Zolang DNS al bestaat, zijn adverteerders en cybercriminelen zo slim geweest om in te spelen op de techniek van typosquatting. Hierbij wordt misbruik gemaakt van het gegeven dat niet iedereen altijd een perfecte typist(e) is. Adverteerders en hackers zetten sites als www.livve.com, www.live.cm en www.liv.ecom op om gebruikers te lokken die denken dat ze www.live.com ingetypt hebben.

Ik erger me al jaren mateloos aan typosquatting. Het risico van deze bedreiging is weliswaar niet zo hoog als dat van andere bedreigingen, zoals exploits en fake antivirussoftware, maar toch hardnekkig en riskant. Onderzoekers van de security-denktank Godai Group ontdekten dat door gebruik te maken typosquatting technieken, zij in staat waren om gebruikers te verlieden legitieme, private e-mails te sturen naar zogenaamde mailservers van Fortune 500-bedrijven.

Proefopstelling gigantisch 'succesvol'

De onderzoekers hadden eigen e-mailservers opgezet met behulp van sterk gelijkende domeinnamen. Tot hun eigen verbazing kwamen hierop diverse legitieme e-mails binnen van klanten, die waarschijnlijk niet doorhadden dat ze fout zaten. Uiteindelijk kregen de servers in zes maanden tijd 120.000 e-mails binnen (goed voor 20GB aan data) waarin onder meer handelsinformatie, facturen, medewerkerscommunicatie, netwerkdiagrammen en gebruikersnamen met wachtwoorden te vinden waren.

Wanneer een medewerker, partner of klant de domeinnaam van jouw e-mailadres verkeerd intypt bij het versturen van een bericht, dan is het mogelijk voor een dubbelganger domein om zo'n e-mail af te vangen. De verzender krijgt geen foutmelding, dus zal in eerste instantie niets doorhebben. Een slimme cybercrimineel zou een plausibele, overtuigende reactie kunnen sturen om de verdenking weg te nemen en/of meer informatie te ontlokken. Ik kan me voorstellen dat zelfs ik niets zou doorhebben, al werk ik al meer dan twintig jaar in de IT-sector.

Mailtjes lezen en weer doorsturen

De auteurs van het onderzoek beschrijven zelfs hoe het mogelijk is om een 'man-in-the-middle'-aanval uit te voeren, waarbij zowel de verzender als de bedoelde ontvanger volledig in het duister zullen tasten. Kort gezegd, de typosquatter neemt twee frauduleuze domeinnamen in beslag: één van het domein van de verzender en één van de ontvanger. Als de verzender een e-mail stuurt naar de ontvanger, maar een tikfout maakt in de spelling, dan kan de crimineel deze onderscheppen (aangenomen dat er geen S/MIME of andere beveiliging gebruikt wordt). De crimineel leest de mail en stuurt het weer door via het gelijkende domein van de verzender. De ontvanger pikt mogelijk niet de fout op in het domein van de verzender. Nogmaals, ik weet niet of het mij zou opvallen.

Deze vorm van typosquatting wordt nog niet veel toegepast, maar de onderzoekers hebben mijns inziens overtuigend gedemonstreerd dat het een reële bedreiging is. Waarschijnlijk wordt deze tactiek al her en der toegepast. Sterker nog, ik vermoed dat lieden die zich bezighouden met bedrijfsspionage al langer e-mail typosquatting toepassen. Waarom zouden ze dat niet doen? De onderzoekers in kwestie stuitten op een goudmijn in die relatief korte testfase. Ook viel het de auteurs van het onderzoek op dat veel dubbelgangerdomeinen registreerd staan in China, een broedplaats voor Advanced Persistent Threats (APT's).

Laat je niet verrassen

Net als meestal het geval is bij beveiligingsvraagstukken, kunnen organisaties zelf stappen ondernemen om zich te wapenen. Een standaardtactiek is het zelf registreren van zoveel mogelijk domeinnamen die lijken op de eigen gebruikte namen. Daarnaast is het niet alleen verstandig om e-mailverkeer te beveiligen, maar ook om gebruikers goed te informeren over het gevaar van typosquatting.

Bron: Computerworld