Phishing gaat mobiel

Phishing, de ‘aloude’ techniek om iemand onbewust te verleiden tot het uitvoeren van kwaadaardige (digitale) handelingen. De Nigeriaanse prins die een mailtje stuurt en u overtuigt dat er een groot geldbedrag op u staat te wachten kennen we tegenwoordig wel. Aanvallers moeten dus nieuwe manieren vinden om u te overtuigen om toch op het kwaadaardige linkje in een mail te klikken. Waarna u vervolgens op een valse pagina per ongeluk uw logingegevens afstaat. Nieuwe manieren van phishing maken misbruik van het feit dat steeds meer mensen e-mail op hun mobiele apparaat lezen.

Hoe gaat traditionele phishing te werk?

Een van de meest voorkomende manieren is een mailtje van de bank, Facebook, Twitter of LinkedIn waarin staat dat er verdachte activiteit op uw account heeft plaatsgevonden. U wordt gevraagd om via de link de activiteit te controleren. Hiermee verleid de aanvaller u tot het klikken op de link. Door de muis op de link te houden zien we al snel dat het niet om een echte login pagina gaat, maar een valse website.

Uw mobiel als doelwit

Tegenwoordig lezen veel mensen e-mail en andere berichten op hun mobiel. Het onderzoeken van een link, en waar deze naar toe gaat, is hierop een stuk lastiger. Kwaadwillenden maken hier met de nieuwe aanvalstechniek gretig gebruik van.

Bij een nieuwe phishing aanvalstechniek, URL-padding attack, gebruikt een aanvaller een speciaal geprepareerde link. De truc is om de link te laten starten met een legitieme domeinnaam waaraan verschillende tekens, meestal streepjes, worden toegevoegd. Deze streepjes worden gebruikt om vervolgens misbruik te maken van het ‘kleine’ mobiele scherm.

Een voorbeeld van een kwaadaardige link ziet er als volgt uit:

http://m.facebook.com—————ditisphising.com/sign_in.html

Wat vervolgens op een telefoon er uit ziet als:

In de url balk is niet te zien dat we ons eigenlijk op  “ditisphishing.com” bevinden in plaats van op de echte loginpagina van Facebook.

Conclusie

Helaas zijn de kwaadwillenden de (toekomstige) slachtoffers vaak een stapje voor. Ze bedenken dit soort nieuwe aanvalstechnieken waar we ons in deze veranderende digitale wereld moeilijk tegen kunnen weren.

Dat er phishing wordt verstuurd of kwaadwillenden onze logingegevens willen buitmaken zullen we moeten accepteren. Het enige dat we kunnen doen is onze alertheid en ons bewustwording vergroten. We zullen veiligheid op onze mobiele telefoon hetzelfde moeten benaderen als voor andere digitale apparaten. We gebruiken onze mobiele telefoon per definitie voor dezelfde doeleinden.