Gmail zet Domainkeys in tegen Paypal-phishing

Google gaat Domainkeys gebruiken om phishingmailtjes die van eBay of Paypal lijken te komen, te weren. Deze worden niet afgeleverd als de mailservers van eBay of Paypal de verzending niet verifiëren.

Domainkeys werd oorspronkelijk door Yahoo ontwikkeld, en werd al eerder voor Yahoo Mail-accounts ingezet om phishingaanvallen af te slaan die zogenaamd van eBay of Paypal afkomstig waren. Met de techniek voorziet de verzendende mailserver ieder mailtje van een versleutelde digitale handtekening, die door de ontvangende server wordt gedecodeerd om de afzender te verifiëren. Zo kunnen naast phishers ook spammers worden geweerd. Domainkeys werd vorig jaar door de Internet Engineering Taskforce goedgekeurd.

phishing paypal Google zegt in een persbericht, bij monde van antispam-engineer Brad Taylor, blij te zijn met de extra antispam-beveiligingslaag, omdat 'phishing een erg gemene vorm van spam is'. Volgens eBay is Googles medewerking een voorbeeld van de broodnodige samenwerking tussen industriepartners om frauduleuze emailpraktijken een halt toe te roepen.

Voor eBay's Paypal-betaaldienst zijn dergelijke maatregelen van groot belang om het vertrouwen in het systeem te waarborgen. Vorig najaar werd al duidelijk dat Paypals offensief tegen phishing, onder meer via authenticatiesleutels en betere voorlichting richting gebruikers, zijn vruchten af begon te werpen. In een jaar tijd daalde het aandeel van phishingmailtjes dat van eBay of Paypal afkomstig leek, van 85 naar 21 procent.

IT-banen

Reacties (48)

Verwijderd 8 juli 2008 19:47

Dat helpt wel tegen de zeer goedgelijkende nepmails. Voor de minder oplettende consument blijft er echter een risico op phishing gebaseerd op gelijkende kleurtjes en logo's. Een mooie https-verbinding wekt al snel de schijn van veiligheid. Hoeveel mensen checken nu daadwerkelijk het certificaat achter het sleutelsymbooljte? Onderzoek zegt 15% maar mijn gevoel zegt dat dat in werkelijkheid veel lager ligt...

SH4D3H @Verwijderd • 8 juli 2008 19:53

Als je gewoon de domeinnaam checkt is dat toch voldoende?

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Google

@SH4D3H • 8 juli 2008 20:03

en hoe wil je die checken?

franssie @Blokker_1999 • 8 juli 2008 20:11

firefox 3 gebruiken, die doet dat voor je.

J.J.J. Bokma @franssie • 8 juli 2008 20:43

alleen als de URL gemeld is, online, als zijnde een phish.

EagleTitan @J.J.J. Bokma • 8 juli 2008 22:00

In het geval van certificaten checken kom je niet eens op de pagina als je domein niet overeenkomt met wat in je certificaat wordt vermeld. Dan moet je eerst een regel aanmaken in Fx 3 die expliciet aangeeft dat je dat certificaat bij dat domein vertrouwt.

Neko Koneko @franssie • 9 juli 2008 09:34

IE7 ook. Al heel lang

En sommige virusscanners hebben ook phishing filters tegenwoordig.

Mike-RaWare @Blokker_1999 • 8 juli 2008 20:05

Door op de adresbalk van je browser te kijken, natuurlijk.

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Google

@Mike-RaWare • 9 juli 2008 07:14

En hoe ga je dat in e-mails nakijken? Bedoeling is net dat men zelfs niet meer naar die sites kan gaan. Op het moment dat je zo een site betreed bestaat de kans dat er malware aanwezig is dat zich installeert op jouw computer.

Verwijderd @Blokker_1999 • 9 juli 2008 12:27

Ik weet niet welk email programma jij gebruikt, maar mijn Thunderbird geeft onderaan in de statusbalk wel degelijk netjes de ECHTE url weer van de link waarboven je mousepointer hangt in een mail.

