Pas op mensen, #DigiD #oplichting per brief. #phishing
Via deorkaan.nl
https://www.deorkaan.nl/opgepast-digid-oplichting-per-brief/
@ErikSchouten73 : zie ook https://www.security.nl/posting/879497/Logius+waarschuwt+voor+malafide+brieven+over+activeren+van+DigiD.
Daaronder (in https://security.nl/posting/879531) geef ik voorbeelden van websitenamen (ook bekend als domeinnamen) van criminele websites die op slechts één Russische server draaien. Een screenshot van de tabel met die namen ziet u hieronder.
Het is een schandaal dat niemand hier iets tegen onderneemt, en dat criminelen probleemloos websites met dit soort (duidelijk misleidende) domeinnamen kunnen registreren. Erger is dat zij hier, bij herhaling en voor een duidelijk criminele server, website-certificaten voor kunnen verkrijgen.
Een grof schandaal daarbij is het dat de makers van (vooral mobiele) browsers u de mogelijkheid hebben ontnomen om certificaten überhaupt in hun geheel te bekijken (*), zodat u kunt zien of het om een anoniem (Domain Validated) certificaat gaat, of om eentje waarbij de identiteit van de verantwoordelijke voor de website is vastgesteld (dat hoeft niets te zeggen over de betrouwbaarheid van de website, maar u weet dan wel bij wie u verhaal kunt halen als u bedonderd wordt, en *dát* is voor veel website-verantwoordelijken een drijfveer om wél eerlijk te zijn).
(*) Dat is om de winsten van Big Tech te maximaliseren. Als mensen verschillen tussen authentieke (echte) en grotendeels anonieme (low cost) flutwebsites zouden zien, zouden flutwebsites veel minder worden bezocht, en dan zou Big Tech minder verdienen aan goedkope hosting en het verhuren van domeinnamen. Helaas: als je anonieme flutwebsites toestaat, maken cybercriminelen daar handig misbruik van.
In de tabel hieronder, per regel, van links naar rechts:
• Datum waarop de domeinnaam naar 193.143.1.14 verwees (notatie: jjmmdd);
• Aantal (van 94) virus/malwarescanners dat op 11 maart kwaad in de domeinnaam (per nepsite wijzigt dit aantal soms per dag; het duurt vaak dagen en soms weken voordat het maximale aantal virusscanners kwaad ziet in een website, en om hun lijst met foute sites niet eindeloos te laten groeien worden wat oudere foute sites snel geschrapt);
• De domeinnaam zelf (ik heb steeds ".com" vervangen door "·com", met een hoger liggende punt, om onbedoeld openen te voorkómen).
#Phishing #Identiteitsfraude #Cybercrime #Impersonatie #OnlineOplichting #Oplichting #NepNietVanEchtKunnenOnderscheiden #EchtNietVanNepKunnenOnderscheiden
@ErikSchouten73 : dat soort adviezen werken in de praktijk *NIET* voor heel veel mensen.
En terecht, alles in dat soort adviezen kan door criminelen worden omzeild.
Het internet is verziekt door big tech.
Gegeven een domeinnaam moeten internetters, om te beginnen, exact begrijpen hoe domeinnamen in elkaar zitten (*), iets dat voor veel internetters onbegrijpelijke materie is.
En *áls* internetters dat al snappen, moeten zij op raadselachtige wijze zien te achterhalen of die domeinnaam van de *KENNELIJKE ORGANISATIE* is. Dat is allemaal informatie die door Big Tech wordt *ACHTERGEHOUDEN*.
(*) Denk ook aan phishing websites zoals:
https:⧸⧸lîdl·be/login
Zie de zojuist gemaakte screenshot van die URL (link - indien correct gespeld, dus met https:// en een punt erin) hieronder.
#Phishing #DVCerts #BigTechIsEvil #GoogleIsEvil #BrowsersSuck #CABForumSucks #CABForumIsCorrupt
Edited 37d ago
@ErikSchouten73 : ter aanvullende info, het certificaat zoals Chrome onder Android (een van de weinige mobiele browsers met een certificaat-viewer) dat laat zien.
Totaal onbegrijpelijk, en DAT IS MET OPZET.
Meer info over Punycode en IDN's vindt u bijvoorbeeld in https://www.charset.org/punycode?encoded=xn--ldl-vma.be&decode=Punycode+to+normal+text (zie ook de Alt tekst bij onderstaand plaatje).
#GoogleIsEvil #LetsEncryptSucks #BigTechIsEvil #BrowserMakersAreEvil #CABForumIsEvil #CABForumSucks #Punycode #IDN
Edited 37d ago
@ErikvanStraten @ErikSchouten73
Is het erg stom dat ik hier niks van begrijp?
👍🏻 nee, dat is beslist niet stom! Er zijn maar weinig mensen die hier iets van snappen, en dat is precies het probleem.
🥸 Ook ervaren idioten zoals ik moeten te vaak diep graven om te zien of een website echt is of nep, en soms blijkt dat onmogelijk (zoals bij sommige webshops).
🏫 Als we naar het centrum gaan en daar een pand zien waarop "ING" of "HEMA" staat, dan zijn we *GEWEND* dat daar géén oplichtersbende in zit.
🚔 Ons risico om te worden belazerd is laag, omdat kwaadwillenden niet eenvoudig een pand kunnen huren, zoiets snel aan het licht komt en de pakkans groot is.
🏧 Maar zou jij geld pinnen uit een Geldmaat bevestigd aan de buitengevel van een pand van de Hells Angels gevestigd tussen een autosloperij en een pallethandel?
