Laat je niet vangen door Phishing: Understanding Internet Domains – Pratum

Cybercrimineel met e-mail phishing-campagne

Phishing bestaat al heel lang, en uit de meest recente indexcijfers blijkt dat aanvallers er enthousiast gebruik van maken.

Infoblox DNS Threat Index, Q2 Quarterly Report 2015

Netwerk-eindgebruikers vormen als eerstelijnsverdedigers een cruciaal onderdeel van het informatiebeveiligingsprogramma van een organisatie. In de afgelopen jaren is in de bewustmakings- en trainingsthema’s voor eindgebruikers van netwerken ook phishing opgenomen, zowel vanwege het wijdverbreide karakter ervan als vanwege de steeds geraffineerdere methoden die phishers gebruiken om slachtoffers te lokken. Wanneer onze consultants de risico’s binnen een organisatie evalueren en met hen hun bewustmakings- en trainingsinspanningen voor phishing bespreken, zien we vaak richtlijnen als “klik niet op verdachte koppelingen” en “beweeg de muisaanwijzer over koppelingen in een e-mail om te controleren of deze legitiem zijn”. Maar hoe beoordeelt men of een link en de bijbehorende Uniform Resource Locator (URL) al dan niet naar een legitieme site leiden?

Om links en URL’s te kunnen beoordelen, moet iemand inzicht hebben in generieke Top-Level Domains (gTLD’s), landcode-TLD’s (ccTLD’s) en andere soorten internetdomeinen. Daartoe wordt in dit artikel enige informatie op hoog niveau gegeven over het lezen en interpreteren van links/URL’s.

Een korte geschiedenis van generieke Top-Level Domains

We zijn allemaal gewend om gTLD’s te zien. Bijna dagelijks gebruiken we gTLD’s, waaronder de meest bekende, zoals .com, .gov, en .edu. Zij zijn een essentieel onderdeel van de structuur van het internet. Ze worden ook goed begrepen door phishers, die URL’s manipuleren voor frauduleus gebruik. Om links in e-mails en URL’s in browsers zo goed mogelijk te kunnen beoordelen, is het goed om te weten hoe de verschillende domeinen zich hebben ontwikkeld en hoe ze werken.

In 1984 werd Request for Comments (RFC) 920 gebruikt om de oorspronkelijke “general purpose domains” te definiëren – .com, .gov, .mil, .edu, en .org. Een ander domein, .net, werd begin 1985 toegevoegd en wordt ook beschouwd als een van de “oorspronkelijke” domeinen. In 1988 werd .int (internationaal) toegevoegd om te voldoen aan het verzoek van de Noord-Atlantische Verdragsorganisatie om een domein. In de loop der jaren werden andere domeinen toegevoegd, zoals .biz en .info (2001). Begin 2011 waren er 22 gTLD’s opgericht. In juni 2011 stemde de Internet Corporation for Assigned Names and Numbers (ICANN) voor het opheffen van veel van de beperkingen op gTLD-aanvragen en -implementatie, waardoor in feite de deur werd opengezet voor het gebruik van bijna elk gTLD. Volgens de nieuwe regels waren vanaf mei 2015 meer dan 600 gTLD’s, waaronder nieuwe gTLD’s zoals .auto, .computer, .network, .social, .pizza, .organic, geregistreerd en vrijgegeven voor gebruik op het internet. Volgens sommige beveiligingsexperts wordt deze evolutie in gTLD’s beschouwd als een geschenk voor phishers omdat ze hierdoor een massa nieuwe phishing-websites zullen kunnen vormen. Voor een volledige lijst van de uitgebreide gTLD’s, zie de Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db).

