Venafi onderzoek: phishing retailwebsites misbruiken geldige certificaten voor diefstal persoonsgegevens en betaalinformatie

  1. 14 nov 2019
  2. 0 reacties

Venafi maakt de resultaten bekend van onderzoek naar misleidende domeinnamen van bekende retailers voor het stelen van persoonsgegevens en betaalinformatie. De securityspecialist heeft ruim 100.000 lookalike websites ontdekt, die zijn opgezet om 20 grote retailers in de Verenigde Staten en Europa na te bootsen voor het misleiden van online shoppers. Omdat die sites echter geldige TLS-certificaten gebruiken lijken ze veilig en vertrouwd te zijn. Het aantal ontdekte lookalike domeinen is sinds 2018 verdubbeld en vier keer groter dan de officiële domeinregistraties.

Samenvatting onderzoeksresultaten

  • Het aantal lookalike domeinen is ruim 400% groter dan het aantal authentieke retaildomeinen.
  • Grote retailers zijn belangrijke doelwitten voor cybercriminelen. De klanten van een grote retailer uit de Verenigde Staten worden benaderd met maar liefst 49.500 misleidende domeinen.
  • Zo’n 60% van de ontdekte misleidende domeinen gebruiken gratis certificaten van Let’s Encrypt.

Minimale URL-veranderingen 

De pogingen van cybercriminelen om consumenten te misleiden met malafide lookalike domeinnamen blijven toenemen, in lijn met de groei van het online shoppen. Met minimale veranderingen in de URL’s proberen ze bekende retailwebsites na te bootsen, waardoor het voor consumenten moeilijk is om de lookalikes van echte te onderscheiden. Mede omdat ze vertrouwde TLS-certificaten gebruiken.

Klanten beter beschermen

De komende weken zal het aantal malafide websites waarschijnlijk toenemen om mensen tijdens het shoppen voor de feestdagen proberen te misleiden persoonsgegevens en betaalinformatie in te voeren. In Nederland waarschuwt de politie daarom actief voor nepwinkels en phishing. Online retailers kunnen zelf de volgende stappen ondernemen om klanten beter te beschermen:

  • Malafide websites proactief zoeken en rapporteren met de anti-phishing service Google Safe Browsing: https://safebrowsing.google.com/safebrowsing/report_general/
  • Certificate Authority Authorization (CAA) toevoegen aan de DNS-records van domeinen en subdomeinen. CAA stelt organisaties in staat om zelf te bepalen welke CA’s certificaten mogen verstrekken voor de eigen domeinnamen. 
  • Oplossingen benutten die verdachte domeinnamen zoeken en inzichtelijk maken. Er zijn speciale services die organisaties helpen hun merk te beschermen, waarmee zowel malafide lookalike websites te zoeken zijn als het ongeautoriseerd gebruik van logo’s te monitoren is. 
  • Malafide certificaten detecteren met behulp van Certificate Transparancy: alle vertrouwde machine identiteiten, waaronder TLS-certificaten, worden in logfiles gepubliceerd. Door die registraties te monitoren en te analyseren kunnen organisaties lookalike domeinen en bijbehorende certificaten ontdekken voordat ze worden misbruikt richting hun klanten.

Jing Xie

"Wij zien een ongebreidelde groei van het aantal malafide lookalike domeinnamen voor het stelen van persoonsgegevens en betaalinformatie”, zegt Jing Xie, senior threat intelligence researcher van Venafi. “Dat is een gevolg van de druk steeds meer en uiteindelijk al het webverkeer te versleutelen. Deze trend vergroot enerzijds de veiligheid voor alle Internet-gebruikers, maar introduceert ook nieuwe uitdagingen voor het detecteren van phishing-pogingen. Veel retailers en andere bedrijven beschikken niet over de benodigde technologie om malafide websites te ontdekken en hun klanten daartegen te beschermen.”