👽 Op internet is de *ENIGE* aanwijzing die we hebben over de identiteit van een website, de domeinnaam die we zien in de adresbalk van de browser. We hebben géén idee meer waar een server staat en wat de nationaliteit van de huurder van de domeinnaam is.
🆎 On precies te zijn, een in DNS geldige website-domeinnaam is een (potentieel nietszeggende of juist misleidende) reeks karakters hooguit bestaande uit:
1) kleine letters (a-z);
2) cijfers (0-9);
3) het minteken;
4) de punt als *scheidingsteken*.
🆔 Een domeinnaam is een *alias* voor een IP-adres, net als "Maartje" in mijn lijst met contacten een alias is voor een telefoonnummer (ik vermoed een ander telefoonnummer achter "mijn" Maartje).
☎️ Stel Maartje neemt morgen een ander telefoonnummer, en een ander krijgt haar oude nummer. Als ik vervolgens "Maartje" bel, krijg ik een ander aan de lijn (als ik pech heb is dat iemand die m.b.v. AI de stem van Maartje exact imiteert en mij misleidt). Dit is een van de problemen met domeinnamen: soms vallen ze in verkeerde handen (zie https://security.nl/search?origin=frontpage&keywords=verlopen+domeinnaam).
🆒 Domeinnamen hebben een bijzondere eigenschap: ze zijn (als alles goed gaat) wereldwijd uniek - in tegenstelling tot "Maartje" of "Erik van Straten".
📒 DNS is het wereldwijde "telefoonboek" om (onder meer), gegeven een domeinnaam, het huidige IP-adres van de server (waar de website actief op is) op te zoeken. Want computers op internet communiceren met elkaar middels IP-adressen, net zoals mobieltjes daar telefoonnummers voor gebruiken.
👹 Het probleem blijft dat domeinnamen nietszeggend of bewust misleidend kunnen zijn (enkele "verse" voorbeelden in de screenshot onderaan deze toot).
🏦 Precies daarom gebruiken de meeste banken EV (Extended Validation) website-certificaten. Het laatste certificaat voor rabobank.nl zie je in https://crt.sh/?id=16445752040 (merk op dat dit certificaat geldig is voor maar liefst 155 verschillende domeinnamen, die je vindt door in die pagina te zoeken naar DNS: ).
📄 Een website-certificaat kun je prima vergelijken met een *kopie* van een paspoort. De server stuurt dit ongevraagd naar de browser.
🤝 Er volgt echter een slimme wiskundige truc: de server *bewijst* aan de browser over het *originele* paspoort te beschikken (feitelijk een "private key"). Een crimineel heeft dus niets aan zo'n kopie.
🤔 In dat paspoort kunnen minder of meer gegevens staan (V staat voor Validated):
a) Domain V: alleen de domeinnaam (of meerdere domeinnamen).
b) Organization V: de domeinnaam/namen plus matig betrouwbare identificerende gegevens van de eigenaar van de website.
c) Extended V: de domeinnaam/namen plus redelijk betrouwbare identificerende gegevens van de eigenaar van de website.
d) QWAC (https://en.wikipedia.org/wiki/Qualified_website_authentication_certificate): de domeinnaam/namen plus maximaal betrouwbare identificerende gegevens van de eigenaar van de website.
🕋 Alles valt of staat met de betrouwbaarheid van de *certificaatuitgever* (een gemeenteambtenaar die valse paspoorten aan criminelen verkoopt kan ook desastreus zijn voor het vertrouwen in het systeem, voorbeeld: https://www.security.nl/posting/800253/Ambtenaar+die+valselijk+paspoorten+opmaakte+veroordeeld+tot+32+maanden+cel).
——————
🤪 Technisch uitstapje (als je nog zin hebt):
🌐 DNS snapt niets van IDN's (International Domain Names). Punycode is een truc in browsers om toch met "nep" domeinnamen zoals
https://münchen.de
en
https://βιβλιοχαρτοπωλειον.ελ (een Griekse "domeinnaam")
te kunnen werken. "Onder water" wordt daarvoor Punycode gebruikt, volgens https://www.charset.org/punycode zijn dat resp.
https://xn--mnchen-3ya.de
en
https://xn--mxabanrbcmcwrbdkn2c8b1b.xn--qxam
🤬 In certificaten voor IDN's vind je (stom genoeg) uitsluitend de Punycode representatie. Het is allemaal zo gemaakt dat het simpel *lijkt* - maar niet is, en dat is meestal iets waar criminelen van profiteren.
👹 Ten slotte nog een wijdverbreid fabeltje: "met een certificaat wordt de https:// verbinding versleuteld". Dat is, al vele jaren, pertinente onzin.
🆔 Een (server- of client-) certificaat wordt uitsluitend gebruikt voor authenticatie (van de server of de client), het leveren van *bewijs* van identiteit.
🔐 Bij de moderne TLS v1.3 (waar steeds meer servers gebruik van maken voor https://) wordt de verbinding zelfs éérst versleuteld; pas dáárna stuurt de server diens kopie-paspoort (een kopie van het certificaat) naar de browser - over de reeds versleutelde verbinding dus.
P.S. emojies toegevoegd in een poging om de droogte van het technische geneuzel te beperken 🥱
#Certificaten #DV #DVCerts #OV #OVCerts #EV #EVCerts #QWAC #QWACs #http #https #httpVShttps #httpsVShttp #Authenticatie #Impersonatie #Fake #Nep #NepSites #Domeinnamen #DNS
Edited 37d ago