Chatsoftware Element biedt end-to-end versleutelde embedded live chat

Chatsoftware Element biedt end-to-end versleutelde embedded live chat
Door Anoniem:

Door Erik van Straten: Aan “End-to-end versleuteld” heb je helemaal niks als je chat met een cybercrimineel die zich voordoet als een medewerker van jouw bank.

Hoe hou je echt van nep uit elkaar bij Chatterbox van Element?

https (cerificaten) schat ik (voor zover ik kan zien is het embedded in html)

Alles wat nieuw is en/of social engineering vereenvoudigt zet phishers op voorsprong, want er is nog niemand voor gewaarschuwd (nou ja, behalve de enkeling die dit leest).

Scenario: je ontvangt een e-mail (of appje/SMS) met bijvoorbeeld de volgende tekst:

Van: ING bank – afdeling fraude-afhandeling
L.S.

Wij hebben aanwijzingen dat cybercriminelen toegang hebben tot uw ING bankrekening, mogelijk via uw PC, tablet of smartphone. Log tot nader order niet in, want dan kunnen de criminelen mogelijk geld overmaken vanaf uw rekening.

Neem eerst contact op met de afdeling fraude-afhandeling van ING zodat zij u kunnen helpen controleren of uw apparatuur veilig is. Dat doet u door onderstaande zaak-code te onthouden en door te geven aan een van onze medewerkers via onze nieuwe en beveiligde chat (dankzij deze chat hoeft u niet meer eindeloos aan de telefoon te wachten). U kunt contact opnemen als volgt:

Open https://ing-fraude-afhandeling.com/ en verzeker u ervan dat u het bekende slotje ziet, waarmee u zeker weet dat het om een beveiligde verbinding gaat. Zoek naar de knop “beveiligde chat met medewerker” en druk daar op. De medewerker zal u om uw unieke zaak-code (zie hieronder) vragen, en u helpen vaststellen dat de apparatuur, die u gebruikt om te internetbankieren, veilig is. Mogelijk zal de medewerker u vragen om software te installeren waarmee de beveiliging kan worden gecontroleerd. Tenzij daarbij kwaadaardige software wordt aangetroffen, zullen wij u geen kosten in rekening brengen voor deze dienst.

Mocht onverhoopt kwaadaardige software worden aangetroffen, dan kan de medewerker u desgewenst helpen om uw apparatuur weer veilig te krijgen. De medewerker zal u vooraf, geheel vrijblijvend, informeren over de te verwachten kosten; vanzelfsprekend kunt u eventuele werkzaamheden ook door een andere partij laten uitvoeren.

Uw zaak-code: Xv3-zd9-Fs2.

Met vriendelijke groet,
ING afdeling fraude-afhandeling

Natuurlijk ziet het potentiële slachtoffer een slotje en klopt het certificaat (net zoals het Let’s Encrypt certificaat voor een heel stel domeinnamen afgelopen weekend bij de Twitter scam: https://security.nl/posting/759460).

Als communicatiesoftware geen enkele moeite doet om deelnemers te helpen bij het vaststellen van de identiteit van “gespreks”partners, is reclame maken met “end-to-end encryption” ordinaire snake oil – waar criminelen van zullen profiteren.

Bron: https://www.security.nl/posting/760136/Chatsoftware+Element+biedt+end-to-end+versleutelde+embedded+live+chat?channel=rss

Georgino van Hout

Georgino van Hout is een verslaggever voor InternetBlabla.nl. Hij heeft in het verleden voor verschillende cyber security bedrijven geblogd. Door zijn bijdragen aan InternetBlaBla, kunnen we de belangrijke zaken in cyber security blijven verslaan zodat we actueel blijven op het gebied van cyber veiligheid.