Veel oplichtingsmails zijn pijnlijk duidelijk voor ervaren internetgebruikers. Spelfouten, absurde scenario's en dubieuze bijlagen zijn meestal duidelijke tekenen van onheil.
In werkelijkheid zijn echter niet alle phishing-pogingen zo flagrant en ervan uitgaande dat ze kunnen leiden tot een vals gevoel van veiligheid. Sommige zijn zo zorgvuldig gemaakt dat ze zelfs de meest slimme gebruikers voor de gek kunnen houden.
Phishing-e-mails zijn vooral overtuigend als ze misbruik maken van enkele van de geavanceerde technieken die we in dit artikel bespreken.
Als we denken aan website-kwetsbaarheden, afbeeldingen van grootschalige hacks en rampzalige datalekken voor de geest komen. Maar de meest voorkomende kwetsbaarheden zijn veel meer voetgangers.
Ze resulteren meestal niet in een volledige overname van een website, maar geven aanvallers in plaats daarvan een soort kleinigheid win, zoals toegang tot bepaalde bevoorrechte informatie of de mogelijkheid om een beetje schadelijke code in een bladzijde.
Bij bepaalde soorten kwetsbaarheden kan het domein van een site worden gebruikt om een URL te maken die afkomstig lijkt te zijn van de pagina van de site, maar die feitelijk onder controle staat van de hacker.
Deze ‘legitieme’ URL's zijn buitengewoon nuttig voor oplichters via e-mail, omdat ze eerder filters zullen omzeilen of aan de aandacht van slachtoffers ontsnappen.
Open omleidingen
Websites hebben vaak de behoefte om gebruikers om te leiden naar een andere site (of een andere pagina op dezelfde site) zonder een gewone link te gebruiken. Een omleidings-URL kan de volgende vorm hebben:
http://vulnerable.com/go.php? url =Dit kan bedrijven helpen bij het bijhouden van belangrijke gegevens, maar wordt een beveiligingsprobleem wanneer iedereen een omleiding kan gebruiken om een link naar een willekeurige pagina op internet te maken.
Een oplichter kan bijvoorbeeld misbruik maken van uw vertrouwen in kwetsbaar.com om een link te maken die u daadwerkelijk naar evil.com:
http://vulnerable.com/go.php? url = http://evil.comOmleiden in Google Zoeken
Google Zoeken heeft een variant op dit probleem. Elke link die u op een pagina met zoekresultaten ziet, is eigenlijk een omleiding van Google die er ongeveer zo uitziet:
https://www.google.com/url?& ved =& url =& usg = Dit helpt hen om klikken bij te houden voor analysedoeleinden, maar betekent ook dat elke pagina wordt geïndexeerd door Google genereert eigenlijk een omleidingslink van het eigen domein van Google, die kan worden gebruikt voor phishing.
In feite heeft dit al uitgebuit meerdere keren in het wild, maar Google vindt het blijkbaar niet voldoende kwetsbaar om de omleidingsfunctionaliteit te verwijderen.
Cross-site scripting
Cross-site scripting (vaak afgekort tot XSS) vindt plaats wanneer een site de invoer van gebruikers niet goed opschoont, waardoor hackers schadelijke JavaScript-code kunnen invoegen.
Met JavaScript kunt u de inhoud van een pagina wijzigen of zelfs volledig herschrijven.
XSS heeft een aantal veelvoorkomende vormen:
- Gereflecteerde XSS: De kwaadaardige code maakt deel uit van het verzoek aan de pagina. Dit kan de vorm aannemen van een URL zoals http://vulnerable.com/message.php?
- Opgeslagen XSS: De JavaScript-code wordt rechtstreeks op de eigen server van de site opgeslagen. In dit geval kan de phishing-link een volledig legitieme URL zijn met niets verdachts in het adres zelf.
Verwant: Hoe hackers cross-site scripting gebruiken
Laat u niet misleiden
Om te voorkomen dat u door een van deze duistere links wordt misleid, moet u de bestemmings-URL van alle links die u bezoekt, zorgvuldig lezen in uw e-mails, met speciale aandacht voor alles dat eruitziet als een omleiding of JavaScript code.
Om eerlijk te zijn, dit is niet altijd gemakkelijk. De meesten van ons zijn gewend om URL's te zien van de sites die we bezoeken met een hoop "rommel" achter het domein, en veel sites gebruiken omleiding in hun legitieme adressen.
URL-codering is een manier om tekens weer te geven met behulp van het procentteken en een paar hexadecimale tekens, die worden gebruikt voor tekens in URL's die uw browser kunnen verwarren. Bijvoorbeeld, / (schuine streep naar voren) wordt gecodeerd als % 2F.
