Hoe kunt u zich wapenen tegen een phishing attack die bijna niet te detecteren valt?

Onlangs was er opeens een bericht over een Phishing attack die bijna niet te detecteren was. De gebruiker klikt op een link die hij ziet op Facebook of Twitter. De url toont dan daadwerkelijk de site en het slotje gaat dicht. Google toont dan ook nog netjes een groen vakje met daarin "Veilig". Maar is dat dan wel zo?

Stel je voor op Facebook, Twitter of LinkedIn krijg je een iPhone 7 128GB of een Samsung Galaxy S8 smartphone aangeboden voor 399 euro? Zou je hem dan kopen? Op zich is het wel erg goedkoop, en het zijn superfijne toestellen. Ik zou er wel 1 willen. Dus je klikt op de advertentie. Je word dan naar de website van Coolblue gebracht. Het slotje gaat netjes dicht, het certificaat is dus prima en in je browser staat www.coolblue.nl. Je doet nog een rechtermuisklik in de browser en ja hoor, Het is heel veilig.

Zou je dan een toestel kopen? Als je antwoord ja is, dan kun je weleens een ferme kat in de zak gekocht hebben. De advertentie en de link tonen je wel Coolblue, maar in werkelijkheid zit je op een andere de site. Ik onderzocht het lek onlangs. Aangezien we in 2001 een standaard hebben afgesproken hoe we hiermee omgaan is besloten dat we dat terugzetten in ascii modus en toont de browser jou Coolblue, maar daar zit je niet. Om deze code aan te roepen maken we een url. De coolblue url is: xn--0-z4as63h2l8mf91gv5y

Ga naar een domain registrar en registreer het domein www.xn--0-z4as63h2l8mf91gv5y.nl. Forward deze naar een iis server. Koop een certificaat behorende bij de url. Dat kost je 4 euro.

Met blackwidow download je de website van Coolblue en deze zet je om in plain html verander dan de betaalgegevens. Mensen klikken op de link, zien de website van Coolblue met slotje etc etc etc en kopen die telefoon. Het geld wordt met Ideal omgezet naar een rekening die een bitcoinstring genereert. De bitcoin verdwijnt in een anonieme wallet.

Op deze manier is het voor internet criminelen wel heel makkelijk geworden om de koper geld af te troggelen. De kans dat de gebruiker het detecteert is wel erg klein. En hoewel Google inmiddels een update heeft uitgebracht is deze nog niet voor iedereen beschikbaar. Bedrijven hebben zelfs de neiging om updates pas door te voeren als ze getest zijn. Criminelen kunnen dus nog een behoorlijke poos hun gang gaan met deze methode. Alhoewel de media berichte dat de methode bijna niet te detecteren is heeft 3Asecure een methode gemaakt die deze malicious code ontdekt en blootlegt.

Vanwege het hoge risico die de hack met zich mee brengt heeft 3Asecure heeft nu een extensie voor Chrome uitgebracht zodat gebruikers zelf hun browser kunnen beschermen.  Na het downloaden van de extensie wordt de browser automatisch beschermd en zal deze niet het fake adres, maar de echte url getoond zodat de gebruiker meteen ziet dat er iets mis is.

De extensie is te downloaden op: https://chrome.google.com/webstore/detail/domain-phishing-preventio/cjdlcflbgedjhhjpfdffbpdhbkgibpij

Door: Erik Westhovens, CTO van 3Asecure