Security Professionals - ipfw add deny all from eindgebruikers to any

Telefonie: geen authenticatie

02-02-2025, 20:32 door Erik van Straten, 5 reacties
Laatst bijgewerkt: 02-02-2025, 20:39
Telefonie: spoofing-risico
Steeds minder mensen kennen telefoonnummers uit hun hoofd, en als een nummer van bijvoorbeeld hun bank al in hun lijst met contacten in hun telefoon staat: "afzender"-telefoonnummers kunnen doodsimpel worden vervalst (gespoofd).

Risico aftappen/onderscheppen
In de praktijk is het zelden een probleem (tenzij je een verdachte bent, of contact hebt met een verdachte) dat telefonie kan worden afgeluisterd of onderschept (door overheidsdiensten of criminelen). Wel: hoe kwetsbaarder je bent (zoals een hogere leeftijd, iets gedronken/gerookt/geslikt/gespoten of met "een afstand tot de arbeidsmarkt"), en hoe meer gegevens er van jou zijn gelekt (vooral als jou dat niet verteld is), hoe groter de kans dat je via de telefoon volledig op het verkeerde been wordt gezet, en ingepalmd, door een oplichter - zoals een bankhelpdeskfraudeur.

Interactieve oplichting
Vooral het interactieve karakter van een telefoongesprek vergroot de kansen van een oplichter enorm, zeker indien het gaat om iemand die zich goed heeft voorbereid op mogelijke vragen van slachtoffers. Sowieso misbruiken zij vaak de naam van een echte bankmedewerker, en regelmatig verwijzen zij naar een LinkedIn profiel van zo iemand (en laten het slachtoffer daarnaar kijken - mensen zijn dan al snel overdonderd en realiseren zich niet dat dit geheel niets zegt).

Nog veel effectiever is het als de oplichter vragen van het slachtoffer correct kan beantwoorden (of dat lijkt te doen, of pareert met andere informatie die de oplichter wél weet van het slachtoffer - zoals "ik zie dat u volgende week jarig bent, nl. dat u op 9 februari 1951 geboren bent, klopt dat?").

Recente Rabobank hufterigheid
Zie ook Banken + Kifid vermorzelen klanten in https://security.nl/posting/874477 (en, verderop in die pagina: https://security.nl/posting/874622).

AitM-aanvallen bij telefonie
Een enorm onderschat risico, ook bij telefonie, zijn AitM (Attacker in the Middle) aanvallen. De aanvaller doet zich dan richting de bank voor als het slachtoffer, en richting het slachtoffer als echte bankmedewerker (vaak is er dan niet één aanvaller, maar twee).

Zie bijvoorbeeld de "plaatjes" onder "The Chase Case" in https://www.security.nl/posting/842742.

Vaak ingezet: hulpwebsites
Online oplichting begint ermee dat de aanvaller zich voordoet als iemand anders, zoals een bankhelpdeskmedewerker. Andere vormen van oplichting komen echter ook steeds vaker voor, zoals zich voordoen als een Deurwaarder of medewerker van een Cryptovaluta-verwerker.

Vaak volgt een tweede stap, waarbij een nepwebsite een echte imiteert. Zoals bijv. te lezen valt in (door Redactie) Bunq hoeft slachtoffer phishing geen 25.000 euro te vergoeden in https://security.nl/posting/853864.

Authenticatie op afstand
Authenticatie op afstand is ongeloofelijk ingewikkeld - met één uitzondering: voor mensen bruikbare authenticatie van websites. Maar omdat het Big Tech méér geld oplevert, heeft zij juist die vorm van authenticatie bij het vuil gezet; zie o.a.
https://infosec.exchange/@ErikvanStraten/113930686068837650,
https://infosec.exchange/@ErikvanStraten/113928256871048495,
https://infosec.exchange/@ErikvanStraten/113885974169223139,
https://infosec.exchange/@ErikvanStraten/113837934294209517 en
https://infosec.exchange/@ErikvanStraten/113925419871238557.

Voorbeelden van nepwebsites
Recente nepwebsites zie je bijv. hier: https://www.virustotal.com/gui/ip-address/193.143.1.14/relations. Onderstaande domeinnamen daaruit, die op de Nederlandstalige "markt" gericht lijken, verwezen vandaag (2025-02-02) allemaal naar één IPv4-adres: 193.143.1.14 (een server in Rusland).

In de tabel hieronder is het getal links het aantal (van 94) virusscanners (en andere "checkers") dat de betreffende website kwaadaardig vond - tijdens de laatste check (dat kan eerder dan vandaag zijn geweest).

Nb. ik heb elke ".com" vervangen door "·com" (met een "hoge" punt) om onbedoeld openen te voorkómen.

