Het klikken op verkorte url’s zoals die worden aangeboden door diensten als TinyURL, BitLy, Google en andere is niet zonder gevaar. Uiteindelijk weet of zie je niet duidelijk op welke finale pagina je terecht gaat komen. Uit een recente studie blijkt dat dit effectief en actief wordt uitgebuit.
Het oorspronkelijke doel van ‘linkverkorters’ was om het delen van (lange) websitelinks eenvoudiger te maken en om een ‘workaround’ te bieden voor de beperkingen op de (link)grootte van sociale media. Denk aan diensten zoals Tinyurl, BitLy, Google, LinkedIn en andere.
Wanneer de gebruiker op een verkorte link klikt, wordt hij doorgestuurd naar de andere oorspronkelijke uniform resource locator, ofwel url. Terwijl legitieme gebruikers een eenvoudige, verkorte link maken om te delen, kan een kwaadwillende actor meerdere omleidingen gebruiken vóór de uiteindelijke landingspagina.
Threat actor
Recent onderzoek toont aan dat het bedrijf Prolific Puma zulke diensten aan hackers aanbiedt. Eerst had deze threat actor duizenden (reguliere) domeinnamen geregistreerd. Vervolgens liet het deze domeinen ouder worden door ze gedurende een hele tijd te ‘parkeren’. Hiermee zijn de traditionele beveiligingsmaatregelen te omzeilen die vaak gebaseerd zijn op het tijdelijk blokkeren van alle nieuw of recent geregistreerde domeinen. Vervolgens koppelde Prolific Puma de verkorte url’s aan malafide domeinen. Op die manier waren phishing mails, fraude, malware en andere criminele praktijken aan te bieden via de verkorte url’s.
Wat het zo opmerkelijk maakt, is dat deze dienst niet is ontdekt via de malware of phishingsites, maar uiteindelijk via dns-analyse. Achter de schermen wordt immers steeds een dns-verzoek gedaan om het ip-adres voor het verkorte service domein op te lossen.
Bewust
Het is van cruciaal belang om gebruikers bewust te maken van de mogelijke risico’s bij het klikken op verkorte links. Training in digitale hygiëne, zoals het verifiëren van de bron voordat er op een link wordt geklikt, kan aanzienlijk helpen. ‘Klik niet op verkorte links’ lijkt dus de meest voor de hand liggende oplossing maar in de praktijk eigenlijk amper haalbaar.
De boodschap is dus om je automatisch te beveiligen via SecureDNS. Door alle dns-verzoeken van de gebruikers eerst door te sturen naar de SecureDNS-servers is de domeinreputatie van de opgevraagde url te controleren, ook die van (het uiteindelijke doel van) de verkorte url’s. Daarbij gelden de volgende regels:
- Als een gebruiker een geblokkeerd domein bezoekt, krijgt hij/zij geen verbinding;
- Als het domein op de witte lijst staat of niet bekend staat als ‘bedreigend’, krijgt de gebruiker toegang tot het domein.
Verwoestend
De gevolgen van kwaadaardige activiteiten via verkorte domeinnamen kunnen verwoestend zijn. Individuen lopen het risico op identiteitsdiefstal, financiële verliezen en privacy-inbreuken. Voor bedrijven kunnen deze aanvallen leiden tot datadiefstal, verstoring van bedrijfsactiviteiten en beschadiging van de reputatie. Dit onderstreept de dringende noodzaak voor robuuste beveiligingsmaatregelen en bewustwordingstraining binnen organisaties en bij gebruikers.
Witte lijst, zwarte lijst, tegenwoordig is dat toesta lijst en blokkeerlijst. Dat beschrijft beter wat het doet ook voor iemand die minder bekend is met de materie.
Een tip die wij geven is als je een korte link ziet waarvan je niet zeker weet of deze legitiem is, dat je deze plakt in WhereGoes.com en vooraf kijkt waar deze uitkomt. Zeker als er meer dan 1 stap tussen zit, kun je de link beter door een deskundige laten beoordelen.
Daarnaast zou ik intern een beleid opstellen geen verkorte links te gebruiken, juist omdat dit ook naar criminelen signaleert dat het gebruik ervan normaal is, terwijl dat niet zo is. Sterker nog, die verkorte links slaan ook zeer veel informatie over je op die aangeduid kunnen worden als persoonsgegevens zoals IP adres, wat voor computer je gebruikt, welke type en versie de browser is die je gebruikt en zelfs de resolutie van je scherm en of je grote letters gebruikt (kans is dan groter dat je wat ouder bent). Die data wordt vaak bij een partij opgeslagen waar je geen afspraken mee hebt en is daarmee een vorm van shadow IT.
Dat moest er even uit.