Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 48 reacties

Google gaat Domainkeys gebruiken om phishingmailtjes die van eBay of Paypal lijken te komen, te weren. Deze worden niet afgeleverd als de mailservers van eBay of Paypal de verzending niet verifiŽren.

Domainkeys werd oorspronkelijk door Yahoo ontwikkeld, en werd al eerder voor Yahoo Mail-accounts ingezet om phishingaanvallen af te slaan die zogenaamd van eBay of Paypal afkomstig waren. Met de techniek voorziet de verzendende mailserver ieder mailtje van een versleutelde digitale handtekening, die door de ontvangende server wordt gedecodeerd om de afzender te verifiŽren. Zo kunnen naast phishers ook spammers worden geweerd. Domainkeys werd vorig jaar door de Internet Engineering Taskforce goedgekeurd.

phishing paypal Google zegt in een persbericht, bij monde van antispam-engineer Brad Taylor, blij te zijn met de extra antispam-beveiligingslaag, omdat 'phishing een erg gemene vorm van spam is'. Volgens eBay is Googles medewerking een voorbeeld van de broodnodige samenwerking tussen industriepartners om frauduleuze emailpraktijken een halt toe te roepen.

Voor eBay's Paypal-betaaldienst zijn dergelijke maatregelen van groot belang om het vertrouwen in het systeem te waarborgen. Vorig najaar werd al duidelijk dat Paypals offensief tegen phishing, onder meer via authenticatiesleutels en betere voorlichting richting gebruikers, zijn vruchten af begon te werpen. In een jaar tijd daalde het aandeel van phishingmailtjes dat van eBay of Paypal afkomstig leek, van 85 naar 21 procent.

Moderatie-faq Wijzig weergave

Reacties (48)

Dat helpt wel tegen de zeer goedgelijkende nepmails. Voor de minder oplettende consument blijft er echter een risico op phishing gebaseerd op gelijkende kleurtjes en logo's. Een mooie https-verbinding wekt al snel de schijn van veiligheid. Hoeveel mensen checken nu daadwerkelijk het certificaat achter het sleutelsymbooljte? Onderzoek zegt 15% maar mijn gevoel zegt dat dat in werkelijkheid veel lager ligt...
Als je gewoon de domeinnaam checkt is dat toch voldoende?
firefox 3 gebruiken, die doet dat voor je.
alleen als de URL gemeld is, online, als zijnde een phish.
In het geval van certificaten checken kom je niet eens op de pagina als je domein niet overeenkomt met wat in je certificaat wordt vermeld. Dan moet je eerst een regel aanmaken in Fx 3 die expliciet aangeeft dat je dat certificaat bij dat domein vertrouwt.
IE7 ook. Al heel lang :P

En sommige virusscanners hebben ook phishing filters tegenwoordig.
Door op de adresbalk van je browser te kijken, natuurlijk.
En hoe ga je dat in e-mails nakijken? Bedoeling is net dat men zelfs niet meer naar die sites kan gaan. Op het moment dat je zo een site betreed bestaat de kans dat er malware aanwezig is dat zich installeert op jouw computer.
Ik weet niet welk email programma jij gebruikt, maar mijn Thunderbird geeft onderaan in de statusbalk wel degelijk netjes de ECHTE url weer van de link waarboven je mousepointer hangt in een mail.

Simpelweg even kijken naar die url is al voldoende.

Maar zelfs dat is er teveel aan voor veel mensen.
En hoeveel gewone huis-tuin-en-keukengebruikers hebben in Internet Explorer (waar die standaard uit staat) hun statusbalk aanstaan als ze in hun GMail Inbox (waar het hier over gaat) op een link klikken?

Juist.
Je moet bij dit soort 'gevoelige' sites gewoon *nooit* ingaan op 'onverwachte' mailtjes waarin, om welke reden dan ook, wordt gevraagd om even in te loggen, met je naam en wachtwoord. De meeste hiervan geven dan ook aan, dat zij dit soort informatie nooit van jou zullen vragen, en al helemaal niet per e-mail.
Niet slim zoals jij dat zegt, wat nou als je router is gekraakt en ze een locale DNS hebben opgezet. Dit hoeft trouwens ook niet in de router te gebeuren, dit kan al gebeuren op een Windows computertje.
Of misschien is de URL wel helemaal juist, maar zit er een evil werknemer op dat bedrijf die persoonlijk mailtjes stuurt en zo allerlei informatie verzamelt.