Bank-gerelateerd
11 ics-cards-inlog·com
12 ics-cards-login-01927635·com
9 ics-cards-nl·com
12 ics-klantenportaal-id·com
9 icscards-id-verificatie·com
10 icscards-id·com
10 icscards-klantportaal·com
10 icscards-portaal·com
10 icscards-scalogin·com
11 identificeer-u-zelf·com
11 bijwerken-gegevens·com
8 bnl-mail·com
10 ing.bufallohost1221·com
11 ing.bufallohost1331·com
8 ingcybersecure·com
12 lcs-berichtgeving·com
12 lcs-formulier-online·com

Belastingdienst
6 belasting-aanmaning·com
9 belasting-afronden·com
14 belastingdienst-aanslag·com
0 belastingdienst-afhandelen·com
15 belastingdienst-contact·com
9 belastingen-schuld·com
6 aflossen-belasting·com
13 aflossen-belastingdienst·com
10 bericht-belastingdienst·com
22 gegevens-wetgeving-2025·com

Belastingdienst, deurwaarders of banken
6 aflossen-nl·com
15 aanmaning-aflossen·com
10 aanmaning-omleiding24·com
13 beslaglegging-voorkomen·com
10 info-schulden·com
17 formulier-gegevens-actualiseren·com
11 formulier-nl·com
7 formulier17463-be·com
12 formulier75548·com

Deurwaarder (de echte: https://ggn.nl)
13 bericht-ggn·com
14 betalingsachterstand-ggn·com
14 afronden-ggn·com
13 afbetalen-ggn·com
9 afbetaling-ggn·com
13 contact-ggn·com
12 ggn-aanmaning·com
9 ggn-achterstand·com
5 ggn-aflossen·com
13 ggn-afronden·com
15 ggn-betalen·com
14 ggn-contact·com
15 ggn-diensten·com
9 ggn-incasso·com
8 ggn-notificatie·com
14 ggn-voltooien·com

Antivirus
21 avastng·com
16 avastamx·com
16 avastapi·com
20 avastcxp·com
19 avastcxt·com
12 avastcyber·com
7 avastdevicescan·com
20 avastexodus·com
10 avastfpd·com
4 avasths·com
17 avastop·com
19 avastpdq·com
21 avastpdr·com
17 avastpx·com
15 avastswyftx·com
21 commavast·com

Telecom providers
13 ben-activatie·com
5 kpn-heractivatie·com
9 kpn-nl·com
6 kpn-simkaart·com

Cryptovaluta
10 bit-formulier-juli·com
10 bitboxhelp·com
9 bitformulier-nl·com
12 bitvavo-bevestiging·com
1 bitvavo-nl·com
9 ku-coin-online-nl·com
5 hardware-nl·com
8 kucoin.hardware-nl·com
5 kucoin.nl-nu-inloggen·com

Diverse
14 christelijkemutualiteit25·com
9 com-nl-regelen·com
0 kaderamanagement·com

Probleemveroorzaker: Big Tech
Voor zover ik heb gezien, is elke website voorzien van een (nog geldig) Let's Encrypt certificaat. An sich is dat geen probleem, ware het niet dat webbrowsers opzettelijk het verschil tussen websites met enerzijds anonieme eigenaren en anderzijds niet-anonieme eigenaren, verbergen. Waardoor u niet in één oogopslag kunt zien dat niemand de identiteit van de eigenaar heeft vastgesteld.

Van mij mag iedereen een "Domain-Validated" speelgoedcertificaat voor diens website gebruiken, als ik maar in mijn browser(s) kan zien dat dit het geval is. Want dan is het enige authenticatie-houvast dat ik heb, de domeinnaam. En als u nog nooit iets met GGN te maken heeft gehad, hoe weet u dan wat de correcte domeinnaam van hun website is? En hoe weet u dat zij nooit een domeinnaam zoals ggn-diensten·com zouden gebruiken, terwijl u op login.microsoftonline.com moet inloggen - in plaats van op bijvoorbeeld login.microsoft.com of login365.microsoft.com?

Bovenstaande tabel, met een slechts kleine selectie van domeinnamen op slechts één van de absurd vele servers met nepwebsites, laat er m.i. geen twijfel over bestaan dat cybercriminelen er alles aan doen om u op te lichten, en dat HELEMAAL NIEMAND, zeker Big Tech niet, hen een strobreed in de weg legt.

Security Professionals
Ongetwijfeld zullen hieronder "security-experts" claimen dat het allemaal fantastisch geregeld is op internet, en dat mensen "gewoon" beter op zouden moeten letten - zonder daarbij te vertellen waarop dan (zoals spelfouten) en hoe dat in alle gevallen zou garanderen dat u géén slachtoffer wordt van online oplichting.

Ik daag hen hierbij uit om, helder uiteengezet, aan te geven hoe het internet structureel en significant veiliger gemaakt zou kunnen worden.

En nee, een modern servercertificaat heeft niets te maken met het versleutelen van de verbinding! Bij TLS v1.3 wordt het certificaat zelfs pas verzonden nádat de versleutelde verbinding tot stand is gekomen. De naam "Let's Encrypt" is pure misleiding.

Het doel van het website-certificaat, en de bijpassende private key, is uitsluitend authenticatie, van de website. Daarmee kan de browser vaststellen dat er met de website, waarvan de domeinnaam getoond wordt in de adresbalk, gecommuniceerd wordt. Maar dat biedt simpelweg onvoldoende informatie voor de gebruiker van de browser. Bij "lijkt-op" domeinnamen heeft die gebruiker er volstrekt niets aan dat de verbinding met zo'n nepsite versleuteld is.
Reacties (5)
02-02-2025, 22:43 door Anoniem
Kort samengevat,
A: 100% veilig internet is een utopie.
Oorzaak 1: ontwikkelaars hebben menselijke trekjes.
Oorzaak 2: gebruikers hebben menselijke trekjes.
Oorzaak 3: misbruikers zijn slimmer.
B: telefonie is evenmin een 100% betrouwbaar medium.

En toch; nee(!), banken hoeven niet alle schade te vergoeden,
ook zonder een Kifid maar met een rechter die dat onderstreept.

Dusse, mooie lange post, leest lekker weg, zo'n herhaling van een herhaling, zonder nieuwe argumenten.

Athans, ik begin mij wel af te vragen waardoor het komt dat zovelen niet slim genoeg zijn om hun credentials voor zichzelf te houden, maar dan wel weer de weg naar het Kifid weten.
Laatst nog met een lijnrecht tegengestelde verklaring dan in een aangifte... over wel/niet instaleren van een remote viewer...

Ik daag hen hierbij uit om, helder uiteengezet, aan te geven hoe het internet structureel en significant veiliger gemaakt zou kunnen worden.
Ook een herhaling van een herhaling.
Heb jij zelf enige (realistische) suggesties die RFC/BCP waardig zijn, en het probleem werkelijk gaan oplossen danwel sterk terugdringen?
03-02-2025, 07:56 door Anoniem
Goed dat hier aandacht aan wordt besteed. Voor mij een reden om hier ook maar eens de vraag te stellen hoe de risicoverhouding tussen vaste telefonie(*) en smartphone ligt.

De reden is dat ik nergens maar ook nergens relevante informatie kan vinden of er een verschil in risico is. Het enige dat ik hierover kan melden is het persoonlijk gerelateerde feit dat ik nog nooit een van de door TS (topic starter) aangehaalde voorbeelden heb ondervonden.

(* Ik gebruik geen andere telefonie als vaste telefonie, al/of niet wireless (DECT) en simpele GSM te beginnen met een KPN-Ericsson in 1997, nog met een heuse antenne.)
03-02-2025, 10:00 door Anoniem
De naam "Let's Encrypt" is pure misleiding.
Ik sprak een aantal van hun medewerkers afgelopen weekend in Brussel, met wederzijdse waardering.
Want; bij mij voldoet hun naam helemaal exact aan de verwachting: niet meer en niet minder.
Vraag anders je geld retour als de verwachtingen niet perfect naar waarde waren.
03-02-2025, 10:18 door Anoniem
Het probleem bij banken is de ontmenselijking. Vroeger kende je de bankmedewerker(s) en was er nog een kantoor waar je naar toe kon. Als je dan gebeld werd ivm een probleem, kon je nog naar een kantoor gaan om het op te lossen.
Nu wordt je gebeld door een onbekende, die beweerd van de bank te zijn, en moet alles telefonisch afgehandeld worden, want het bankkantoor is er niet meer.
03-02-2025, 12:36 door Anoniem
Een wachtwoordmanager zal niet je wachtwoord invullen op een phishing domain, want het komt niet overeen met de URL die in de wachtwoordmanager is opgeslagen.
Ik kan me van jaren terug nog herinneren dat Steve Gibson met SQRL authenticatie bezig was, dit heeft als bijgevolg ook een domeinverificatie als ik me niet vergis.
Maar met een domain waar je nog niet eerder bent geweest, een nieuwe website bv, of een instantie waar je nog niet eerder mee hebt gecommuniceerd, blijft jouw geschetste risico.
Hier kunnen CA's en browsers in theorie wel wat aan doen. Waarom niet?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.