Country Code TLD’s

Landencode-TLD’s maken ook deel uit van veel URL’s, en daarom kan men verwachten ze af en toe in links te zien. Landen hebben ccTLDs om te helpen onderscheiden in welk land een site is geregistreerd of uit welk land deze afkomstig is. Het ccTLD voor de Verenigde Staten, .us, wordt bijvoorbeeld vaak gebruikt door staats- en lokale overheden. Andere voorbeelden van ccTLD’s zijn Australië, .au; Japan, .jp; en Verenigd Koninkrijk, .uk. Wanneer u een link of URL leest, moet u zich realiseren dat de plaats van het ccTLD binnen de URL kan verschuiven (aan het eind van een URL, zoals http://www.gov.uk, of eerder in een URL, zoals https ://uk.news.yahoo.com).

Did You Know?

Vierenveertig landen hebben ervoor gekozen het gebruik van hun ccTLD’s voor commerciële doeleinden toe te staan. Zo kan bijvoorbeeld .co, het ccTLD voor Colombia, worden gebruikt in plaats van .com. Het is erg populair, vanwege het snelgroeiende .com-domein, en stelt bedrijven in staat alternatieve manieren te hebben om websitenamen te vormen.

Heb je de URL http://o.co gezien? Dat is Overstock.com die u een alternatieve manier biedt om via uw browser bij het bedrijf te komen.

Je hebt misschien youtu.be gezien. Dat is een legitieme URL, geregistreerd door Google met gebruikmaking van België’s ccTLD, .be.

Veel van de entertainmentindustrie gebruikt Tavalu’s ccTLD, .TV. Het is een geweldige manier voor de eilandnatie om geld te verdienen.

Wanneer u probeert te bepalen of een site legitiem is, moet u zich realiseren dat veel ccTLD’s ook voor commerciële doeleinden worden gebruikt. Wat er als een verdachte site uitziet, kan in feite legitiem zijn. ccTLD’s kunnen echter ook worden gebruikt om namen te vormen voor phishingsites, dus klik bij twijfel niet!

Hoe links/URL’s tot stand komen

Wat is nu de sleutel tot het lezen van URL’s in links? Het basisantwoord is dat, binnen een link, de belangrijke dingen liggen tussen de dubbele forward-slash “//” en de eerste enkele slash, voornamelijk in het gemarkeerde gebied dat hieronder wordt getoond. Om de URL te interpreteren, ga je naar de eerste enkele schuine streep, en vanaf daar terug naar boven. Na de eerste schuine streep, worden zaken als directories, subdirectories, bestandsnamen en bestandstypen opgesomd.

De structuur van een link/URL

Note: Het bovenstaande kader is de basisindeling van een URL. In plaats van http:// of https:// ziet u mogelijk ftp://, gopher://, of news://. Dit zijn verschillende soorten overdrachtsprotocollen. Bovendien is www, hoewel het in veel URL’s voorkomt, geen verplicht onderdeel. U kunt extra velden zien vóór de gTLD en secundaire domein/servernaam. Na de eerste forward slash kunt u velden zien die datums aangeven, of andere informatie die wordt gebruikt om een bron te identificeren.

Voorbeeld-links/URLs

Nu we gewapend zijn met enige achtergrondinformatie, laten we eens kijken naar enkele voorbeelden.

  1. We zijn redelijk gewend aan het zien en gebruiken van commerciële sites, zoals: http://www.amazon.com

    Dit is een bekende site, en de URL bevat geen verdachte wijzigingen.
    Beoordeling: LEGIT!

  2. URLs kunnen op bijna elke manier worden gevormd. Dit maakt het voor site-eigenaren gemakkelijk om unieke sitenamen te bouwen. Het maakt het ook gemakkelijk voor phishers om hetzelfde te doen, wat betekent dat ze sitenamen kunnen maken die dicht in de buurt komen van legitieme sitenamen. Kijk bijvoorbeeld eens wat een eenvoudige punt kan doen met een sitenaam: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart

    Als iemand op de bovenstaande koppeling zou klikken, zou hij niet naar amazon.com gaan, maar naar de site zon.com, die een door phishers geregistreerde site zou kunnen zijn.
    Beoordeling: SUSPECT!

