criminelen gebruikt het topleveldomein .US voor een malafide URL-shortener, zo stelt securitybedrijf Infoblox. Sinds april registreerde de groep, die de naam 'Prolific Puma' heeft gekregen, tussen de 35.000 en 75.000 unieke domeinnamen. Deze domeinnamen worden vervolgens gebruikt om voor andere criminelen verkorte links te genereren die naar malafide sites wijzen. Het kan dan gaan om websites gebruikt voor phishing, malware of andere scams.

Door het gebruik van een URL-shortener kunnen aanvallers de werkelijke bestemming van de link verbergen. Daarbij kiezen de aanvallers voor het .US-topleveldomein. De te registreren domeinen, meestal drie of vier karakters lang, worden via een algoritme gegenereerd. Ook gaat het om niet verlengde domeinnamen die de groep opnieuw registreert. Voor de registratie van de domeinnamen wordt vaak gebruik gemaakt van NameSilo. De registrar vereist alleen een e-mailadres en betaalmethode, aldus Infoblox. Wanneer een houder iets met zijn domeinnaam wil doen zijn een naam en adresgegevens verplicht.

Volgens de onderzoekers is het opmerkelijk dat de criminele groep zoveel .US-domeinen registreert, omdat het topleveldomein transparantie verplicht. Geen enkel domein mag privé worden geregistreerd, wat inhoudt dat zaken als adres, naam en telefoonnummer publiek zichtbaar zijn. "Dit lijkt misschien criminelen af te schrikken, maar het is niet effectief, aangezien het .US-topleveldomein bekendstaat om het misbruik", aldus Infoblox. Daarnaast blijkt dat de criminelen een manier hebben gevonden om de .US-domeinen toch met afgeschermde gegevens te registreren, wat in strijd met de voorwaarden is.

Image

Reacties (5)
31-10-2023, 19:47 door Anoniem
Het is altijd belangrijk om de URL van loginpagina's aan te klikken vanuit uw wachtwoordmanager , dat is beter dan via een zoekopdracht via een zoekengine of zelf het URL typen. (U moet wel eenmalig URL aanmaken)
Op deze manier worden phishingsite wat beter vermeden en voorkomt typefouten.
Klik nooit op een link in uw E-Mail, ook niet als het officieel lijkt, ga zelf naar een website door deze handmatig op te zoeken.
Links zijn niet altijd wat ze lijken, net zoals bestandsextiensies.
01-11-2023, 08:32 door Anoniem
Door Anoniem: Het is altijd belangrijk om de URL van loginpagina's aan te klikken vanuit uw wachtwoordmanager , dat is beter dan via een zoekopdracht via een zoekengine of zelf het URL typen. (U moet wel eenmalig URL aanmaken)
Op deze manier worden phishingsite wat beter vermeden en voorkomt typefouten.
Klik nooit op een link in uw E-Mail, ook niet als het officieel lijkt, ga zelf naar een website door deze handmatig op te zoeken.
Links zijn niet altijd wat ze lijken, net zoals bestandsextiensies.
Goede strategie, jammergenoeg is dat niet bruikbaar voor hele lange URL's naar specifieke locaties van gedeelde bestanden via bijvoorbeeld Sharefile of SharepointOnline/Onedrive. Links naar specifieke documenten en notificaties zul je toch echt moeten aanklikken. Het zelfde voor Teams, Webex, GoTo en andere meeting app sessies, zelfde laken een pak.
Heel realistisch is het dus niet, om het van je gebruikers te verwachten.

Dan kun je ze beter trainen om te kijken naar de URL, laten weten waar ze aan kunnen herkennen of het legitiem is, bijvoorbeeld https://<bedrijf>[-my].sharepoint.com/ voor SPO en OneDrive links, een goed endpoint protection beleid instellen en gebruik maken van een goede MDR/XDR oplossing.
01-11-2023, 10:48 door Anoniem
"gebruiken" ...?
Kunnen we dat alstublief "misbruiken" noemen, nu we de misbruikers toch al "criminelen" hebben gelabeld?