Simpelweg even kijken naar die url is al voldoende.

Maar zelfs dat is er teveel aan voor veel mensen.

Noxious @Verwijderd • 9 juli 2008 13:10

En hoeveel gewone huis-tuin-en-keukengebruikers hebben in Internet Explorer (waar die standaard uit staat) hun statusbalk aanstaan als ze in hun GMail Inbox (waar het hier over gaat) op een link klikken?

Juist.

Verwijderd @SH4D3H • 8 juli 2008 21:07

Je moet bij dit soort 'gevoelige' sites gewoon *nooit* ingaan op 'onverwachte' mailtjes waarin, om welke reden dan ook, wordt gevraagd om even in te loggen, met je naam en wachtwoord. De meeste hiervan geven dan ook aan, dat zij dit soort informatie nooit van jou zullen vragen, en al helemaal niet per e-mail.

MarCreative @SH4D3H • 8 juli 2008 21:26

Niet slim zoals jij dat zegt, wat nou als je router is gekraakt en ze een locale DNS hebben opgezet. Dit hoeft trouwens ook niet in de router te gebeuren, dit kan al gebeuren op een Windows computertje.

Verwijderd @MarCreative • 9 juli 2008 12:29

Of misschien is de URL wel helemaal juist, maar zit er een evil werknemer op dat bedrijf die persoonlijk mailtjes stuurt en zo allerlei informatie verzamelt.

/x-files mode off

Toolskyn 8 juli 2008 20:04

Dit lijkt me een perfecte manier om spam en phishing mail te weren, je kan immers dan niet meer iets verzenden vanaf je spambot. Je zal gebruik moeten maken van een officiele server of eigen domeinnaam. Beide zijn veel beter te beheren dan de spambots die ergens in rusland staan oid. Ik weet niet in hoe verre deze technieken open zijn, maar wat mij betreft mogen ze in het SMTP protocol worden opgenomen. Sowieso zou het natuurlijk tijd zijn om de hele emailstructuur eens grondig op te schonen door vernieuwde protocollen in te voeren, want laten we eerlijk zijn SMTP is nu eenmaal hopeloos verouderd en was totaal niet berekend op alle praktijken die er tegenwoordig allemaal mee worden uitgehaald.

J.J.J. Bokma @Toolskyn • 8 juli 2008 20:47

rusland? Je bedoelt wellicht de USA, zie http://www.spamhaus.org/statistics/countries.lasso

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Google

@Toolskyn • 9 juli 2008 07:16

probleem is dat je niet zomaar een nieuw protocol kan implementeren van dag A op B. Beide systemen zouden eerst nog jaren naast elkaar moeten draaien. Kijk ook eens naar de invoering van IPv6 hoe moeilijk dat dat gaat.

Verwijderd 8 juli 2008 20:17

Gmail gebruikt zelf ook domainkeys. Alleen wordt er ook veelvuldig spam verstuurd via Gmail-accounts. Deze accounts worden door mensen aangemaakt (middels goedkope krachten in Roemenie die de captcha beveiliging omzeilen die ingevuld moet worden om een account aan te maken). Een geautomatiseerd systeem voert de accounts aan de spambots. Na een paar honderd mailtjes gaat het account op zwart (door Google) en stap de bot over op het volgende account.

Menig spamfilter heeft moeite met spam afkomstig van door domainkeys 'beveiligde' mail-accounts omdat de bron geverifieerd is, namelijk Gmail zelf.

