Deze nieuwe phishing-aanval is bijna niet te spotten

Deze nieuwe phishing-aanval is bijna niet te spotten

18-04-2017 09:36 Laatste update: 26-04-2018 21:49

Een phishing-aanval die misbruik maakt van een kwetsbaarheid in Chrome en Firefox is nauwelijks te ontdekken.

Bij phishing doet een website zich voor als een authentieke pagina waar je bijvoorbeeld je creditcard-gegevens of gebruikersnaam en wachtwoord invoert. Dat kun je bijvoorbeeld veilig bij Apple.com doen, om toegang te krijgen tot je iCloud-account.

De nieuwe phishingmethode zorgt ervoor dat zelfs het domein Apple.com kan worden overgenomen, zonder dat je het ziet. De kwetsbaarheid, ontdekt door de Chinese beveiligingsonderzoeker Xudong Zheng, zit nog in de meest recente versies van Chrome, Firefox and Opera. Kijk maar: het lijkt alsof je naar Apple.com surft.

Hoe werkt deze aanval?

​De aanval maakt gebruik van een functie van browsers om andere talen, zoals Chinees, in een domeinnaam om te zetten tot het Westerse alfabet. Omdat sommige letters in andere talen precies lijken op de Westerse letters, wordt gebruikgemaakt van lettercodes om het verschil aan te duiden.

Daar maakt Zheng misbruik van. Door de domeinnaam xn--80ak6aa92e.com te registeren fopt hij browsers om de lettercodes om te zetten naar het Westerse alfabet. Voor de browser lijkt het dan alsof je naar Apple.com surft.

Ook beveiligde hij de website met een https-verbinding, te herkennen aan het groene slotje in de browser, waarmee het lijkt alsof de website veilig is. Dat geldt echter alleen voor de verbinding, de authenticiteit van een website - of Apple.com wel echt Apple.com is - wordt niet door een https-verbinding bevestigd.

Zo kun je het herkennen

Zelfs de meest oplettende internetgebruiker kan voor deze phishingaanval vallen. Er is wel één manier om erachter te komen of een website echt of nep is. Dat kan door het certificaat van de website te inspecteren.

Dit doe je in de meeste browsers door op het slotje te drukken en vervolgens te kijken voor welke website het certificaat is verleend. Daar zie je dan het 'echte' adres, zoals xn--80ak6aa92e.com (screenshot onder). Bij Chrome kan dit door op de rechter muisknop te drukken en vervolgens op 'inspecteren' te drukken en daarna naar 'security' te gaan en dan op 'view certificate' te klikken.

Updates voor Chrome en Firefox

Zheng heeft de kwetsbaarheid al in januari van dit jaar gemeld aan Google en Mozilla. Google komt spoedig met een update voor Chrome (met afstand de populairste browser), Mozilla stelt tegen Hacker News dat het de kwetsbaarheid nog onderzoekt.

Internet Explorer, Microsoft Edge en Safari zijn niet kwetsbaar voor deze phishing-aanval.