Ik ben al afgehaakt bij het implicerende taalgebruik, suggestief naar TinyURL toe, en even suggestief naar hoe een onbekende doch fantastische another-of-the-same met (minder beveiliging en ervaring) veel beter zou zijn, zonder werkelijk argument.

Dit is gewoon een advertentie; van nogal laag allooi.
De lift methode; anderen naar beneden halen, om jezelf omhoog te brengen.
Ik ben niks anders gewend van Infoblox en consorten.

Ter informatie: er bestaat al jarenlang preview.tinyurl.com hetgeen je vooraf het url toont.
Middels cookies kun je zorgen dat je altijd eerst die preview zal zien.
Noem mij 1 (zegge: één) URL verkorter die dat ook ooit gedaan heeft.

Na zoveel jaren nog altijd een unieke functie; omdat TinyURL niks te verbergen heeft.
En desondanks zoveel (veelzeggend) moddergegooi.
01-11-2023, 12:14 door Anoniem
Door Anoniem:
Door Anoniem: Het is altijd belangrijk om de URL van loginpagina's aan te klikken vanuit uw wachtwoordmanager , dat is beter dan via een zoekopdracht via een zoekengine of zelf het URL typen. (U moet wel eenmalig URL aanmaken)
Op deze manier worden phishingsite wat beter vermeden en voorkomt typefouten.
Klik nooit op een link in uw E-Mail, ook niet als het officieel lijkt, ga zelf naar een website door deze handmatig op te zoeken.
Links zijn niet altijd wat ze lijken, net zoals bestandsextiensies.
Goede strategie, jammergenoeg is dat niet bruikbaar voor hele lange URL's naar specifieke locaties van gedeelde bestanden via bijvoorbeeld Sharefile of SharepointOnline/Onedrive. Links naar specifieke documenten en notificaties zul je toch echt moeten aanklikken. Het zelfde voor Teams, Webex, GoTo en andere meeting app sessies, zelfde laken een pak.
Heel realistisch is het dus niet, om het van je gebruikers te verwachten.

Dan kun je ze beter trainen om te kijken naar de URL, laten weten waar ze aan kunnen herkennen of het legitiem is, bijvoorbeeld https://<bedrijf>[-my].sharepoint.com/ voor SPO en OneDrive links, een goed endpoint protection beleid instellen en gebruik maken van een goede MDR/XDR oplossing.
Door de implementatie van grote bedrijven wordt het lastig om de juiste veiligheid te behouden. WW managers worden soms ook gehackt. De kans dat grote bedrijven worden gehackt word denk ik steeds groter. De vraag is altijd is het een ethische persoon of niet.
02-11-2023, 08:24 door Anoniem
Door Anoniem: "gebruiken" ...?
Kunnen we dat alstublief "misbruiken" noemen, nu we de misbruikers toch al "criminelen" hebben gelabeld?

Ik ben al afgehaakt bij het implicerende taalgebruik, suggestief naar TinyURL toe, en even suggestief naar hoe een onbekende doch fantastische another-of-the-same met (minder beveiliging en ervaring) veel beter zou zijn, zonder werkelijk argument.

Dit is gewoon een advertentie; van nogal laag allooi.
De lift methode; anderen naar beneden halen, om jezelf omhoog te brengen.
Ik ben niks anders gewend van Infoblox en consorten.

Ter informatie: er bestaat al jarenlang preview.tinyurl.com hetgeen je vooraf het url toont.
Middels cookies kun je zorgen dat je altijd eerst die preview zal zien.
Noem mij 1 (zegge: één) URL verkorter die dat ook ooit gedaan heeft.

Na zoveel jaren nog altijd een unieke functie; omdat TinyURL niks te verbergen heeft.
En desondanks zoveel (veelzeggend) moddergegooi.

Heb je het artikel überhaupt gelezen? Er wordt nergens modder gegooid naar TinyURL, ze worden uitsluitend gebruikt als voorbeeld van een link shortener. Het artikel gaat over een link shortening service van criminelen voor criminelen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.