/x-files mode off
Dit lijkt me een perfecte manier om spam en phishing mail te weren, je kan immers dan niet meer iets verzenden vanaf je spambot. Je zal gebruik moeten maken van een officiele server of eigen domeinnaam. Beide zijn veel beter te beheren dan de spambots die ergens in rusland staan oid. Ik weet niet in hoe verre deze technieken open zijn, maar wat mij betreft mogen ze in het SMTP protocol worden opgenomen. Sowieso zou het natuurlijk tijd zijn om de hele emailstructuur eens grondig op te schonen door vernieuwde protocollen in te voeren, want laten we eerlijk zijn SMTP is nu eenmaal hopeloos verouderd en was totaal niet berekend op alle praktijken die er tegenwoordig allemaal mee worden uitgehaald.
probleem is dat je niet zomaar een nieuw protocol kan implementeren van dag A op B. Beide systemen zouden eerst nog jaren naast elkaar moeten draaien. Kijk ook eens naar de invoering van IPv6 hoe moeilijk dat dat gaat.
Gmail gebruikt zelf ook domainkeys. Alleen wordt er ook veelvuldig spam verstuurd via Gmail-accounts. Deze accounts worden door mensen aangemaakt (middels goedkope krachten in Roemenie die de captcha beveiliging omzeilen die ingevuld moet worden om een account aan te maken). Een geautomatiseerd systeem voert de accounts aan de spambots. Na een paar honderd mailtjes gaat het account op zwart (door Google) en stap de bot over op het volgende account.

Menig spamfilter heeft moeite met spam afkomstig van door domainkeys 'beveiligde' mail-accounts omdat de bron geverifieerd is, namelijk Gmail zelf.

Zie hier voor meer informatie.

[Reactie gewijzigd door tigger op 8 juli 2008 20:22]

De enige betrouwbare manier om phishing tegen te gaan is om je kop te gebruiken.
hotmail gebruikt sender id. dat is op zich ookk goed werkend, maar volgens mij niet met een vriendelijke licentie, wat veel milserver beheerders er van weerhoud het te gebruiken.

of MS / hotmail met domainkeys gaat werken weet ik niet ( levert extra load op op de mailservers)

obvious reasons, dat ze het niet gaan gebruiken zie ik echter NIET, immers. MS wil yahoo overnemen, en die heeft de domainkeys "uitgevonden"

verder is spambestrijding natuurlijk iets dat gezamelijk aan moet worden gepakt, de enige die er voordeel bijheeft als je dat niet samen doet, is de spammer./adverteerder.
Kan iemand uitleggen wat domainkeys nu precies zijn? Dit wordt (vind ik toch) niet echt duidelijk uitgelegd.
Met DomainKeys wordt er door de mailserver een digitale handtekening in de header van een e-mailbericht geplaatst. In het DNS record van het domain wordt de publieke sleutel gepubliceerd waardoor de ontvangende partij kan verifieren of het bericht daadwerkelijk vanaf een legitieme mailserver, behorende bij het domain, is verstuurd.

Stel je ontvangt een mailtje van bijvoorbeeld notice @ paypal.com. In de header van het mailtje bevindt zich de digitale handtekening van de server die het mailtje verstuurd heeft. De ontvangende partij haalt de publieke sleutel op van paypal.com door een DNS lookup uit te voeren. Met de publieke sleutel kan de handtekening verifieerd worden.

De truuk is dus dat een emailbericht digitaal ondertekend is en dat de ontvanger deze kan valideren via de DNS gegevens van het afkomstige domein.

Een spammer/phisher kan de handtekening niet plaatsen omdat deze niet beschikt over de private key die bij de public key hoort. Paypal.com houdt zijn private key geheim en publiceert dus alleen de public key via de DNS records.