Zie hier voor meer informatie.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:49]

aidamina 9 juli 2008 10:12

De enige betrouwbare manier om phishing tegen te gaan is om je kop te gebruiken.

engelbertus 9 juli 2008 12:22

hotmail gebruikt sender id. dat is op zich ookk goed werkend, maar volgens mij niet met een vriendelijke licentie, wat veel milserver beheerders er van weerhoud het te gebruiken.

of MS / hotmail met domainkeys gaat werken weet ik niet ( levert extra load op op de mailservers)

obvious reasons, dat ze het niet gaan gebruiken zie ik echter NIET, immers. MS wil yahoo overnemen, en die heeft de domainkeys "uitgevonden"

verder is spambestrijding natuurlijk iets dat gezamelijk aan moet worden gepakt, de enige die er voordeel bijheeft als je dat niet samen doet, is de spammer./adverteerder.

ieperlingetje 8 juli 2008 21:02

Kan iemand uitleggen wat domainkeys nu precies zijn? Dit wordt (vind ik toch) niet echt duidelijk uitgelegd.

Verwijderd @ieperlingetje • 8 juli 2008 21:14

Met DomainKeys wordt er door de mailserver een digitale handtekening in de header van een e-mailbericht geplaatst. In het DNS record van het domain wordt de publieke sleutel gepubliceerd waardoor de ontvangende partij kan verifieren of het bericht daadwerkelijk vanaf een legitieme mailserver, behorende bij het domain, is verstuurd.

Stel je ontvangt een mailtje van bijvoorbeeld notice @ paypal.com. In de header van het mailtje bevindt zich de digitale handtekening van de server die het mailtje verstuurd heeft. De ontvangende partij haalt de publieke sleutel op van paypal.com door een DNS lookup uit te voeren. Met de publieke sleutel kan de handtekening verifieerd worden.

De truuk is dus dat een emailbericht digitaal ondertekend is en dat de ontvanger deze kan valideren via de DNS gegevens van het afkomstige domein.

Een spammer/phisher kan de handtekening niet plaatsen omdat deze niet beschikt over de private key die bij de public key hoort. Paypal.com houdt zijn private key geheim en publiceert dus alleen de public key via de DNS records.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:49]

_wm_ @Verwijderd • 8 juli 2008 21:21

en een spammer kan niet gewoon zo'n handtekening in dat mailtje zetten? Dan checkt gmail die handtekening met paypal.com en nog steeds lijkt het een 'goede' mail... Of hoe zit dat?

Verwijderd @_wm_ • 8 juli 2008 21:31

Vergelijk het met PGP. Je hebt een geheime, en een 'publieke' sleutel. De verzender versleutelt het bericht met de geheime sleutel, en de ontvanger kan de echtheid controleren met de publieke sleutel.

_wm_ @Verwijderd • 8 juli 2008 21:44

Dat PGP is wel een vrij technisch verhaal... Is het in het kort dit? :
asymetrische versleuteling, waarbij een bericht versleuteld wordt met sleutel A (waarmee je niet kan ontcijferen) en weer ontcijferd wordt met sleutel B (waarmee je ke niet versleutelen).
Paypal versleutelt je gebruikersnaam (oid) met sleutel A (geheim), en zet sleutel B vrij. Hierdoor kan Gmail het bericht ontcijferen en daarmee de echtheid controleren.

Dan snap ik dat wel. Maar hoort bij elke gebruikersnaam dan een andere sleutel A of gebruiken ze voor elke naam dezelfde sleutel?
En hoort bij een bepaalde sleutel A niet altijd dezelfde sleutel B en andersom? Sleutel A en B kunnen toch niet totaal onafhankelijk van elkaar zijn?

DoubleCheck @Verwijderd • 9 juli 2008 09:32

Een spammer/phisher kan de handtekening niet plaatsen omdat deze niet beschikt over de private key die bij de public key hoort. Paypal.com houdt zijn private key geheim en publiceert dus alleen de public key via de DNS records.

Hoe werkt dat dan wanneer ik vanaf mijn lokale mailclient via mijn provider een mail verstuur vanaf mijn persoonlijke mail-adres (ander domein dan mijn provider)?
Dat is volstrekt legitiem, maar hoe is dan het verschil met een spammer duidelijk?

