Venafi onderzoek: phishing retailwebsites misbruiken geldige certificaten voor diefstal persoonsgegevens en betaalinformatie

14 november 2019

Venafi maakt de resul­taten bekend van onderzoek naar mislei­dende domein­namen van bekende retailers voor het stelen van persoons­ge­ge­vens en betaal­in­for­matie. De secu­ri­ty­spe­ci­a­list heeft ruim 100.000 lookalike websites ontdekt, die zijn opgezet om 20 grote retailers in de Verenigde Staten en Europa na te bootsen voor het misleiden van online shoppers. Omdat die sites echter geldige TLS-certi­fi­caten gebruiken lijken ze veilig en vertrouwd te zijn. Het aantal ontdekte lookalike domeinen is sinds 2018 verdub­beld en vier keer groter dan de officiële domeinregistraties.

Onderzoeksresultaten

  • Het aantal lookalike domeinen is ruim 400% groter dan het aantal authen­tieke retaildomeinen.
  • Grote retailers zijn belang­rijke doel­witten voor cyber­cri­mi­nelen. De klanten van een grote retailer uit de Verenigde Staten worden benaderd met maar liefst 49.500 mislei­dende domeinen.
  • Zo’n 60% van de ontdekte mislei­dende domeinen gebruiken gratis certi­fi­caten van Let’s Encrypt.

Minimale URL-veranderingen  

De pogingen van cyber­cri­mi­nelen om consu­menten te misleiden met malafide lookalike domein­namen blijven toenemen, in lijn met de groei van het online shoppen. Met minimale veran­de­ringen in de URL’s proberen ze bekende retail­web­sites na te bootsen, waardoor het voor consu­menten moeilijk is om de look­a­likes van echte te onder­scheiden. Mede omdat ze vertrouwde TLS-certi­fi­caten gebruiken.

Klanten beter beschermen

De komende weken zal het aantal malafide websites waar­schijn­lijk toenemen om mensen tijdens het shoppen voor de feest­dagen proberen te misleiden persoons­ge­ge­vens en betaal­in­for­matie in te voeren. In Nederland waar­schuwt de politie daarom actief voor nepwin­kels en phishing. Online retailers kunnen zelf de volgende stappen onder­nemen om klanten beter te beschermen:

  • Malafide websites proactief zoeken en rappor­teren met de anti-phishing service Google Safe Browsing: https://​safe​brow​sing​.google​.com/​s​a​f​e​b​r​o​w​s​i​n​g​/​r​e​p​o​r​t​_​g​e​n​e​ral/
  • Certi­fi­cate Authority Autho­ri­za­tion (CAA) toevoegen aan de DNS-records van domeinen en subdo­meinen. CAA stelt orga­ni­sa­ties in staat om zelf te bepalen welke CA’s certi­fi­caten mogen verstrekken voor de eigen domeinnamen. 
  • Oplos­singen benutten die verdachte domein­namen zoeken en inzich­te­lijk maken. Er zijn speciale services die orga­ni­sa­ties helpen hun merk te beschermen, waarmee zowel malafide lookalike websites te zoeken zijn als het onge­au­to­ri­seerd gebruik van logo’s te monitoren is. 
  • Malafide certi­fi­caten detec­teren met behulp van Certi­fi­cate Trans­pa­rancy: alle vertrouwde machine iden­ti­teiten, waaronder TLS-certi­fi­caten, worden in logfiles gepu­bli­ceerd. Door die regi­stra­ties te monitoren en te analy­seren kunnen orga­ni­sa­ties lookalike domeinen en bijbe­ho­rende certi­fi­caten ontdekken voordat ze worden misbruikt richting hun klanten.

“Wij zien een onge­brei­delde groei van het aantal malafide lookalike
domein­namen voor het stelen van persoons­ge­ge­vens en betaal­in­for­matie”, zegt Jing Xie, senior threat intel­li­gence researcher van Venafi. “Dat is een gevolg van de druk steeds meer en uitein­de­lijk al het webver­keer te versleu­telen. Deze trend vergroot enerzijds de veilig­heid voor alle Internet-gebrui­kers, maar intro­du­ceert ook nieuwe uitda­gingen voor het detec­teren van phishing-pogingen. Veel retailers en andere bedrijven beschikken niet over de benodigde tech­no­logie om malafide websites te ontdekken en hun klanten daartegen te beschermen.”

 

Robbert Hoeffnagel

Editor @ Belgium Cloud

Pin It on Pinterest

Share This