Online security: tips om de veiligheid van links te controleren.

Vanaf het moment dat je een computer of mobiel toestel met het internet verbindt, moet je waakzaam zijn. Iedere klik is een potentieel gevaar om je toestel te infecteren met kwaadaardige software, malware genoemd. Of het nu om de download van een bestand of het klikken op een pop-up venster of link gaat, een gezonde dosis paranoia is op zijn plaats. Indien je toestel geïnfecteerd raakt met malware zijn het crashen van applicaties, diefstal van vertrouwelijke gegevens of het versleutelen van je gegevens maar enkele van de mogelijke gevolgen.

Verschillende bronnen spreken van enkele honderdduizenden tot zelfs 1 miljoen nieuwe malware varianten per dag. De belangrijkste redenen van dit grote aantal? Het gemak waarmee malware tegenwoordig op grote schaal verspreid kan worden via het internet, de effectiviteit — een klik of download van een nietsvermoedende eindgebruiker volstaat — en de grote sommen geld die cybercriminelen hiermee kunnen verdienen.

In dit artikel wil ik het specifiek hebben over hoe we links op een veilige manier kunnen controleren op malware.

Online services en toepassingen om je te helpen

Er bestaan verschillende websites en online services die je kunnen helpen bepalen of links veilig zijn.

Malware domain list

Op deze website kan je opzoeken of een bepaalde link voorkomt in een lijst van gekende malware domeinen. Indien een link als malware geïdentificeerd wordt, zie je in de omschrijving bovendien om welk soort het gaat.

VirusTotal

VirusTotal is een online service die de mogelijkheid biedt om URL’s te analyseren op verschillende soorten van malware.

Het grote voordeel van VirusTotal is dat het de resultaten van een groot aantal malware scanners combineert. In dit geval detecteert geen enkele van de 65 gebruikte scanners malware op de website in kwestie.

Indien we de check doen voor onderstaande URL — een PayPal phishing website — zien we duidelijk dat dit door een aantal URL-scanners wordt gedetecteerd.

Op dezelfde manier kan je bestanden scannen zonder dat je ze eerst moet downloaden. Stel dat je het programma 7-zip wil downloaden, kopieer dan de download link. Plak deze vervolgens in VirusTotal om hem te scannen. Dit resulteert in:

Wanneer het over een bestand gaat, kan je een detail analyse opvragen.

VirusTotal beschouwt dit bestand als ‘waarschijnlijk onschadelijk’. Belangrijk om op te merken: deze tool (en ook alle andere tools) geeft slechts een — weliswaar sterke — indicatie dat het bestand veilig is.

VirusTotal browser extensions

Het is niet gebruiksvriendelijk om iedere keer een URL te moeten kopiëren en deze dan handmatig te scannen via de VirusTotal website.

Daarom voorziet VirusTotal ook plugins voor Chrome, Firefox en Internet Explorer.

Wanneer je deze geïnstalleerd hebt, zie je een icoontje van virusTotal in de command bar van de browser. Wanneer je er op klikt, wordt een menu geopend. In Chrome ziet dat er als volgt uit:

Je kan in dit menu de geopende website scannen of zelf een website ingeven die je wil scannen. Verder is er ook een optie toegevoegd aan het browser shortcut menu om sneller links te kunnen scannen.

De functionaliteit van de extensie verschilt lichtjes van browser tot browser. Alle documentatie over de verschillende browser extensies kan je hier terugvinden.

Verkorte links

Er bestaan verschillende online services om links in te korten. Enkele bekende voorbeelden zijn bit.ly en goo.gl.

Plak de URL die je wenst in te korten in het ‘shorten’ input veld.
De link wordt automatisch getransformeerd in een andere, kortere link

Hackers gebruiken dergelijke services ook om links die malware bevatten te maskeren. Applicaties zoals Twitter checken links al op malware. Indien je toch twijfelt over de betrouwbaarheid van een verkorte link, voorzien services zoals bit.ly en goo.gl de mogelijkheid om de originele link te zien zonder dat hij effectief geopend wordt. Dit kan door een + achter de ingekorte link te zetten.

Controleer de originele link op basis van de ingekorte link.

Deze verkorte links kan je dan scannen op malware bijvoorbeeld via https://checkshorturl.com/.

In de praktijk

Tot zover de theorie. Laat ons dit nu eens uittesten met een van de links uit de malware domain list die ik via bit.ly verkort heb.

Als we deze link controleren met VirusTotal geeft dit:

Terwijl we eerder in dit artikel duidelijk gezien hebben dat de originele link wel als malware gedetecteerd werd. VirusTotal kan dus niet overweg met verkorte links.

Je zou de originele URL kunnen opvragen en deze vervolgens kunnen controleren met een tool zoals VirusTotal of urlscan.io.

Maar er bestaan websites zoals CheckShortURL die dit nog gemakkelijker maken. Je geeft de verkorte URL in die je wil testen:

En vervolgens kan je de resultaten van verschillende malware scanners opvragen. Bijvoorbeeld Sucuri identificeert deze link terecht als malware.

Besluit

Ik heb verschillende links uit de malware domain list getest en deze werden door bit.ly niet als malware beschouwd. Bit.ly lijkt dus niet erg betrouwbaar als het op het checken van malware aankomt.

Cybercriminelen zijn inventief om onze toestellen te infecteren met malware. Daarom moeten we de gezonde reflex inbouwen om na te denken alvorens we links openen. Ik heb in dit artikel een aantal hulpmiddelen aangehaald die je hierbij kunnen helpen. Dit is maar een selectie van tools die ik handig vind en niets weerhoudt je om zelf op zoek te gaan naar andere hulpmiddelen. Indien je zelf nog handige tools en websites kent, laat het dan gerust weten via de commentaar sectie.

In ieder geval, de gouden regel blijft: twijfel je over de veiligheid van een link, open deze dan niet!

John Opdenakker

John Opdenakker

Blogger | #Infosec | #AppSec | Security awareness | Occasional Public Speaker | Cycling | Running | Enjoying life