Nieuwe ernstige kwetsbaarheid maakt phishingaanvallen zeer gevaarlijk

Opnieuw is een ernstige kwetsbaarheid opgedoken in een protocol dat door een groot aantal populaire websites wordt gebruikt. Het gaat om een probleem in de open source software OAuth en OpenID, waarmee gebruikers zichzelf op internet kunnen identificeren. Cybercriminelen kunnen de kwetsbaarheid misbruiken om grote bekende website na te maken en persoonlijke gegevens te bemachtigen. De website zijn nauwelijks van authentieke websites te onderscheiden.

De kwetsbaarheid is ontdekt door de Singaporese Wang Jing, die tegenover CNET zijn verhaal doet. De kwetsbaarheid maakt het mogelijk phishingaanvallen op te zetten uit naam van populaire website en online diensten. Wat het beveiligingslek ernstig maakt is het feit dat gebruikers de legitieme URL van een bekende website kunnen gebruiken om deze aanval te verbloemen. Dit terwijl de URL juist één van de meest gebruikte manieren is om phishingaanvallen te herkennen.

Phishingaanvallen
Een phishingaanval is een aanval waarbij cybercriminelen slachtoffers doorsturen naar een nagemaakte website, die sprekend lijkt op een legitieme website. De phishingwebsite is doorgaans voorzien van identieke opmaak, logo's en tekst als de nagemaakte legitieme website. De nagemaakte site is hierdoor vaak alleen te herkennen aan de URL, die normaal gesproken niet overeenkomt met die van de echte website.

De nieuwe kwetsbaarheid in OAuth en OpenID zorgt er dus voor dat cybercriminelen ook de URL van hun phishingwebsite kunnen vervalsen. Gebruikers zien hierdoor in de URL-balk bijvoorbeeld de bekende website www.facebook.com staan, waardoor zij de pagina als legitiem bestempelen. Op deze pagina wordt de gebruiker gevraagd een app toestemming te geven toegang te krijgen tot het Facebook-account van de gebruiker. De app stuurt de gegevens in werkelijkheid niet door naar Facebook, maar juist naar een server van de hackers.

Doorsturen naar malafide website
De aanval is hierna echter niet afgelopen. Zodra de gebruiker heeft besloten de malafide app wel of juist niet toestemming te geven toegang te krijgen tot zijn bijvoorbeeld Facebook-account wordt het slachtoffer doorgezonden naar een nieuwe website. De hacker kan het slachtoffer bijvoorbeeld doorverwijzen naar een eigen malafide website. Het slachtoffer krijgt hier ongemerkt nieuwe malware aangeboden waarmee het systeem nog verder wordt besmet.

Facebook is zeker niet de enige populaire online dienst die door de kwetsbaarheid is getroffen. Naast Facebook heeft Wang ook Google, LinkedIn en Microsoft op de hoogte gesteld van het probleem. Deze bedrijven geven overigens aan dat het probleem niet op korte termijn verholpen kan worden, maar stellen wel de kwetsbaarheid in de gaten te houden. Wang stelt dat het verhelpen van de kwetsbaarheid een uitdaging is aangezien het risico bestaat dat ook legitieme apps door maatregelen worden getroffen. Apps van derden zouden eigenlijk gebruik moeten maken van een whitelist, wat geen ruimte open zou laten voor dit soort cyberaanvallen.

WH