Roelant @DoubleCheck • 22 juli 2008 13:27

Dat is het zwakke punt in veel van dit soort gecentraliseerde beveiliging inderdaad, de concepten van domainkeys, spf, etc, gaan er vanuit dat iedere mail vanaf een bepaald domein afkomstig, ook door een server van dat domein verstuurd wordt. Dat is bij particulieren vaak niet het geval.

Veel particulieren versturen standaard 'gedecentraliseerd', ofwel via de SMTP server van hun provider, en tenzij ze een door de provider verstrekt mailadres gebruiken is dat dan geen geauthenticeerde server natuurlijk. Voor grote bedrijven kun je er echter wel vanuit gaan dat alle uitgaande e-mail via de centrale server van het bedrijf het internet op gaat.

En dat is dan ook waar je de meerwaarde in moet zoeken: in een aantal gevallen kan het een hulpmiddel zijn om te bevestigen dat de e-mail inderdaad afkomstig is van zo'n groot bedrijf, en zou daar melding van kunnen worden gemaakt ("de afzender van deze e-mail is geauthenticeerd"). Het is echter een slechte zaak om, zoals Microsoft doet, bij het ontbreken van een dergelijke handtekening direct e-mails als potentiële spam te markeren.

Aan het ontbreken van de signature zou de conclusie moeten worden verbonden dat het betreffende middel voor het betreffende domein niet in gebruik is, terwijl bij een negatieve uitslag (er is een signature, maar die klopt niet) uiteraard wel spam kan worden geconstateerd.

edit:

Dat is overigens bijv. ook hoe MDaemon er mee omgaat: bij iedere mail wordt er bijv. gekeken of er een SPF-policy of Domainkeys bestaan voor het betreffende domein. Als dat niet zo is, levert dat een "neutrale" score op. Bestaat er echter wel een policy, dan kan aan de key in de e-mail (of het ontbreken daarvan) wel een conclusie worden verbonden.

[Reactie gewijzigd door Roelant op 23 juli 2024 01:49]

engelbertus @DoubleCheck • 9 juli 2008 12:23

dat is niet meteen duidelijk en is ook een zwak punt van microsofts sender id beveiliging.

Verwijderd 8 juli 2008 19:45

En nu nog een geautomatiseerd process met Domainkeys op elk legaal domein en het aantal spam-mail zal ineens drastisch minderen.

Hulde aan google.

Verwijderd @Verwijderd • 8 juli 2008 23:10

Het zou inderdaad mooi wezen als meerdere ISPs deze service ook aanbieden. Echter hoop ik wel dat de filtering juist wordt gedaan. De domein eigenaren gebruiken vaak PayPal@MijnDomain.TLD, dus zeer gemakkelijk om dan te filteren. Echter puur op alleen de term "paypal" zoeken in een email en dan filteren via domainkeys zou false-positives kunnen creeëren.

De meeste phising emails proberen echter zoveel mogelijk te gebruiker te laten denken dat de email van PayPal afkomstig is, inclusief het vaak direct linken naar de plaatjes op de PayPal server, dus ze zijn opzich wel gemakkelijk automatisch te herkennen.

onder meer via authenticatiesleutels en betere voorlichting richting gebruikers, zijn vruchten af begon te werpen

De authenticatiesleutels hebben op het grote plaatje amper bijgedragen, hooguit een paar procent, omdat maar weinig gebruikers de $5 hebben betaald. Wat juist wel de grootste bijdrage was, zijn de EVL-SSL certificaten. Het feit dat de PayPal gebruiker zonder na te denken in IE7+ en FF2+ via een ander gekleurde adresbalk kon zien dat ze niet inlogde op een phising site heeft bij verre de meeste invloed gehad. Er zijn helaas teveel gebruikers die zonder na te denken op "ok" klikken, maar een kleur verandering begrijpen ze dan wel snel.

Verwijderd @Verwijderd • 8 juli 2008 19:47

nouja, hulde aan google, als je al een Yahoo account hebt: hulde aan Yahoo, al veel langer geleden...

