Plus user-ID en wachtwoord!

Beste mensen: gebruik een wachtwoordmanager die de login-gegevens voor een website alleen vrijgeeft als de domeinnaam van de website klopt!

2FA is vooral ballast, het helpt in steeds minder gevallen.

Wie en wat kun je nog vertrouwen in deze bange digitale tijden?

Zojuist ben ik ingelogd op security.nl vanaf mijn Android smartphone, als volgt:

1) Ik opende https://security.nl in Firefox (voor Android). Die link had in een phishingmail kunnen staan, en bijvoorbeeld https://securlty.nl kunnen luiden. Sterker, precies zoals Vitens doet [1]: de tekst "boven de link" in de mail had security.nl kunnen luiden, met "daaronder" genoemde link met de iets afwijkende domeinnaam.

Nb. Onder Android heb je geen browser plug-ins/add-ons nodig om bijv. KeePassDX te kunnen gebruiken. Die wachtwoordmanager werkt automatisch in elke webbrowser die ik gebruik (Chrome, Firefox Nightly en Firefox Focus).

2) Ik drukte rechtsboven op "Inloggen" waarna een inlog-dialoogbox (een pop-up venster met invulvelden) verschijnt.

3) Als ik in het wachtwoordveld druk, verschijnt een klein pop-up venstertje (met de groene kleur van KeePassDX) met bovenin "www.security.nl" en daaronder een "knop" met de tekst "Sign in with KeePassDX". Uit die eerste tekst blijkt dat Android al heeft herkend om welke website, d.w.z. om welke domeinnaam, het gaat, en dat reeds heeft doorgegeven aan KeePassDX.

4) Ik druk op de 'knop" met de tekst "Sign in with KeePassDX".

5) Vervolgens moet ik, in een geheel ander scherm (van KeePassDX, full screen), een wachtwoorddatabase kiezen (zelf heb ik er twee, waarvan ééntje voor tests). Ik kies de gewenste.

6) Er verschijnt het verzoek om de (versleutelde) wachtwoorddatabase te ontgrendelen - met mijn vingerafdruk (effectief is de wachtwoorddatabase versleuteld met een lang wachtwoord, dat -effectief- veilig in hardware van mijn Android smartphone is opgeslagen). Met mijn vingerafdruk geeft Android dat lange wachtwoord vrij, waarmee de database wordt intgrendeld). Ik leg mijn vinger op de vingerafdrukscanner, met succes.

7) Vanuit het andere scherm ben ik weer terug in de browser met de inlog-dialoogbox van security.nl. Daaronder verschijnt nu een keuzescherm, ik kan kiezen om in te loggen als:
• Onbekend (test) (Onbekend (test))
• Erik van Straten @ security.nl (E<geheim>@xs4all.nl)

Die bovenste regel heb ik voor tests gebruikt, maar had ook een echt tweede account kunnen zijn. Nb. je ziet achtereenvolgens de accountnaam op de site, en het gebruikte user-ID, meestal jouw e-mailadres.

8) Ik druk op de onderste regel: dan vult KeePasdDX automatisch beide velden in, en maakt (ter verduidelijking) de achtergrond van die velden geel.

9) Als ik nu op de knop "Inloggen" druk, ben ik ingelogd op security.nl.

Klinkt moeilijk, is dat niet: met een paar keer drukken en een vingerafdruk ben ik ingelogd op de juiste website.

Als ik op een site, waarop ik géén account heb, op zo'n wachtwoordveld druk, verschijnt ook een popup van KeePassDX, ook met vermelding van de domeinnaam. Als ik dezelfde procedure volg in KeePassDX, moet ik echter gaan zoeken in de database naar "passende inloggegevens".

Dat moet een rode vlag zijn!

De domeinnaam is namelijk onbekend in de wachtwoordmanagerdatabase, de kans is maximaal dat je op een nepsite probeert in te loggen. Dat is het moment om te stoppen!

[1] https://www.security.nl/posting/837529/Vitens%3A+AVG%3F+Lets+phish%21

Oplichters zonder technische vaardigheden konden kiezen uit bestaande sites of op maat gemaakte neppagina's:

The Fall of LabRat: Law Enforcement Shuts Down Phishing Service Provider
https://www.trendmicro.com/fr_fr/research/24/d/labhost-takedown.html

Wereldwijd zijn er 37 mensen gearresteerd. De vijf Nederlandse arrestanten komen uit Leeuwarden, Papendrecht, Woudenberg en Vleuten en zijn tussen de 21 en 36 jaar oud. Naast die aanhoudingen heeft de politie ook twee 'stopgesprekken' gevoerd met gebruikers van de site. De politie sluit meer acties niet uit.

https://nos.nl/artikel/2517210-internationaal-phishing-netwerk-opgerold-vijf-arrestaties-in-nederland

De Britten wisten LabHost te infiltreren en konden vervolgens verdachten identificeren binnen dit criminele circuit. Het platform werd onderbroken, waarna de autoriteiten 800 gebruikers lieten weten dat ze waren ontmaskerd. Dit gebeurde door reguliere LabHost-berichten om te zetten naar een melding van de politie. De leden kregen details te zien over hoeveel ze LabHost hadden betaald, welke andere sites ze hadden bezocht en hoeveel data er met hen gedeeld was.

Operation PhishOFF
Hoe ging Phishing-as-a-Service-groep LabHost te werk?

https://www.techzine.nl/blogs/security/544684/hoe-ging-phishing-as-a-service-groep-labhost-te-werk/

Als je een maning krijgt via mail te betalen voor een McAfee abonnement, dat verlopen is.
En je hebt nooit een betaald McAfee abonnement gehad, ben je maf als je zo'n mailtje niet snel weggooit.
Je krijgt er later wellicht nog drie toegestuurd.

De cybercrimineel speculeert of iemand later een abonnement heeft genomen
op de av, die op het device stond bij aankoop.

Maar denk je pas, nadat je geklikt hebt, nou ja. Eigen schuld, dikke bult.
Trouwens er wordt m.i. weinig aandacht besteed aan cybercrime ook door de handhavende diensten.

Er zou een dienst IT-handhaving moeten komen.
Er zitten genoeg black hats thuis of op het werk rijp om op te pakken.

Ze kunnen heel lang doorgaan met hun cybercriminele activiteiten eer het opvalt.
Maar ook kunnen de handhavers soms worden betaald om cybercrime niet in de weg te zitten.
Je knijpt dan een oogje toe, begrijp je wel of het is ineens een "statelijke actie".

Bovenstaande zal wel niet geplaatst worden, denk ik, te waarheidsgetrouw. ;)

luntrus