Beschouw het volgende adres:
http://vulnerable.com/%67%6F%2E%70%68%70%3F%75%72%6C%3D%68%74%74%70%3A%2F%2F%65%76%69%6C%2E%63%6F%6DNadat de URL-codering is gedecodeerd, wordt het volgende opgelost:
http://vulnerable.com/go.php? url = http://evil.comJa, het is een open omleiding!
Er zijn een aantal manieren waarop een aanvaller hiervan kan profiteren:
- Sommige slecht ontworpen e-mailbeveiligingsfilters decoderen URL's mogelijk niet goed voordat ze worden gescand, waardoor overduidelijk kwaadaardige links kunnen passeren.
- U kunt als gebruiker worden misleid door de vreemd uitziende vorm van de URL.
De impact hangt af van hoe uw browser omgaat met links met URL-gecodeerde tekens. Momenteel decodeert Firefox ze allemaal volledig in de statusbalk, wat het probleem verlicht.
Chrome decodeert ze daarentegen slechts gedeeltelijk en toont het volgende in de statusbalk:
kwetsbaar.com/go.php%3Furl%3Dhttp%3A%2F%2Fevil.comDeze techniek kan bijzonder effectief zijn in combinatie met een van de bovenstaande methoden om een kwaadaardige link te genereren vanaf een vertrouwd domein.
Hoe u kunt voorkomen dat u wordt misleid: Inspecteer nogmaals zorgvuldig de URL's van links die u in e-mails tegenkomt, met speciale aandacht voor mogelijke URL-gecodeerde tekens. Let op links met veel procenttekens erin. Bij twijfel kunt u een URL-decoder om de ware vorm van de URL te zien.
Geavanceerde technieken voor het omzeilen van filters
Sommige technieken zijn specifiek bedoeld om e-mailfilters en anti-malwaresoftware voor de gek te houden in plaats van de slachtoffers zelf.
Merklogo's aanpassen om filters te omzeilen
Oplichters doen zich vaak voor als vertrouwde bedrijven door hun logo's op te nemen in phishing-e-mails. Om dit te bestrijden, scannen sommige beveiligingsfilters de afbeeldingen van inkomende e-mails en vergelijken ze met een database met bekende bedrijfslogo's.
Dat werkt goed genoeg als de afbeelding ongewijzigd wordt verzonden, maar vaak is een paar subtiele aanpassingen aan het logo voldoende om het filter te omzeilen.
Verduisterde code in bijlagen
Een goed e-mailbeveiligingssysteem scant elke bijlage op virussen of bekende malware, maar het is vaak niet moeilijk om deze controles te omzeilen. Codeversluiering is een manier om dit te doen: de aanvaller verandert de kwaadaardige code in een uitgebreide, verwarde puinhoop. De output is hetzelfde, maar de code is moeilijk te ontcijferen.
Hier zijn een paar tips om te voorkomen dat u door deze technieken wordt betrapt:
- Vertrouw niet automatisch afbeeldingen die u in e-mails ziet.
- Overweeg om afbeeldingen helemaal in uw e-mailclient te blokkeren.
- Download geen bijlagen tenzij u de afzender absoluut vertrouwt.
- Weet dat zelfs het passeren van een virusscan nog geen garantie is dat een bestand schoon is.
Verwant: De meest veilige en gecodeerde e-mailproviders
Phishing gaat nergens heen
De waarheid is dat het niet altijd gemakkelijk is om phishing-pogingen te detecteren. Spamfilters en controlesoftware worden steeds beter, maar veel kwaadaardige e-mails glippen nog steeds door de mazen. Zelfs ervaren hoofdgebruikers kunnen voor de gek gehouden worden, vooral wanneer een aanval bijzonder geavanceerde technieken omvat.
Maar een beetje bewust zijn gaat een lange weg. Door uzelf vertrouwd te maken met de technieken van de oplichters en door goede beveiligingspraktijken te volgen, kunt u uw kansen om slachtoffer te worden verkleinen.
Voel je je gestrest over mogelijke cyberaanvallen? Hier leest u hoe goede beveiligingspraktijken mindfulness kunnen helpen bevorderen.
- Veiligheid
- Phishing
- Online beveiliging
Abonneer op onze nieuwsbrief
Word lid van onze nieuwsbrief voor technische tips, recensies, gratis e-boeken en exclusieve deals!
Nog een stap…!
Bevestig uw e-mailadres in de e-mail die we u zojuist hebben gestuurd.