  3. Hoe zit het met deze link? http://This email adres is beschermd tegen spambots. You need JavaScript enabled to view it./catalog

    In dit geval zou een persoon worden doorverwezen naar IP-adres 66.161.153.155, niet amazon.com. Als u een link/URL met een “@”-teken ziet, wees dan bijzonder voorzichtig. Phishers maken stelselmatig gebruik van deze URL-manipulatietactiek.
    Beoordeling: SUSPECT!

  4. Wat als u deze URL in een link ziet? http://209.131.36.158/amazon.com/index.jsp

    De functie van deze URL is enigszins vergelijkbaar met die van de URL in #3 hierboven. Iemand zou worden doorverwezen naar het IP-adres, niet naar amazon.com, dat na de eerste enkele forward slash staat.
    Beoordeling: SUSPECT!

  5. Wat als u een URL ziet die lijkt op onderstaande, of als u kijkt naar een webpagina die wordt geladen en u ziet iets wat hier op lijkt in de URL-balk? http://www.google.com/url?q=http://www.badsite.com

    Dit voorbeeld toont een URL die iemand van de ene site (in dit geval google.com) doorverwijst naar een andere site, badsite.com (let op de nomenclatuur “=http://”, die dit mogelijk maakt). Verwijzingen zijn op zich niet slecht, maar een verwijzing kan leiden naar een phishing site. In dit geval lijkt badsite.com niet legitiem te zijn.
    Beoordeling: SUSPECT!

  6. Weet U dat?

    Je bezoekt een website en ziet “www1” of “www2” (of een ander nummer) in de URL staan. Wat betekent dit? Sommige websites kunnen erg populair zijn en hebben daarom meerdere servers die in een load-balancing configuratie werken om de gevraagde inhoud te leveren. Sommige bedrijven kiezen ervoor hun servers te nummeren. Dus als u www1 of www2 (of een ander www#) ziet, ziet u gewoon welke server # van meerdere servers de inhoud levert. Met betrekking tot phishing is het zien van een www1, www2, enz. op zichzelf geen indicatie van een phishing-site.

    Om gebruikers te helpen snel de top-level en secundaire domeinen in een URL te bepalen, zijn sommige bedrijven en organisaties begonnen met het gebruik van “domain highlighting”. Wanneer een gebruiker een site bezoekt, wordt na een paar seconden een deel van de URL donker, terwijl de top- en secundaire domeinen donker blijven. Bijvoorbeeld:

    PayPal-domein

    Het is altijd goed om te zoeken naar tekenen van een legitieme, veilige site: gesloten hangslot, https://, en de bedrijfsnaam groen gemarkeerd in de URL (zoals in het PayPal-voorbeeld hierboven). Als het certificaat van een site verlopen of anderszins ongeldig is, waarschuwen sommige browsers, zoals Internet Explorer en Firefox, of beveiligingsdiensten, gebruikers. Iemand kan zich afvragen of het veilig is om door de waarschuwing heen te gaan. Gebruik in dat geval andere beschikbare indicatoren (bekijk de URL nog eens) om te bepalen of de site legitiem is. Ga bij twijfel niet verder.

    Conclusie

    Phishing blijft een wereldwijd probleem, verergerd door gebruikers die niet op de hoogte zijn van phishing-tactieken, steeds geavanceerdere phishing-methoden, en nu, een toenemende reeks generieke Top-Level Domains. Hoewel links in e-mails niet de enige methode zijn die phishers gebruiken, komt het wel vaak voor. Om de risico’s van phishing te verminderen, is het noodzakelijk te weten hoe links en de bijbehorende URL’s moeten worden geïnterpreteerd.

    Als u geïnteresseerd bent in meer informatie over social engineering, bewustzijn en training, en risicobeoordelingsdiensten, neem dan vandaag nog contact met ons op.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.