Nieuwe phishingtruc gebruikt streepjes om domeinnaam te verhullen
De meeste gebruikers weten wel dat je niet zomaar op linkjes moet klikken. En als je het doet, dat je goed moet controleren of de URL wel klopt. Een nieuwe truc zorgt ervoor dat smartphonegebruikers extra op hun hoede moeten zijn als er streepjes te zien zijn.
Phishing met streepjes
Phishingsites hebben namelijk iets nieuws bedacht: ze gebruiken streepjes (koppeltekens) om het domein te verbeteren. De websites doen zich voor als Facebook of iCloud, ontdekte beveiligingsbedrijf PhishLabs. Je denkt dat het domein begint met m.facebook.com, gevolgd door een lange reeks streepjes en woorden als ‘validate’ en ‘secure’. Maar pas helemaal achteraan staat de werkelijke domeinnaam.
Het probleem speelt extra op smartphones, omdat de schermruimte beperkt is. Daardoor kun je alleen het eerste gedeelte zien, dus bijvoorbeeld m.facebook.com——. De meeste aanvallers die er gebruik van maken sturen een SMS, wat nog eens extra benadrukt dat de aanval vooral gericht is op smartphonegebruikers. Het slachtoffer denkt daarna naar de werkelijke website te worden doorgestuurd, met geruststellende woorden als ‘step1’ en ‘login’.
Een URL kan er bijvoorbeeld zo uitzien:
m.facebook.com----------------validate----step1.rickytaylk.com/sign_in[dot]html
Of zo:
icloud.com--------------------secureaccount-confirm.saldaodovidro[dot]com.br/
URL padding
PhishLabs noemt de aanval ‘URL padding’, dus het noemen van een bekende website aan het begin van de URL. De onderzoekers zien het de afgelopen tijd regelmatig voorkomen. De meeste aanvallen zijn erop uit om e-mailadressen en wachtwoorden te stelen. Naast Facebook en Apple hebben de aanvallers het ook gemunt op inloggegevens van tweedehands verkoopsites en kabelbedrijven.
De truc dook oor het eerst op in januari, vertellen de onderzoekers. Sinds maart neemt het enorm toe. Het lastige daarbij is het mobiele scherm, dat nogal klein is. Zelfs mensen die altijd goed oppassen of de URL wel klopt kunnen erin trappen, vooral omdat we over het algemeen op smartphones wat sneller geneigd zijn om op linkjes te klikken dan op de desktops. Omdat de link als een shortlink via SMS binnenkomt kun je niet vooraf controleren naar welke site je gaat.
Toename in phishingaanvallen
De afgelopen tijd is een toenemend aantal phishingaanvallen te zien. PhishLabs schat het op zo’n 20 procent groei tijdens het eerste kwartaal van 2017. De inloggegevens worden waarschijnlijk gebruikt om bij andere sites in te loggen.
Dat maakt ook meteen duidelijk hoe je je kunt beschermen: gebruik niet meermaals hetzelfde wachtwoord op verschillende sites. En als je tweefactorauthenticatie inschakelt kan een aanvaller sowieso niets met je inloggegevens. Ook hebben we een tip hoe je phishing-mailtjes van Apple kunt herkennen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
- ELEGNT is Apple's robotlamp met menselijke gedragstrekjes (07-02)
- Matter-organisatie belooft beterschap en focust in 2025 op bugfixes bij smart home-standaard (23-01)
iCloud
Alles over iCloud, de online opslagdienst van Apple waarmee je apps kunt synchroniseren en bestanden kunt opslaan. Maar iCloud biedt meer dan alleen online opslag en synchronisatie. Met de betaalde iCloud+ dienst krijg je extra functies, zoals het verbergen van je e-mailadres en privédoorgifte. Je kunt 5GB tot 12TB iCloud-opslag krijgen. Al onze belangrijke informatie over iCloud op een rijtje!
