icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest

Oplichters vervalsen webadressen

Een WhatsApp-berichtje met een link naar een echt, geldig KLM-webadres. Dan zit het toch goed? Niet altijd, zo blijkt. Oplichters maken slim gebruik van de techniek.

Gepubliceerd op:16 augustus 2018

Phishing 16-8

‘Juist 2 gratis tickets van KLM gekregen, ik kan het nog steeds niet geloven lol. Kijk of jij er ook wat kan krijgen’. Begin augustus werd dit ‘appje’ verspreid met een reclameberichtje dat van KLM leek te komen. Phishing, niet zo bijzonder, ware het niet dat er een bedrieglijk echt KLM-webadres in stond.

In het bericht werden gratis tickets beloofd. Klikte je op de link, dan kwam je op een site waar werd gevraagd om het berichtje naar 15 contacten door te sturen. RTL Nieuws meldde dat je (om voor de tickets in aanmerking te komen) vervolgens je contactgegevens moest invullen. In de kleine lettertjes kon je lezen dat het ging om een prijsvraag en dat je gegevens zouden worden verkocht aan bedrijven.

Vreemde tekens

Waarom was het bericht bijzonder? Door de manier waarop de link naar de misleidende site was gemaakt. De oplichters gebruikten een slim trucje (‘punycode’) om de link eruit te laten zien als klm.com. Punycode is een trucje om webadressen met bijvoorbeeld Chinese of Russische tekens om te zetten naar voor ons leesbare tekst. Alleen de oplettende kijker ziet dat er iets niet klopt: het streepje onder de link wordt bij de K onderbroken voor een puntje. Deze Ḳ is niet de K uit ons alfabet, maar een letter uit een ander schrift.

Deze truc is in WhatsApp en in andere iOS- en Android-apps mogelijk. Zo kan de website xn--rolx-nu5a.com worden gepresenteerd als rolẹx.com (met een puntje onder de e) en xn--ryanar-t9a.nl als ryanaır.nl (met een i zonder puntje). Dit weten oplichters ook: op internet zijn tal van voorbeelden te vinden van berichten waarmee geprobeerd is mensen te misleiden.

Klik dus niet zomaar op een link, maar kijk eerst eens goed of het adres klopt. En controleer na het klikken op een link of je wel op de site zit waar je heen dacht te gaan. En zeker bij bank- en betaalsites typ je het beste zelf het webadres in.

Browser op de computer

Loop je ook een risico op je computer? Dat ligt eraan. In de meeste internetbrowsers is misleiding via punycode niet (meer) mogelijk, omdat de browserontwikkelaars dit vorig jaar via updates onmogelijk hebben gemaakt. De uitzondering hierop is Firefox, die heeft dit ‘gat’ nog steeds niet gedicht.

Of je browser nog gevoelig is voor oplichting via punycode is te checken door op deze (veilige) link te klikken: https://www.xn--80ak6aa92e.com. Als het adres in de adresbalk verandert in Apple.com, is je browser verouderd en moet je hem dringend updaten.

Wil je in Firefox geen enkel risico lopen, dan zul je zelf een instelling moeten aanpassen. Doe dat nauwkeurig:

1 Typ about:config in de adresbalk van Firefox en druk op Enter.

2 Klik op Ik aanvaard het risico en typ punycode in het zoekvak. Er verschijnen twee regels.

3 Achter de regel ‘network.IDN_show_punycode’ staat ‘false’. Dubbelklik op dit woord om het te wijzigen in ‘true’.

4 Klik het scherm uit.

Goede achtergrondinformatie over deze vorm van misleiding met punycode, met veel voorbeelden, is hier te vinden: https://www.wandera.com/punycode-attacks

 

Bron schermafbeelding: RTL Nieuws

 

Ga naar digitaalgids.nl