Marktplaats-bescherming blijkt makkelijk te omzeilen

Gepubliceerd op 26-07-2019

Het door Marktplaats ingevoerde filter tegen fraudelinkjes blijkt kinderlijk eenvoudig te omzeilen. Het filter herkent namelijk alleen oudere TLD’s. Dat ontdekte Ruben Gommers, eigenaar van- en programmeur bij Freave.

Bescherming tegen phishing op Marktplaats

Eerder deze maand kondigde Marktplaats een nieuwe beschermingsmaatregel aan om gebruikers tegen frauduleuze linkjes te beschermen. Ze ging een filter activeren dat voor elke link die geen officiële betaallink was een waarschuwing zou tonen. Een waterdichte oplossing, volgens de woordvoerder van Marktplaats. Die zei dat “als je [een malafide verzoek] zou krijgen, krijg je altijd eerst een waarschuwing”.

Zo werden gebruikers er op gewezen dat ze de Marktplaats omgeving verlieten, en niet naar een officiële betaallink gingen. Een goede — maar kleine — stap in de richting van een phishingloos bestaan.

De introductie werd door media breed gedragen, en soms ook uit de context getrokken. Zo werd er gesproken over het waarschuwen voor phishingsites, dat is echter niet aan de orde. De waarschuwing wordt namelijk voor élke website getoond.

Toch niet zo waterdicht

Bij Freave juichen we innovatie vaak toe, helemaal als het bijdraagt aan de missie van het door ons opgezette Checkjelinkje: om een impact te maken op het aantal succesvolle phishingaanvallen.

Daarom vonden we het jammer om op te merken dat het “waterdichte” filter toch wat lekken vertoonde.

Kort onderzoek wees uit dat Marktplaats voor bijvoorbeeld IP-adressen géén waarschuwing liet zien. Nu zullen gebruikers ook sceptisch zijn over een “betaalverzoek” dat er als http://143.204.181.40/nu-betalen/ uit ziet — dus dat is tot daar aan toe.

Ons inziens een grotere kwetsbaarheid, is dat ook “nieuwe” TLD’s niet door het filter worden opgemerkt. Bij dergelijke sites wordt geen enkele waarschuwing getoond. Een observatie die haaks staat op hoe het filter is geïntroduceerd.

“Nieuwe” tussen aanhalingstekens, omdat deze TLD’s al vanaf 2013 werden aangeboden. Nieuwe TLD’s zijn bijvoorbeeld “.website”, “.best”, “.guru” of “.club”.

De NOS registreerde na met ons gesproken te hebben over dit probleem het domeinnaam “bankzaken.website”— waar Marktplaats ook geen waarschuwing voor toonde.

Hoe te beschermen tegen phishing?

Innovatie om phishing te bestrijden kan u helpen zich tegen phishing te weren. Toch is het erg belangrijk dat u zelf altijd alert blijft, om te voorkomen dat u voor de trucs van phishers valt. Geen enkele technologie, ook Checkjelinkje niet, kan u altijd tegen phishing beschermen.

Controleer altijd de echtheid van een e-mail, appje of betaalverzoek. Word er om geld of persoonsgegevens gevraagd of kent u de afzender niet? Moet u snel reageren of maakt u een kans op een wel heel bijzondere prijs? Wees dan op uw hoede.

Met de onderstaande bronnen kunt u zichzelf nog beter tegen phishing weren.

Bronnen