'Iran probeerde webmail te kapen'

Comodo is een van de organisaties die de SSL-certicaten mogen uitgeven waarmee websites hun ‘echtheid’ aantonen. Wat er precies fout is gegaan is niet bekend. Maar duidelijk is wel dat de systemen van een Zuid-Europese partner van Comodo gecompromitteerd zijn. Via de systemen van die ‘vertrouwde partner’, die gerechtigd is de eerste validatie van aanvragen uit te voeren, kon de fraudeur 9 SSL-certificaten bemachtigen waar hij geen recht op had. Het ging om 3 certificaten voor login.

Redactie AG ConnectMeer van deze auteur

yahoo.com, en 1 voor login.live.com, mail.google.com, www.google.com, login.skype.com, addons.mozilla.org en Global Trustee

Ideaal voor phishing
Met zulke certificaten kunnen internetters in de waan gebracht worden dat ze op een legitieme site zijn, terwijl ze feitelijk zijn omgeleid naar een website met duistere bedoelingen. Ideaal voor phishers die op zoek zijn naar inloggegevens van internetters die internetbankieren. Maar gezien de doelwitten van dit frauduleuze opzetje was dat niet de bedoeling. De frauduleus verkregen SSL-certificaten zijn alleen handig voor instanties die voor e-mail en telefoongesprekken willen onderscheppen.

Sporen leiden naar Iran
Volgens Comodo is die instantie de Iraanse regering. Het IP-adres dat gebruikt werd bij de aanval op de systemen op zijn partner bleek uitgegeven in Iran. En een van de certificaten werd teruggevonden op een IP-adres van een IP-adres van een Iraanse internet service provider. Misbruik van de certificaten zou bovendien alleen mogelijk zijn door een instantie die toegang heeft tot de DNS-infrastructuur. Bovendien ligt de veronderstelling voor de hand dat de Iraanse regering in deze roerige tijden in de Arabische wereld extra alert is op opstandige elementen, redeneert Comodo. Hard bewijs dat de Iraanse regering betrokken is, ontbreekt overigens. De sporen die wijzen naar Iran kunnen ook dwaalspren zijn.

Snelle reactie
De inbreuk vond al op 15 maart plaats, maar is nu pas wereldkundig gemaakt. Lang plezier van het opzetje heeft de fraudeur niet gehad, stelt Comodo, omdat het de fraude binnen enkele uren ontdekte en de certificaten vervolgens herriep. Google, Microsoft en Mozilla hebben hun browsers inmiddels ook aangepast, zodat deze waarschuwen als een site met de besmette SSL-certificaten worden gecontacteerd.

De vraag hoe er zo’n zwakke schakel kon zitten in de authenticatieketen voor domeinen op internet is nog onbeantwoord. Ook is onduidelijk waarom Comodo’s systemen niet op voorhand aansloegen op deze aanvraag. Het lijkt immers niet waarschijnlijk dat Microsoft, Google of Yahoo SSL-certificaten via een kantoor Zuid-Europa aanvragen. Die vragen verdienen wel antwoord. Want het incident roept wel de vraag op, hoe zeker internetters kunnen zijn dat ze ook echt terechtkomen op de site die ze willen bezoeken.

De strategie van succesvolle organisaties: single source of truth voor alle medewerkers

Welke strategie hanteren succesvolle organisaties en hoe draagt het hanteren van 1 ‘single source of truth’ bij aan efficiëntie en groei?

3 min

Nieuws phishing, ai Partner

AI-aangedreven muterende phishingcampagnes zijn in opmars, waarschuwt KnowBe4-rapport

2 min

Achtergrond Klanttevredenheid Partner

Doen wat je belooft, hét uitgangspunt voor klanttevredenheid

Hoe versterk je klantrelaties, waarborg je klanttevredenheid en voer je succesvolle projecten uit?

1 min

Meer whitepapers

Whitepaper Marketing

High impact business stories creëren

De route naar de zakelijke beslisser.

Whitepaper Artificial Intelligence

The challenge of information asymmetry

In many organizations, decision-making is hindered by information asymmetry, where critical data is unevenly distributed

Whitepaper Security

Smarter Security onderzoeksrapport 2023

Versterk jouw IT-omgeving tegen cyberdreigingen met effectieve maatregelen, methoden en tips voor budgetverdeling en capaciteitsbeheer.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee