In hun niet aflatende jacht op gebruikersgegevens, geheime sleutels en andere waardevolle informatie, verzinnen cybercriminelen voortdurend nieuwe manieren om gebruikers te misleiden. En hoe geraffineerd deze trucs ook worden, ze zijn gewoonlijk allemaal gericht op gebruikers die doorgaans niet erg op hun hoede zijn. Maar als u op een paar details let – in de eerste plaats het adres van de website waar u wordt gevraagd uw gegevens in te voeren – zult u geen slachtoffer worden van phishing.
Maar dat geldt helaas niet altijd. Vandaag willen we u namelijk meer vertellen over een aanval die anders werkt, en waarbij de URL er voor het slachtoffer correct en veilig uitziet. Laten we het eens stap voor stap bekijken.
Waarom zitten er fouten in de adressen van phishing-sites?
Elk domeinadres dat u in de adresbalk ziet, is uniek en altijd toegewezen aan de eigenaar ervan. Als iemand een website wil maken, moet diegene eerst contact opnemen met een speciale organisatie die domeinnamen registreert. Zij controleren vervolgens een internationale database om zeker te zijn dat het adres niet al bezet is. Als het beschikbaar is, wordt het aan de aanvrager toegewezen.
Dit betekent dat het onmogelijk is een nepwebsite te registreren met hetzelfde adres als een echte website. Het is echter heel goed mogelijk om een domein te maken dat erg lijkt op dat van iemand anders door een vergelijkbare domeinzone te kiezen: bijvoorbeeld Colombia (.co) in plaats van Canada (.ca). Maar als u goed naar het adres kijkt, is dat makkelijk te zien.
Daarom kwamen gesofisticeerde geesten op het idee om, in plaats van domeinen te registreren, een browservenster met het adres van een vertrouwde site op een pagina te simuleren.
Wat is een browser-in-the-browser-aanval?
Dit type aanval, dat bekend is geworden als een “browser-in-the-browser”-aanval, werd beschreven door een infosec-onderzoeker en pentester met de naam handle mr.d0x. Hij merkte op dat de moderne middelen om websites te maken (HTML-, CSS- en JavaScript-tools) zo geavanceerd zijn geworden dat ze praktisch alles op de pagina kunnen weergeven: van velden met welke kleur of vorm dan ook, tot animaties die de bewegende onderdelen van de interface nabootsen. Dit betekent dat een phisher deze ook kan gebruiken om een volwaardige pagina van een andere dienst binnen zijn eigen website te simuleren.
Voor het experiment keek mr.d0x naar pop-up-inlogvensters. U hebt ze waarschijnlijk al eerder gezien: ze verschijnen wanneer u een optie kiest als “Inloggen met Google” of “Verdergaan met Apple” in plaats van een apart account aan te maken op een website. Deze optie is handig omdat u geen nieuw wachtwoord hoeft te verzinnen en onthouden of op bevestigingslinks of -codes hoeft te wachten. Bovendien is deze aanmeldingsmethode vrij veilig. Wanneer u op de knop Inloggen met drukt, wordt de pagina van de desbetreffende dienst geopend waarop u uw inloggegevens invoert, en de website waarop u met deze optie inlogt, ontvangt nooit het wachtwoord, zelfs niet tijdelijk.
En dan nu een browser-in-the-browser-aanval. Die werkt als volgt: De cybercriminelen registreren een website met behulp van de klassieke phishing-techniek waarbij een kloon wordt gemaakt van een legitieme website. Een andere mogelijkheid is dat ze een aantrekkelijk adres kiezen en inhoud die slachtoffers kan lokken – zoals aanbiedingen voor winkels, vacatures of nieuws waarop een gebruiker commentaar zou willen geven. De criminelen hebben de boel zo opgezet dat bezoekers zich moeten aanmelden als ze iets willen kopen, commentaar willen geven of toegang willen tot andere functies die hen interesseren. Vervolgens voegen de boosdoeners knoppen toe die u zogenaamd toelaten in te loggen via de legitieme diensten waarvan zij de wachtwoorden willen oogsten.
Als slachtoffers op zo’n knop klikken, krijgen ze een inlogvenster te zien waarmee ze vertrouwd zijn, zoals een venster van Microsoft, Google of Apple, met het juiste adres, logo en invoervelden – kortom, alle onderdelen van de interface die ze gewend zijn te zien. Het venster kan zelfs correcte adressen weergeven wanneer gebruikers met de muis over de knop “Log in” en de link “Wachtwoord vergeten” bewegen.
Het addertje onder het gras is dat dit niet echt een apart venster is. Dit wonder van bedrog is gescript om te verschijnen op de pagina die de gebruiker probeert te misleiden. Als u uw gegevens in dit venster invoert, gaan ze niet naar Microsoft, Google of Apple, maar rechtstreeks naar de server van de cybercrimineel. Hier ziet u hoe dat eruit kan zien.
Hoe kunt u weten of het inlogvenster nep is?
Hoewel er niets aan het nep-inlogvenster is dat er ook echt nep uitziet, zijn er wel manieren om het als zodanig te herkennen.
Echte inlogvensters zijn browservensters, en gedragen zich ook zo. U kunt ze maximaliseren en minimaliseren en ze overal op het scherm neerzetten. Nep-pop-ups zijn gebonden aan de pagina waar ze zich bevinden. Ze kunnen ook vrij bewegen en knoppen en afbeeldingen bedekken, maar alleen binnen hun grenzen – dat wil zeggen, binnen het browservenster. U kunt ze niet buiten het browservenster bewegen. Dit verschil zou moeten helpen om ze te spotten.
Om te controleren of het inlogformulier op uw scherm nep is, probeert u het volgende:
- Minimaliseer het browservenster van waaruit het formulier is opgedoken. Als het inlogformulier dat in een apart venster zou moeten staan ook verdwijnt, dan is het nep. Een echt venster zou op het scherm zichtbaar blijven.
- Probeer om het inlogvenster voorbij de bovenliggende vensterrand te verplaatsen. Een echt venster zal er gemakkelijk overheen gaan, een nepvenster komt vast te zitten.
Als het venster met het inlogformulier zich vreemd gedraagt – het minimaliseert met het andere venster, stopt onder de adresbalk, of verdwijnt eronder – is het nep, en moet u uw gegevens niet invoeren.
Is er een makkelijkere manier om mezelf te beschermen?
De aanval is niet zo gevaarlijk als het op het eerste gezicht lijkt. Hoewel het voor mensen vrij moeilijk is om een browser-in-the-browser aanval te herkennen, kan uw computer u hierbij helpen. Wat er ook gescript is op een gevaarlijke site, het echte adres blijft hetzelfde, en dat is wat telt voor een beveiligingsoplossing.
- Zorg ervoor dat u een wachtwoordmanager voor al uw accounts gebruikt. Deze controleert het echte adres van de pagina, en het zal nooit uw gegevens invoeren in de velden van een onbekende site, hoe legitiem die er ook uitziet.
- Installeer een robuust beveiligingsprogramma met een anti-phishing-module. Zo’n programma verifieert ook de URL voor u en waarschuwt u onmiddellijk als een pagina gevaarlijk is.
En gebruik natuurlijk altijd tweestapsverificatie. Activeer het overal als die mogelijkheid bestaat, ook op alle sociale netwerken. Zelfs als aanvallers uw inloggegevens stelen, krijgen ze geen toegang tot uw account zonder een eenmalige code, die dan nog altijd naar u wordt gestuurd, niet naar hen.
Indien u een krachtigere bescherming voor uw extra waardevolle accounts wilt, raden we u aan om U2F-hardware-tokens te gebruiken (het bekendste voorbeeld is YubiKey). Dit systeem controleert niet alleen het adres van een website, maar ook of het de encryptiesleutel kent. Daardoor is het onmogelijk om door een dergelijk verificatiesysteem heen te komen, zelfs als de oorspronkelijke site en zijn tweelingsite er identiek uitzien.