Encryptie is niet langer het kenmerk van een veilige webpagina

"Kijk uit naar het hangslotje" is lang een internetmantra geweest om websurfers te helpen bepalen of het veilig is om gegevens te delen. Maar dat vertrouwde slotje - de handtekening van een HTTPS-certificaat - is intussen de norm geworden, ook voor cybercriminelen. HTTPS-certificaten zijn nog nooit zo gemakkelijk te verkrijgen geweest, zoekmachines maken sites zonder certificaat minder zichtbaar en de meeste webbrowsers tonen actief een "website is niet veilig"-bericht op sites zonder hangslot om gebruikers ervan te weerhouden deze te bezoeken. Als iemand wil dat zijn website gezien wordt, heeft hij geen andere keuze dan een hangslot op zijn pagina te plaatsen.

Enerzijds kunnen alomtegenwoordige HTTPS-vereisten helpen het internet veiliger te maken. Anderzijds kan normalisering ten koste gaan van de veiligheid. Uit een recente studie is gebleken dat de meeste phishingsites nu HTTPS gebruiken, waarbij bezoekers worden misleid door hen te laten denken dat de tot stand gebrachte "veilige" verbinding betekent dat de site legitiem is.

Gecodeerd? Ja. Betrouwbaar? Niet noodzakelijk.

De meeste phishing-websites gebruiken nu HTTPS-versleuteling

Volgens het Anti-Phishing Working Group (APWG) Phishing Activity Trends Report: 4th Quarter 2020, klikte ongeveer 84% van de e-mail phishing-aanvallen door naar kwaadaardige websites die "beschermd" waren door het HTTPS-coderingsprotocol, tegenover slechts 10% in het eerste kwartaal van 2017. [1] Het is niet verrassend: HTTPS is zo goed als de standaardinstelling geworden voor websites. Het is een internetvoorwaarde die on-trend slechte actoren een stimulans geeft om een SSL/TLS-certificaat te bemachtigen - vooral wanneer sommige certificaten kunnen worden verkregen tegen weinig tot geen kosten, en soms zonder authenticatie.

Een deel van het probleem is dat niet alle HTTPS-certificaten gelijk zijn. Er zijn drie hoofdtypen, die elk een afnemend niveau van validatie bieden: Uitgebreide Validatie (EV), Organisatorische Validatie (OV) en Domein Validatie (DV). EV en OV verifiëren beide de identiteit van de aanvrager van het certificaat, met extra verificatiestappen en strengere normen voor EV. DV-certificaten daarentegen doen niets meer dan verifiëren dat de eigenaar van het certificaat controle heeft over het domein dat het beschermt. Ze kunnen gratis en zonder verificatie van de identiteit worden verkregen, in tegenstelling tot EV en OV.

Het zal geen verbazing wekken dat 89% van de door phishers gebruikte certificaten DV waren, volgens hetzelfde APWG-rapport. DV stelt anonieme entiteiten - waaronder slechte actoren - in staat om vrijelijk een hangslotje op hun site te plaatsen. Hoewel een DV-certificaat niet duidt op illegaliteit, helpt het cybercriminelen wel internetgebruikers te voorzien van directe, versleutelde verbindingen met nepwebsites die zijn ontworpen om phishing-aanvallen uit te voeren, malware te implementeren, persoonsgegevens te oogsten of andere potentieel schadelijke cyberaanvallen uit te voeren.

Een ander deel van het probleem is de misleidende begeleiding die doorsnee websurfers krijgen over het hangslot. Ondanks een waarschuwing van de FBI in 2019 over het feit dat cybercriminelen "veilige" websites misbruiken voor phishingcampagnes, geeft[2] online veiligheidsadvies op USA.gov lezers bijvoorbeeld het advies om "alleen gecodeerde sites te vertrouwen die beginnen met 'https' (de 's' betekent dat ze veilig zijn)" omdat "ze uw informatie omzetten in een code die voorkomt dat potentiële oplichters worden blootgesteld"[3] - zonder te vermelden dat de site een nepsite kan zijn.

Bovendien is het onwaarschijnlijk dat de meeste internetgebruikers het verschil kennen tussen EV-, OV- en DV-certificaten, laat staan dat ze weten hoe ze kunnen bepalen welk certificaat de site heeft. Ze weten alleen dat ze naar het slotje moeten zoeken.