- Alles over iCloud
- iCloud+, de betaalde versie van iCloud met extra functies
- Alles over iCloud Drive
- Storing bij iCloud? Zo vraag je de status op
- Documenten synchroniseren in iCloud
- iCloud Fotobibliotheek gebruiken
- iCloud Muziekbibliotheek gebruiken
- Beveiliging van iCloud-gegevens
- iCloud-opslagruimte delen met gezin
- iCloud-account beheren
- iPhone en iPad backuppen op iCloud
- iCloud-sleutelhanger voor opslaan van wachtwoorden
- Gezinswachtwoorden in iCloud-sleutelhanger
- Privédoorgifte in iCloud: veiliger browsen
- iCloud-opslag uitbreiden (prijzen en meer)
Ook interessant
iOS 18: zo zet je geluiden van berichten en oproepen in CarPlay aan (terwijl je iPhone op stil blijft)
Zo gebruik je de Gezondheidschecklist op de iPhone
‘Apps volgen je stiekem via reclames en iPhone-notificaties’
Bij deze miniatuur Apple Store klopt elk detail
Uitvinder iPhone-touchscreen, Touch ID en veel meer vertrekt bij Apple
Wat is micro-lens OLED, de technologie die Apple overweegt voor de iPhone 16?
Zou dat niet voorkomen zijn als de bedrijven die domeinregistraties doen meer dan 1 streepje verbied in domeinnamen.
@Ronald: De streepjes zitten in de DNS niet in de domeinnaam zelf.
@Ronald: Het is een subdomein.
Voorbeeld.
Normaal domein: iculture.nl
Subdomein: login.iculture.nl
Maar wat er nu gebeurt is dit:
Login———–.iculture.nl
Gewoon gezond verstand gebruiken. Het verbieden van meerdere streepjes heeft meer nadelen dan voordelen.
@Ronald: Ik vrees van niet. Nu zijn het streepjes, straks zijn het _ ~ ^ of andere tekens. En daarna vinden ze wel weer wat nieuws. Gewoon blijven opletten wanneer het inlogdata betreft blijft de beste bescherming.
het probleem hier is dat de streepjes niet in het domeinnaam zelf zitten, maar in het voorvoegsel (zoals www) er eentje is.
de streepjes verhullen op die manier dus de eigenlijke domeinnaam die dan door de vele streepjes naar de achtergrond verdwijnt.
En wat bedoel je dan precies met gezond verstand? Hoe weet een gemiddelde gebruiker nu dat dit phishing is? Het plaatje van facebook hierboven ziet er best wel goed uit en wat verhindert een gebruiker dan om even opnieuw in te loggen?
Chrome op een iPhone laat wel keurig het echte domein zien maar Safari laat het begin deel zien. Slecht van Apple dus hier.
Dit doen ze -helaas- al jaren. Vooral op mobiel is dit een kwalijke zaak; gezien het urlpad deels in beeld is.
@Flieps: Een gemiddelde gebruiker hoeft helemaal niet te kunnen zien of het phising is of niet.
Een gemiddelde gebruiker hoeft alleen maar te weten dat hij nooit op een link moet klikken zelfs niet (/juist niet) als het van een bekende bron is.
“Ook hebben we een tip hoe je phishing-mailtjes van Apple kunt herkennen.”
Volgens mij bedoel je iets anders dan je schrijft?
Tilde en Dakjes zijn sowieso niet toegestaan in domeinnamen.
Idd gewoon gezond verstand gebruiken, en niet je inlog gegevens invullen, alleen als je zeker weet dat je op de goede site zit.
Vrijwillig toch even naar de phising url gaan:
https://puu.sh/wolwW/dcbc0b82f4.png
@Phthisicus:
als je weet dat ~ een tilde is,
Dan weet je ook dat “dakje” ^ een circumflex is …
😉
Zelf de url intikken?
Ouderwets, maar werkt nog steeds!
Ehm, welke nadelen dan precies??? 😮
Waarom zou je in hemelsnaam per sé meerdere streepjes achter elkaar (dáár gaat het natuurlijk om) nodig hebben voor een (wel) legitieme URL?!