Phishing retailwebsites misbruiken geldige certificaten

18 november 2019 - Venafi maakt de resultaten bekend van onderzoek naar misleidende domeinnamen van bekende retailers voor het stelen van persoonsgegevens en betaalinformatie. De securityspecialist heeft ruim 100.000 lookalike websites ontdekt, die zijn opgezet om twintig grote retailers in de Verenigde Staten en Europa na te bootsen voor het misleiden van online shoppers.

Omdat die sites echter geldige TLS-certificaten gebruiken lijken ze veilig en vertrouwd te zijn. Het aantal ontdekte lookalike domeinen is sinds 2018 verdubbeld en vier keer groter dan de officiële domeinregistraties.

Samenvatting onderzoeksresultaten
 

• Het aantal lookalike domeinen is ruim 400 procent groter dan het aantal authentieke retaildomeinen.
• Grote retailers zijn belangrijke doelwitten voor cybercriminelen. De klanten van een grote retailer uit de Verenigde Staten worden benaderd met maar liefst 49.500 misleidende domeinen.
• Zo’n 60 procent van de ontdekte misleidende domeinen gebruiken gratis certificaten van Let’s Encrypt.

Minimale URL-veranderingen  
De pogingen van cybercriminelen om consumenten te misleiden met malafide lookalike domeinnamen blijven toenemen, in lijn met de groei van het online shoppen. Met minimale veranderingen in de URL’s proberen ze bekende retailwebsites na te bootsen, waardoor het voor consumenten moeilijk is om de lookalikes van echte te onderscheiden. Mede omdat ze vertrouwde TLS-certificaten gebruiken.

Klanten beter beschermen
De komende weken zal het aantal malafide websites waarschijnlijk toenemen om mensen tijdens het shoppen voor de feestdagen proberen te misleiden persoonsgegevens en betaalinformatie in te voeren. In Nederland waarschuwt de politie daarom actief voor nepwinkels en phishing. Online retailers kunnen zelf de volgende stappen ondernemen om klanten beter te beschermen:
 

• Malafide websites proactief zoeken en rapporteren met de anti-phishing service Google Safe Browsing: https://safebrowsing.google.com/safebrowsing/report_general/
• Certificate Authority Authorization (CAA) toevoegen aan de DNS-records van domeinen en subdomeinen. CAA stelt organisaties in staat om zelf te bepalen welke CA’s certificaten mogen verstrekken voor de eigen domeinnamen.
• Oplossingen benutten die verdachte domeinnamen zoeken en inzichtelijk maken. Er zijn speciale services die organisaties helpen hun merk te beschermen, waarmee zowel malafide lookalike websites te zoeken zijn als het ongeautoriseerd gebruik van logo’s te monitoren is.
• Malafide certificaten detecteren met behulp van Certificate Transparancy: alle vertrouwde machine identiteiten, waaronder TLS-certificaten, worden in logfiles gepubliceerd. Door die registraties te monitoren en te analyseren kunnen organisaties lookalike domeinen en bijbehorende certificaten ontdekken voordat ze worden misbruikt richting hun klanten.

"Wij zien een ongebreidelde groei van het aantal malafide lookalike domeinnamen voor het stelen van persoonsgegevens en betaalinformatie," zegt Jing Xie, senior threat intelligence researcher van Venafi. "Dat is een gevolg van de druk steeds meer en uiteindelijk al het webverkeer te versleutelen. Deze trend vergroot enerzijds de veiligheid voor alle Internet-gebruikers, maar introduceert ook nieuwe uitdagingen voor het detecteren van phishing-pogingen. Veel retailers en andere bedrijven beschikken niet over de benodigde technologie om malafide websites te ontdekken en hun klanten daartegen te beschermen."
 

Doorsturen  |  Reageer  |  Nieuwsbrief