Het klikken op verkorte url's zoals die worden aangeboden door diensten als TinyURL, BitLy, Google en andere is niet zonder gevaar. Uiteindelijk weet of zie je niet duidelijk op welke finale pagina je terecht gaat komen. Uit een recente studie blijkt dat dit effectief en actief wordt uitgebuit.
Het oorspronkelijke doel van ‘linkverkorters’ was om het delen van (lange) websitelinks eenvoudiger te maken en om een ‘workaround’ te bieden voor de beperkingen op de (link)grootte van sociale media. Denk aan diensten zoals Tinyurl, BitLy, Google, LinkedIn en andere.
Wanneer de gebruiker op een verkorte link klikt, wordt hij doorgestuurd naar de andere oorspronkelijke uniform resource locator, ofwel url. Terwijl legitieme gebruikers een eenvoudige, verkorte link maken om te delen, kan een kwaadwillende actor meerdere omleidingen gebruiken vóór de uiteindelijke landingspagina.
Threat actor
Recent onderzoek toont aan dat het bedrijf Prolific Puma zulke diensten aan hackers aanbiedt. Eerst had deze threat actor duizenden (reguliere) domeinnamen geregistreerd. Vervolgens liet het deze domeinen ouder worden door ze gedurende een hele tijd te ‘parkeren’. Hiermee zijn de traditionele beveiligingsmaatregelen te omzeilen die vaak gebaseerd zijn op het tijdelijk blokkeren van alle nieuw of recent geregistreerde domeinen. Vervolgens koppelde Prolific Puma de verkorte url’s aan malafide domeinen. Op die manier waren phishing mails, fraude, malware en andere criminele praktijken aan te bieden via de verkorte url’s.
Wat het zo opmerkelijk maakt, is dat deze dienst niet is ontdekt via de malware of phishingsites, maar uiteindelijk via dns-analyse. Achter de schermen wordt immers steeds een dns-verzoek gedaan om het ip-adres voor het verkorte service domein op te lossen.
Bewust
Het is van cruciaal belang om gebruikers bewust te maken van de mogelijke risico’s bij het klikken op verkorte links. Training in digitale hygiëne, zoals het verifiëren van de bron voordat er op een link wordt geklikt, kan aanzienlijk helpen. ‘Klik niet op verkorte links’ lijkt dus de meest voor de hand liggende oplossing maar in de praktijk eigenlijk amper haalbaar.
De boodschap is dus om je automatisch te beveiligen via SecureDNS. Door alle dns-verzoeken van de gebruikers eerst door te sturen naar de SecureDNS-servers is de domeinreputatie van de opgevraagde url te controleren, ook die van (het uiteindelijke doel van) de verkorte url’s. Daarbij gelden de volgende regels:
- Als een gebruiker een geblokkeerd domein bezoekt, krijgt hij/zij geen verbinding;
- Als het domein op de witte lijst staat of niet bekend staat als ‘bedreigend’, krijgt de gebruiker toegang tot het domein.
Verwoestend
De gevolgen van kwaadaardige activiteiten via verkorte domeinnamen kunnen verwoestend zijn. Individuen lopen het risico op identiteitsdiefstal, financiële verliezen en privacy-inbreuken. Voor bedrijven kunnen deze aanvallen leiden tot datadiefstal, verstoring van bedrijfsactiviteiten en beschadiging van de reputatie. Dit onderstreept de dringende noodzaak voor robuuste beveiligingsmaatregelen en bewustwordingstraining binnen organisaties en bij gebruikers.