Verwijderd @Verwijderd • 8 juli 2008 23:07

Babysteps... misschien wil Microsoft mee doen (hotmail <> gmail)

Laurens-R @Verwijderd • 9 juli 2008 00:00

a. lijkt me niet (obvious reasons)

b. Dan kunnen we toch nog steeds heel simpel met gratis accounts alsnog spam versturen

[Reactie gewijzigd door Laurens-R op 23 juli 2024 01:49]

Chatslet @Verwijderd • 9 juli 2008 09:18

Hotmail doet toch al heel lang domainkeys?

Supremo @Chatslet • 9 juli 2008 10:34

Niet om het een of ander, maar Hotmail doet naar mijn idee al heel lang vervelend. Misschien dat ze ook domainkeys gebruiken, maar ook nog dingen die het erg vervelend maken om contact te zoeken met Hotmail gebruikers.

Waar ik bij GMail nog nooit naar de spam settings heb gekeken, heb ik er zo nu en dan last van dat Hotmail gebruikers mijn mailtjes niet krijgen omdat ik niet in een white list sta. En die mensen beweren dat ze nooit de spam settings in Hotmail hebben gewijzigd.

FicoF 8 juli 2008 20:06

Ik koop nooit spullen via Paypal/Ebay, maar hoe werkt dat dan? Krijg je een email van een aanbieder dat je moet betalen? Hoe kan het dan dat iemand anders precies hetzelfde bedrag op hetzelfde tijdstip kan versturen alszijnde phising?

_ferry_ Moderator CM @FicoF • 8 juli 2008 20:08

Nee, meestal sturen ze een berichtje of je even je contact gegevens wilt controleren en invullen. Inclusief een smoes dat dat moet ivm met nieuwe functionaliteit bijvoorbeeld.

FicoF @_ferry_ • 8 juli 2008 20:16

Maar kun je bij Paypal/Ebay dan alleen al met je contactgegevens betalen? Lijkt me niet toch?

thegve @FicoF • 8 juli 2008 20:29

Jij hebt in ieder geval je spamfilters op orde

, ik heb al zoveel van dat gevis gezien... Anyway, je krijgt een mail met daarin meestal een link die er uit ziet als http://123.123.123.123/ebay/validate.php . Daarin staat een meestal matig gekopieerde versie van Ebay's inlogscherm.
In de mail word je gevraagd om in te loggen en je gegevens vervolgens door te geven, omdat ze een databasestoring hebben gehad en nu niet meer zeker weten of ze je gegevens nog goed hebben, of omdat ze database onderhoud doen, of zo'n soort vrij slechte smoes, dit meestal in gebrekkig Engels.
Er zijn wat varianten, maar meestal komt het hier op neer.

Verwijderd @FicoF • 8 juli 2008 20:30

Nee maar je moet eerst inloggen op een site. Zo hebben ze je wachtwoord, en ja, die is meestal genoeg om een betaling te verrichten.

Cameleon73 8 juli 2008 21:48

D'r is laatst ook nog een andere security feature toegevoegd aan Gmail: overzicht van alle ingelogde sessie's. Zeker van Tweakers.net afgekeken

dwizzy

9 juli 2008 00:53

Ik vind het zo lastig te begrijpen dat 'serieuze' mail nog steeds niet met SSL/MIME verzonden wordt.
Echte end-to-end ondertekening zodat de klant precies weet van wie de mail komt of nog mooier: naar keuze van de klant encryptie, zodat de buurman bij mijn ISP niet kan lezen wat ik via paypal koop.

Blokker_1999

Websites en community's
Netwerk en systeembeheer
Google

@dwizzy • 9 juli 2008 07:18

Tja, maar dan moet je weer met iedereen sleutels beginnen uitwisselen.

dmace @Blokker_1999 • 9 juli 2008 09:38

En om die ellende te voorkomen, hebben ze domainkeys ontwikkeld.
En zo is de cirkel rond.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: