home.social

#bigtechisevil — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #bigtechisevil, aggregated by home.social.

  1. Waarschuwing voor "Browser in the Browser" aanvallen

    Bij een BitB-aanval toont een nepwebsite een nep pop-up-venster dat eruit ziet als een (deels of geheel) nieuw browser-venster. Gesuggereerd wordt dat u uw inloggegevens moet invoeren op bijvoorbeeld:

    https:⧸⧸accounts.google.com/signin/v3/

    maar dat is allemaal fake: door u ingevoerde nloggegevens vallen zo in handen van de eigenaar van de onderliggende website, die daarmee als u kan inloggen en uw account kan kapen.

    Mijn bron: bleepingcomputer.com/news/secu

    Onderin gist.github.com/BushidoUK/57c3 ziet u een lijst van criminele domeinnamen waar deze techniek op werd of nog wordt toegepast.

    De hieronder getoonde website is gehost bij Amazon (zie het RELATIONS tabblad van virustotal.com/gui/domain/marr). Als u zou openen (dat raad ik af):

    https:⧸⧸marriott-hiring․com

    moet u eerst een vinkje zetten, zogenaand om te bevestigen dat u een mens bent. Daarna verschijnt het beeld dat linksonder te zien is.

    De feitelijke BitB-aanval ziet u in het 2e plaatje (meer info onder ALT).

    Nb. met een passkey is deze aanval niet mogelijk omdat de domeinnaam niet klopt. Zwakke 2FA (SMS, TOTP of Number Matching) voorkómt *niet* dat u slachtoffer wordt.

    #AmazonIsEvil #BigTechIsEvil #LetsEncryptIsEvil #BitB #Phishing #NepWebSites #ATO #AccountTakeOver #AitM #MitM

  2. Waarschuwing voor "Browser in the Browser" aanvallen

    Bij een BitB-aanval toont een nepwebsite een nep pop-up-venster dat eruit ziet als een (deels of geheel) nieuw browser-venster. Gesuggereerd wordt dat u uw inloggegevens moet invoeren op bijvoorbeeld:

    https:⧸⧸accounts.google.com/signin/v3/

    maar dat is allemaal fake: door u ingevoerde nloggegevens vallen zo in handen van de eigenaar van de onderliggende website, die daarmee als u kan inloggen en uw account kan kapen.

    Mijn bron: bleepingcomputer.com/news/secu

    Onderin gist.github.com/BushidoUK/57c3 ziet u een lijst van criminele domeinnamen waar deze techniek op werd of nog wordt toegepast.

    De hieronder getoonde website is gehost bij Amazon (zie het RELATIONS tabblad van virustotal.com/gui/domain/marr). Als u zou openen (dat raad ik af):

    https:⧸⧸marriott-hiring․com

    moet u eerst een vinkje zetten, zogenaamd om te bevestigen dat u een mens bent. Daarna verschijnt het beeld dat linksonder te zien is.

    De feitelijke BitB-aanval ziet u in het 2e plaatje (meer info onder ALT).

    Nb. met een passkey is deze aanval niet mogelijk omdat de domeinnaam niet klopt. Zwakke 2FA (SMS, TOTP of Number Matching) voorkómt *niet* dat u slachtoffer wordt.

    #AmazonIsEvil #BigTechIsEvil #LetsEncryptIsEvil #BitB #Phishing #NepWebSites #ATO #AccountTakeOver #AitM #MitM

  3. @johan : je hebt een punt, maar de hele certificaten-industrie is ziek, webbrowsers zuigen en er bestaat veel te veel misleidende informatie (voorbeeld: zie plaatje met AI-bullshit - zie Alt voor info).

    Er bestaan ook Europese certificaatuitgevers - wellicht minder voor DV-certificaten. Echter, met het CA/B-forum (de "toezichthouder" op certificaatuitgevers) bijna volledig in handen van US-organisaties zou Trump ook kunnen opdragen dat browsers alle certificaten van uitgevers in "vijandige" landen niet langer vertrouwen.

    De supervisor van organisaties die domeinnamen verhuren is ook grotendeels Amerikaans.

    Oftewel, autonomie wensen beperkt zich niet tot certificaten uitgegeven door Google en Let's Encrypt. Ons voorbereiden op worst-case scenario's lijkt mij zeer verstandig.

    Overigens heb ik eerder een oplossing voorgesteld voor het phishing-probleem dat ik aankaartte, maar dat is kennelijk off-topic (ik sloeg aan op de kul dat certificaten iets met veilige websites te maken zouden hebben, een leugen die mensen al heel lang op het verkeerde been zet).

    @wlaatje @wiert @wendyhk @publicspaces @FTM_nl

    #GoogleIsEvil #BigTechIsEvil #USterroristCountry #DigitaleAutonomie #DVcertsAreEvil #CloudflareIsEvil #MitM #AitM #IETF #CABforum #WebBrowsers #Browsers #BeveiligdeWebSite

  4. @johan : je hebt een punt, maar de hele certificaten-industrie is ziek, webbrowsers zuigen en er bestaat veel te veel misleidende informatie (voorbeeld: zie plaatje met AI-bullshit - zie Alt voor info).

    Er bestaan ook Europese certificaatuitgevers - wellicht minder voor DV-certificaten. Echter, met het CA/B-forum (de "toezichthouder" op certificaatuitgevers) bijna volledig in handen van US-organisaties zou Trump ook kunnen opdragen dat browsers alle certificaten van uitgevers in "vijandige" landen niet langer vertrouwen.

    De supervisor van organisaties die domeinnamen verhuren is ook grotendeels Amerikaans.

    Oftewel, autonomie wensen beperkt zich niet tot certificaten uitgegeven door Google en Let's Encrypt. Ons voorbereiden op worst-case scenario's lijkt mij zeer verstandig.

    Overigens heb ik eerder een oplossing voorgesteld voor het phishing-probleem dat ik aankaartte, maar dat is kennelijk off-topic (ik sloeg aan op de kul dat certificaten iets met veilige websites te maken zouden hebben, een leugen die mensen al heel lang op het verkeerde been zet).

    @wlaatje @wiert @wendyhk @publicspaces @FTM_nl

    #GoogleIsEvil #BigTechIsEvil #USterroristCountry #DigitaleAutonomie #DVcertsAreEvil #CloudflareIsEvil #MitM #AitM #IETF #CABforum #WebBrowsers #Browsers #BeveiligdeWebSite

  5. @SpaceLifeForm @thomasfuchs

    Alternatively, use the NoScript plugin (Firefox on Android and desktop operating systems) and do not trust (default behaviour is to block, explicit blocking is possible too) Cloudflare.

    Note that this method does not prevent Cloudflare from knowing your IP-address, but effectively this tells them that they suck if you do not enable their invasive JavaScript code "to detetmine whether the connection is safe".

    A connection that is actually very much NOT safe; there's an Attacker in the Middle spying on everything bit exchanged if you continue. They even collect every password you enter on websites proxied by Cloudflare (blog.cloudflare.com/password-r).

    #CloudflareIsEvil #BigTechIsEvil #AitM #MitM #Cloudflare

  6. @SpaceLifeForm @thomasfuchs

    Alternatively, use the NoScript plugin (Firefox on Android and desktop operating systems) and do not trust (default behaviour is to block, explicit blocking is possible too) Cloudflare.

    Note that this method does not prevent Cloudflare from knowing your IP-address, but effectively this tells them that they suck if you do not enable their invasive JavaScript code "to detetmine whether the connection is safe".

    A connection that is actually very much NOT safe; there's an Attacker in the Middle spying on everything bit exchanged if you continue. They even collect every password you enter on websites proxied by Cloudflare (blog.cloudflare.com/password-r).

    #CloudflareIsEvil #BigTechIsEvil #AitM #MitM #Cloudflare

  7. @grammasaurus : if I understand the patent correctly, the content seen by a user in their browser will not for 100% originate from your website given its domain name.

    However, Google may let their Chrome browser show your domain name in the address bar and even suggest that a server-authenticated and encrypted valid https connection is being used (proving the authenticity of your website, which is then fully broken).

    Google may even force other browser makers (such as Mozilla, sponsored by Google) to do the same.

    @SteveRudolfi

    #Authenticity #Authentic #MitM #AitM #GoogleIsEvil #BigTechIsEvil #TLSisBroken #httpsIsBroken #httpsIsNoLongerE2EE #E2EE

  8. @grammasaurus : if I understand the patent correctly, the content seen by a user in their browser will not for 100% originate from your website given its domain name.

    However, Google may let their Chrome browser show your domain name in the address bar and even suggest that a server-authenticated and encrypted valid https connection is being used (proving the authenticity of your website, which is then fully broken).

    Google may even force other browser makers (such as Mozilla, sponsored by Google) to do the same.

    @SteveRudolfi

    #Authenticity #Authentic #MitM #AitM #GoogleIsEvil #BigTechIsEvil #TLSisBroken #httpsIsBroken #httpsIsNoLongerE2EE #E2EE