Nieuwe phishingtruc gebruikt streepjes om domeinnaam te verhullen
De meeste gebruikers weten wel dat je niet zomaar op linkjes moet klikken. En als je het doet, dat je goed moet controleren of de URL wel klopt. Een nieuwe truc zorgt ervoor dat smartphonegebruikers extra op hun hoede moeten zijn als er streepjes te zien zijn.
Phishing met streepjes
Phishingsites hebben namelijk iets nieuws bedacht: ze gebruiken streepjes (koppeltekens) om het domein te verbeteren. De websites doen zich voor als Facebook of iCloud, ontdekte beveiligingsbedrijf PhishLabs. Je denkt dat het domein begint met m.facebook.com, gevolgd door een lange reeks streepjes en woorden als ‘validate’ en ‘secure’. Maar pas helemaal achteraan staat de werkelijke domeinnaam.
Het probleem speelt extra op smartphones, omdat de schermruimte beperkt is. Daardoor kun je alleen het eerste gedeelte zien, dus bijvoorbeeld m.facebook.com——. De meeste aanvallers die er gebruik van maken sturen een SMS, wat nog eens extra benadrukt dat de aanval vooral gericht is op smartphonegebruikers. Het slachtoffer denkt daarna naar de werkelijke website te worden doorgestuurd, met geruststellende woorden als ‘step1’ en ‘login’.
Een URL kan er bijvoorbeeld zo uitzien:
m.facebook.com----------------validate----step1.rickytaylk.com/sign_in[dot]html
Of zo:
icloud.com--------------------secureaccount-confirm.saldaodovidro[dot]com.br/
URL padding
PhishLabs noemt de aanval ‘URL padding’, dus het noemen van een bekende website aan het begin van de URL. De onderzoekers zien het de afgelopen tijd regelmatig voorkomen. De meeste aanvallen zijn erop uit om e-mailadressen en wachtwoorden te stelen. Naast Facebook en Apple hebben de aanvallers het ook gemunt op inloggegevens van tweedehands verkoopsites en kabelbedrijven.
De truc dook oor het eerst op in januari, vertellen de onderzoekers. Sinds maart neemt het enorm toe. Het lastige daarbij is het mobiele scherm, dat nogal klein is. Zelfs mensen die altijd goed oppassen of de URL wel klopt kunnen erin trappen, vooral omdat we over het algemeen op smartphones wat sneller geneigd zijn om op linkjes te klikken dan op de desktops. Omdat de link als een shortlink via SMS binnenkomt kun je niet vooraf controleren naar welke site je gaat.
Toename in phishingaanvallen
De afgelopen tijd is een toenemend aantal phishingaanvallen te zien. PhishLabs schat het op zo’n 20 procent groei tijdens het eerste kwartaal van 2017. De inloggegevens worden waarschijnlijk gebruikt om bij andere sites in te loggen.
Dat maakt ook meteen duidelijk hoe je je kunt beschermen: gebruik niet meermaals hetzelfde wachtwoord op verschillende sites. En als je tweefactorauthenticatie inschakelt kan een aanvaller sowieso niets met je inloggegevens. Ook hebben we een tip hoe je phishing-mailtjes van Apple kunt herkennen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Getest: de nieuwe gehoorfuncties op de AirPods Pro (21-10)
- iCulture peilt: wat was jouw favoriete aankondiging van het september-event? (12-09)
- 'Wachtwoorden van Vision Pro-gebruikers waren te achterhalen' (12-09)
- Thread 1.4 komt naar je smart home: dit zijn de 6 verbeteringen (09-09)
- HomeComputerMuseum in Helmond heeft onvoldoende geld binnengehaald (07-09)
iCloud
Alles over iCloud, de online opslagdienst van Apple waarmee je apps kunt synchroniseren en bestanden kunt opslaan. Maar iCloud biedt meer dan alleen online opslag en synchronisatie. Met de betaalde iCloud+ dienst krijg je extra functies, zoals het verbergen van je e-mailadres en privédoorgifte. Je kunt 5GB tot 12TB iCloud-opslag krijgen. Al onze belangrijke informatie over iCloud op een rijtje!
- Alles over iCloud
- iCloud+, de betaalde versie van iCloud met extra functies
- Alles over iCloud Drive
- Storing bij iCloud? Zo vraag je de status op
- Documenten synchroniseren in iCloud
- iCloud Fotobibliotheek gebruiken
- iCloud Muziekbibliotheek gebruiken
- Beveiliging van iCloud-gegevens
- iCloud-opslagruimte delen met gezin
- iCloud-account beheren
- iPhone en iPad backuppen op iCloud
- iCloud-sleutelhanger voor opslaan van wachtwoorden
- Gezinswachtwoorden in iCloud-sleutelhanger
- Privédoorgifte in iCloud: veiliger browsen
- iCloud-opslag uitbreiden (prijzen en meer)
Reacties: 16 reacties