Cookies

Deze website maakt gebruik van cookies. Wij verzoeken u cookies te accepteren. Meer info

Spring naar inhoud

Criminelen kopiëren je website en willen gegevens van je klanten. Wat nu?

Je website is gekopieerd en criminelen stelen de gegevens van je klanten wanneer zij via een phishing mail worden verzocht om op de kopie-site in te loggen. Dit is een probleem waar de beste organisaties mee kampen. Kun je dit voorkomen? En wat doe je als het jou is overkomen?

"Gegevens van uw website worden gebruikt op een ander domein”. 

Dat was het bericht dat de online marketeer van onze klant binnenkreeg. Door het plaatsen van een pixel die gedrag van bezoekers controleert, volgde een signaal om te waarschuwen dat onderdelen van de site elders werden gebruikt.

Bij ons onderzoek vonden wij meer dan een paar onderdelen. Wij vonden een volledige kopie van de originele website. En geen statische kopie waarbij de HTML gekopieerd was, dit was een volledig geautomatiseerde kopie, inclusief dynamische content, login formulieren, alles. Hier had de hacker tijd en geld in geïnvesteerd: dit was een proxy, waarmee een hacker informatie wilde gaan onderscheppen. Dit onderscheppen van gegevens is nog niet zo eenvoudig: de hacker probeert bezoekers van de originele website naar de proxy site te lokken in de hoop dat zij daar hun inloggegevens invoeren. Dit is ‘phishing’. De schaal waarop phishingmails worden verstuurd is enorm. Alleen Google verwijdert er dagelijks al ruim 100 miljoen. (red. Consumentenbond). De klant wordt hier al tijden voor gewaarschuwd, maar ook als bedrijf kun je wel iets doen.

Phishing

De gegevens van klanten zijn voor een hacker interessant, maar met gegevens van beheerders hoopt een hacker software te kunnen installeren waarmee hij bestanden kan versleutelen om daar vervolgens geld voor te vragen, de zogenaamde ransomware . Dat levert tegenwoordig veel geld op.

Als je 1000 gebruikers een e-mail stuurt met het bericht: ‘Je gegevens zijn bijgewerkt, [KLIK HIER] om het nieuwe overzicht te bekijken’, dan zijn er allicht een paar die op de link klikken en niet zien dat de domeinnaam in de adresbalk niet klopt. Die fout is snel gemaakt want de website ziet er hetzelfde uit als het origineel. De website werkt ook precies zoals het origineel want als je op de proxy website inlogt ben je ook echt ingelogd. Alleen dit keer luistert er iemand mee en heb je je wachtwoord prijsgegeven. 

Wat kun je hier het beste tegen doen?

  1. Beveiligen inloggen met twee staps verificatie: Het eerste waar je aan denkt is het beter beveiligen van de website, door two-factor-authentication (2FA) in te voeren. Door na het inloggen een SMS met een inlogcode te sturen bouw je een extra beveiligingslaag in. 2 Factor is goed om zeker te weten dat de juiste gebruiker inlogt. Helaas werkt dit niet bij een proxy site. Als de bezoeker op de proxy website de usercode en wachtwoord invult werkt dat twee kanten op: De bezoeker denkt bij de echte website in te loggen en de website denkt dat de juiste bezoeker probeert in te loggen. Na de inlogpoging wordt er daarom, ter controle, gewoon een SMS verstuurd door de originele site. Als de sms-code dan op de proxy website ingevuld wordt dan wordt ook die code onderschept en daarmee omzeilt de hacker de 2FA.
  2. Extra html: Je kunt extra HTML toevoegen voor verzoeken die van de proxy website komen, zodat op de kopie van de website met grote rode letters: "Dit is niet de echte website. Voer geen login gegevens in!" komt te staan. Dit helpt op de korte termijn goed, maar de hacker kan het IP-adres wijzigen of de extra HTML er weer uitfilteren.
  3. Spamfilter op mailboxen: Bij onze klant hebben alle deelnemers een mailbox voor onderlinge communicatie. De verwachting was dat de phishing e-mail naar die mailboxen gestuurd zou gaan worden. De beheerder van de mailboxen heeft, preventief, een spamregel toegevoegd die controleerde op URL’s naar de phishing website. Dat is een slimme beveiliging want de kans dat de hacker dat verwacht is niet groot. Op deze manier ben je de hacker een stap voor en ontvang je als beheerder van de mailboxen  een signaal als de hacker via de proxy site e-mails stuurt.
  4. Contact opnemen met Stichting Internet Domeinregistratie Nederland (SIDN). Als je daar aanklopt dan word je eerst gevraagd de eigenaar, beheerder, domeinnaamhouder of hostingpartij van de website aan te spreken. Stappen 1 t/m 4 liepen in ons geval direct vast door geheimhouding bij de hostingprovider. Gelukkig zag SIDN ook snel dat de proxy website alleen maar bedoeld kon zijn voor phishing en ze blokkeerden de domeinnaam. De hacker was zijn geld kwijt en kon, op zijn best, weer een nieuwe domeinnaam registeren. 

Conclusie:

Voorkomen van phishing mails is lastig. Als het al is gebeurd, kun je een melding in de website plaatsen waardoor bezoekers gewaarschuwd worden, maar de hacker ziet dat ook en kan daaromheen werken.

Je kunt beter iets meesturen wat meteen werkt, onzichtbaar is en wat een waarschuwing aan de klant en de beheerder triggered. Zodra de hacker de website dan zelf bekijkt, krijg je een e-mail dat er een phishing website online staat. En dan zorg je dat die site uit de lucht gaat.

 

Wil je meer weten over manieren om phishing issues te voorkomen, neem vrijblijvend contact met ons op.

 

 

  

"Gegevens van uw website worden gebruikt op een ander domein”.

Pagina delen