HTTPS phishing is een bedreiging voor merken, niet alleen voor individuen

Het is duidelijk dat HTTPS phishing de ervaringen van internetgebruikers negatief kan beïnvloeden door een universele beveiligingsfunctie tegen hen te keren. Maar het kan ook schadelijk zijn voor merken en hun marketingcampagnes. Een hangslot op een pagina voegt een laag van vermeende legitimiteit toe, waardoor het voor cybercriminelen gemakkelijker wordt om vervalste websites te maken die de gelijkenis van een merk uitbuiten - en het vertrouwen van de klanten van dat merk. Om klanten aan de haak te slaan, kunnen links naar deze "veilige" phishingwebsites verschijnen in vervalste e-mails, in zoekmachines of als partnerlinks op andere websites. En voor een ongeoefend oog lijken ze net echt. Een phishingsite met een hangslotje lijkt immers minder snel, nou ja, verdacht.

Ondanks het feit dat alle gegevens die op een kwaadaardige HTTPS-site worden ingevoerd, versleuteld zijn en dus beschermd zijn tegen man-in-the-mid aanvallen, krijgt de eigenaar van de site er direct toegang toe - of het nu gaat om inloggegevens of andere persoonlijke informatie. Op dezelfde manier kunnen HTTPS phishing websites gratis downloads bevatten die malware droppen of keylogging tools starten, of links die kwaadaardige achtergrondprogramma's kunnen starten zodra erop wordt geklikt. En als er een plugin voor het verzamelen van gegevens op de pagina is geïnstalleerd, kan zelfs het eenvoudig laden van de HTTPS-beveiligde site al genoeg zijn om een ravage aan te richten.

Klanten die het slachtoffer worden van een dergelijke aanval, zullen uw merk in de toekomst natuurlijk minder snel vertrouwen. Volgens de bevindingen in het Mimecast-rapport The State of Brand Protection 2021 (SOBP) zou ongeveer de helft van de consumenten geen geld meer uitgeven aan merken die ze regelmatig gebruiken - of waarmee ze vertrouwd zijn - als ze het slachtoffer zouden worden van een phishing-aanval waarbij dat merk betrokken is. Maar vertrouwen is niet het enige probleem. "Marketeers vinden verloren leads een veel tastbaarder pijnpunt," aldus de SOBP. "Elke doorklik van een vervalste e-mail naar een vervalste webpagina kan een marketeer leads ontnemen."

Transparante richtlijnen kunnen helpen uw klanten en uw merk te beschermen

In de online merkbescherming strategie van een bedrijf moet rekening worden gehouden met het feit dat HTTPS phishing een zeer reële bedreiging is. En om dat te doen, moeten klanten worden voorgelicht. Consumenten wordt geleerd dat het hangslotje veilig is zonder te begrijpen waarom, wat het betekent of hoe het werkt. Hoewel het niet zo is dat HTTPS zelf niet veilig is of een goede indicator is voor de vraag of u veilig gegevens kunt delen, is het belangrijk uit te leggen dat het niet de enige indicator is.

Zoals beschreven in SOBP, kan transparantie klanten geruststellen en aantonen dat uw merk actief werkt in hun belang, waardoor merkwaarde wordt opgebouwd. Overweeg bijvoorbeeld om uit te leggen waarom en hoe uw site HTTPS gebruikt, samen met elementaire tips voor cyberhygiëne, zoals hoe de authenticiteit van een website kan worden gecontroleerd, hoe EV-certificaten kunnen worden herkend in vergelijking met de minder veilige DV-certificaten, en herinneringen om geen persoonlijke gegevens of andere persoonlijke informatie op een website in te voeren tenzij de bezoeker zeker is van de authenticiteit ervan.

De kern van de zaak

Het is niet zo dat HTTPS-technologie niet langer veilig is; het is zo dat cybercriminelen een internetbeveiligingsfunctie tegen internetgebruikers keren om phishing- of malwarecampagnes op te zetten die tegelijkertijd klanten kunnen verwoesten en merken in een negatief daglicht kunnen stellen. Als de site er net zo uitziet als de uwe - tot en met het hangslot - is de kans des te groter dat onschuldige slachtoffers zullen klikken, gezien de jarenlange instructie om gewoon "op het slotje te letten". Helaas is dat een misleidend advies geworden. Tegenwoordig hebben bedrijven een steeds grotere verplichting om hun klanten te informeren.

[1] Phishing Activity Trends Report 4th Quarter 2020 , APWG

[2] "Cyberactoren maken misbruik van 'veilige' websites in phishingcampagnes," FBI

[3] "Online Safety," USA.gov