[Reactie gewijzigd door tigger op 8 juli 2008 21:26]

en een spammer kan niet gewoon zo'n handtekening in dat mailtje zetten? Dan checkt gmail die handtekening met paypal.com en nog steeds lijkt het een 'goede' mail... Of hoe zit dat?
Vergelijk het met PGP. Je hebt een geheime, en een 'publieke' sleutel. De verzender versleutelt het bericht met de geheime sleutel, en de ontvanger kan de echtheid controleren met de publieke sleutel.
Dat PGP is wel een vrij technisch verhaal... Is het in het kort dit? :
asymetrische versleuteling, waarbij een bericht versleuteld wordt met sleutel A (waarmee je niet kan ontcijferen) en weer ontcijferd wordt met sleutel B (waarmee je ke niet versleutelen).
Paypal versleutelt je gebruikersnaam (oid) met sleutel A (geheim), en zet sleutel B vrij. Hierdoor kan Gmail het bericht ontcijferen en daarmee de echtheid controleren.

Dan snap ik dat wel. Maar hoort bij elke gebruikersnaam dan een andere sleutel A of gebruiken ze voor elke naam dezelfde sleutel?
En hoort bij een bepaalde sleutel A niet altijd dezelfde sleutel B en andersom? Sleutel A en B kunnen toch niet totaal onafhankelijk van elkaar zijn?
Een spammer/phisher kan de handtekening niet plaatsen omdat deze niet beschikt over de private key die bij de public key hoort. Paypal.com houdt zijn private key geheim en publiceert dus alleen de public key via de DNS records.
Hoe werkt dat dan wanneer ik vanaf mijn lokale mailclient via mijn provider een mail verstuur vanaf mijn persoonlijke mail-adres (ander domein dan mijn provider)?
Dat is volstrekt legitiem, maar hoe is dan het verschil met een spammer duidelijk?
Dat is het zwakke punt in veel van dit soort gecentraliseerde beveiliging inderdaad, de concepten van domainkeys, spf, etc, gaan er vanuit dat iedere mail vanaf een bepaald domein afkomstig, ook door een server van dat domein verstuurd wordt. Dat is bij particulieren vaak niet het geval.

Veel particulieren versturen standaard 'gedecentraliseerd', ofwel via de SMTP server van hun provider, en tenzij ze een door de provider verstrekt mailadres gebruiken is dat dan geen geauthenticeerde server natuurlijk. Voor grote bedrijven kun je er echter wel vanuit gaan dat alle uitgaande e-mail via de centrale server van het bedrijf het internet op gaat.

En dat is dan ook waar je de meerwaarde in moet zoeken: in een aantal gevallen kan het een hulpmiddel zijn om te bevestigen dat de e-mail inderdaad afkomstig is van zo'n groot bedrijf, en zou daar melding van kunnen worden gemaakt ("de afzender van deze e-mail is geauthenticeerd"). Het is echter een slechte zaak om, zoals Microsoft doet, bij het ontbreken van een dergelijke handtekening direct e-mails als potentiŽle spam te markeren.

Aan het ontbreken van de signature zou de conclusie moeten worden verbonden dat het betreffende middel voor het betreffende domein niet in gebruik is, terwijl bij een negatieve uitslag (er is een signature, maar die klopt niet) uiteraard wel spam kan worden geconstateerd.

edit:

Dat is overigens bijv. ook hoe MDaemon er mee omgaat: bij iedere mail wordt er bijv. gekeken of er een SPF-policy of Domainkeys bestaan voor het betreffende domein. Als dat niet zo is, levert dat een "neutrale" score op. Bestaat er echter wel een policy, dan kan aan de key in de e-mail (of het ontbreken daarvan) wel een conclusie worden verbonden.

[Reactie gewijzigd door Roelant op 22 juli 2008 13:36]

dat is niet meteen duidelijk en is ook een zwak punt van microsofts sender id beveiliging.
En nu nog een geautomatiseerd process met Domainkeys op elk legaal domein en het aantal spam-mail zal ineens drastisch minderen. :) Hulde aan google.
Het zou inderdaad mooi wezen als meerdere ISPs deze service ook aanbieden. Echter hoop ik wel dat de filtering juist wordt gedaan. De domein eigenaren gebruiken vaak PayPal@MijnDomain.TLD, dus zeer gemakkelijk om dan te filteren. Echter puur op alleen de term "paypal" zoeken in een email en dan filteren via domainkeys zou false-positives kunnen creeŽren.

De meeste phising emails proberen echter zoveel mogelijk te gebruiker te laten denken dat de email van PayPal afkomstig is, inclusief het vaak direct linken naar de plaatjes op de PayPal server, dus ze zijn opzich wel gemakkelijk automatisch te herkennen.
onder meer via authenticatiesleutels en betere voorlichting richting gebruikers, zijn vruchten af begon te werpen
De authenticatiesleutels hebben op het grote plaatje amper bijgedragen, hooguit een paar procent, omdat maar weinig gebruikers de $5 hebben betaald. Wat juist wel de grootste bijdrage was, zijn de EVL-SSL certificaten. Het feit dat de PayPal gebruiker zonder na te denken in IE7+ en FF2+ via een ander gekleurde adresbalk kon zien dat ze niet inlogde op een phising site heeft bij verre de meeste invloed gehad. Er zijn helaas teveel gebruikers die zonder na te denken op "ok" klikken, maar een kleur verandering begrijpen ze dan wel snel.
nouja, hulde aan google, als je al een Yahoo account hebt: hulde aan Yahoo, al veel langer geleden...
Babysteps... misschien wil Microsoft mee doen (hotmail <> gmail)
a. lijkt me niet (obvious reasons)

b. Dan kunnen we toch nog steeds heel simpel met gratis accounts alsnog spam versturen :P

[Reactie gewijzigd door Laurens-R op 9 juli 2008 00:00]

Hotmail doet toch al heel lang domainkeys?
Niet om het een of ander, maar Hotmail doet naar mijn idee al heel lang vervelend. Misschien dat ze ook domainkeys gebruiken, maar ook nog dingen die het erg vervelend maken om contact te zoeken met Hotmail gebruikers.

Waar ik bij GMail nog nooit naar de spam settings heb gekeken, heb ik er zo nu en dan last van dat Hotmail gebruikers mijn mailtjes niet krijgen omdat ik niet in een white list sta. En die mensen beweren dat ze nooit de spam settings in Hotmail hebben gewijzigd.
Ik koop nooit spullen via Paypal/Ebay, maar hoe werkt dat dan? Krijg je een email van een aanbieder dat je moet betalen? Hoe kan het dan dat iemand anders precies hetzelfde bedrag op hetzelfde tijdstip kan versturen alszijnde phising?
Nee, meestal sturen ze een berichtje of je even je contact gegevens wilt controleren en invullen. Inclusief een smoes dat dat moet ivm met nieuwe functionaliteit bijvoorbeeld.
Maar kun je bij Paypal/Ebay dan alleen al met je contactgegevens betalen? Lijkt me niet toch?
Jij hebt in ieder geval je spamfilters op orde ;), ik heb al zoveel van dat gevis gezien... Anyway, je krijgt een mail met daarin meestal een link die er uit ziet als http://123.123.123.123/ebay/validate.php . Daarin staat een meestal matig gekopieerde versie van Ebay's inlogscherm.
In de mail word je gevraagd om in te loggen en je gegevens vervolgens door te geven, omdat ze een databasestoring hebben gehad en nu niet meer zeker weten of ze je gegevens nog goed hebben, of omdat ze database onderhoud doen, of zo'n soort vrij slechte smoes, dit meestal in gebrekkig Engels.
Er zijn wat varianten, maar meestal komt het hier op neer.
Nee maar je moet eerst inloggen op een site. Zo hebben ze je wachtwoord, en ja, die is meestal genoeg om een betaling te verrichten.
D'r is laatst ook nog een andere security feature toegevoegd aan Gmail: overzicht van alle ingelogde sessie's. Zeker van Tweakers.net afgekeken :)
Ik vind het zo lastig te begrijpen dat 'serieuze' mail nog steeds niet met SSL/MIME verzonden wordt.
Echte end-to-end ondertekening zodat de klant precies weet van wie de mail komt of nog mooier: naar keuze van de klant encryptie, zodat de buurman bij mijn ISP niet kan lezen wat ik via paypal koop.
Tja, maar dan moet je weer met iedereen sleutels beginnen uitwisselen.
En om die ellende te voorkomen, hebben ze domainkeys ontwikkeld.
En zo is de cirkel rond.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True