Archief - De topics van lang geleden

.bank extensie maakt online bankieren niet veiliger

03-04-2007, 16:20 door Redactie, 20 reacties

De Finse virusbestrijder F-Secure kwam vorige week met het idee dat er een apart top level domain moet komen voor banken en andere financiele instellingen. Nu het aantal mensen dat online bankiert groeit, groeit ook het aantal mensen dat fraudeert. Door het introduceren van een .safe, .sure of .bank domein weten online bankierders dat ze altijd op het juiste adres zitten, aangezien de "bank extensie" alleen door banken verkregen kan worden.

Volgens de Finnen hebben consumenten op dit moment niet de mogelijkheid om te bepalen of de website waarop ze zitten wel bij de bank hoort. "Een .safe domein geeft miljoenen online klanten de zekerheid de ze nodig hebben dat online bankieren veilig is", aldus CSO Mikko Hyppönen.

Het lijkt echter een nodeloze schreeuw om aandacht. Niet alleen is het idee al een tijd geleden geopperd en afgeschoten, ondanks alle aandacht, online trainingen en waarschuwingen dat mensen op het "slotje" moeten letten als ze hun bankzaken doen, blijken de meeste mensen dit gewoon te negeren. Waarom zouden ze dan wel op een specifieke domein extensie letten? Onze stelling luidt derhalve: .bank extensie maakt online bankieren niet veiliger

Reacties (20)
03-04-2007, 16:30 door Anoniem
Ff als malware zijnde een verwijzing naar een .bank domein
in je hosts file zetten en hoppa...
03-04-2007, 16:32 door Anoniem
"Het lijkt echter een nodeloze schreeuw om aandacht. "

Nou, nou, nou. Dat kan ook wel zonder afkatten.

Mikko Hyppönen is een alom gerespecteerde malware onderzoeker en
wie ben jij? Je noemt in ieder geval geen enkel argument dat ter zake
doet.

Ik ondersteun de mening van Mikko dat een bank tld veiligheid toevoegt.
Daar hoort wel bij dat een instantie de aanvragen gaat controleren. Dat lijkt
moeilijker dan het is. Er zijn al organen die banken beoordelen voor o.a.
internationaal bankverkeer.
03-04-2007, 16:57 door meneer
Leolux.bank kan dus niet?
03-04-2007, 17:00 door pikah
Alles kan :D

Ik denk alleen niet dat het bedoeld is voor de verkoop van meubels :-P alhoewel ze er wel recht op moeten hebben vind ik.

Persoonlijk denk ik dat het maken van die TLDs niet veel nut heeft. Er zijn te veel mogelijkheden om de gebruiker te laten denken dat hij ergens is terwijl het niet zo is.

Als je alleen al denkt aan mogelijkheden als hostfiles - dns poisoning etc.
03-04-2007, 17:02 door Anoniem
Offtopic:

.bank extensie maakt online bankieren niet veiliger
Iedereen die een beetje professioneel met internet bezig is
noemt zoiets een Top Level Domain of TLD.

Ontopic:
Ik denk niet dat het helpt. Het is niet het tld maar de
onveiligheid van de sites zelf.
03-04-2007, 17:09 door [Account Verwijderd]
[Verwijderd]
03-04-2007, 17:49 door Thaddy
Op zich is het wel een goed idee. Maar een TLD
kan ook problemen geven met leden in redelijk onbetrouwbare
landen (Rusland, China..)
Als ze het zouden kunnen koppelen aan geforceerde kennis en
bezit authenticatie voor het specifieke toplevel domain is
er wellicht wat meer voor te zeggen. IPV6 moet dan wel snel
ook doorbreken....
03-04-2007, 23:18 door Anoniem
werkt niet... veel werk, nauwelijks resultaat...
04-04-2007, 00:32 door Anoniem
Hoe komen mensen op nep-bank-sites terecht? Ik denk voor 90%
via echt ogende mailtjes. Mensen volgen de links in die
mails. Ik vraag me af of de massa daarbij kijkt of het
top-level domein .bank is.
Maar het is een extra beveiligingsmaatregel.
04-04-2007, 10:07 door Anoniem
kan je beter het toplevel .veilig gebruiken
04-04-2007, 13:04 door Thaddy
of het TLD .pasop
05-04-2007, 09:02 door Anoniem
Online bankieren gebeurt toch wel op een ccTLD daar banken
hun klanten willen bedienen in een omgeving waar de klant
zich thuis bij voelt.

Het uitgeven van een .bank gTLD geeft alleen maar meer
verwarring, want waar moet de klant nou heen? Zijn vetrouwde
.nl of die nieuwe .bank.
Daarnaast voorkomt een .bank toch echt geen malware. Mensen
blijven dom en zullen dat soort programmas toch wel op hun
pc's blijven krijgen.
05-04-2007, 11:24 door koekblik
Volgens mij zijn er twee type gebruikers: gebruikers die op
de URL letten, en gebruikers die dit niet doen.

De gebruikers in de tweede groep hebben niets aan een .bank
TLD.

Gebruikers in de eerste groep kennen toch al de URL van
de bank, en zullen alleen maar in de war raken als deze
ineens van http://www.abnamro.nl naar http://www.abnamro.bank
gaat.

Mijn mening is dat een .bank TLD niets toevoegd aan de veiligheid.
06-04-2007, 12:39 door Anoniem
maar de aanwezigheid van dat slotje geeft ook geen garantie.
certificaten zijn ook zelf te maken en hoeveel mensen zijn
er nou die uitgebreid dat certificaat gaan controleren.
06-04-2007, 15:01 door extranion
het is wel makkelijk om te controleren met het tld .bank
maar je kan met javascript ook gewoon de url veranderen in
http://www.bedrijf.bank
terwijl je op illegalesite.nl zit.

Zo kan de consument nog niet controleren wat het echte adres is.

ik vind het zelf niet nodig om een .bank tld in te voeren.
06-04-2007, 15:20 door Anoniem
Absoluut geen toevoeging aan veiligheid. Eerder een
vertrouwen opwekken dat er niet is.

Wat er zal gebeuren: virussen en malware hebben een
ingebouwde packet filter, en veranderen je http packets.
Door het vertrouwen zouden mensen kunnen denken dat .bank
adressen veiliger zijn, en dit niet zou kunnen gebeuren.

Volgende optie is dat 1 .bank adres website gekraakt word,
en deze gaat fungeren als phising website om ook bezoekers
van andere .bank adressen te neppen (via bijv
spyware/malware), want tenslotte 'is .bank veiilg'.

Beide redenen gelden ook voor .safe .sure en andere tld
domeinen uiteraard.

Conclusie:
TLD Domein .bank maakt het iets moeilijker voor de crackers,
maar dat weegt niet op tegen de hoeveelheid mensen die zich
veilig voelen met het domein.
10-04-2007, 08:29 door Anoniem
Hmm...even een Trojan bakken dat c:windowssystem32driversetchosts
aanpast zodat https://mijn.post.bank naar mijn lugubere phishingsite
verwijst op een gehacked Russisch servertje met IP-adres ...

Tegelijkertijd moet de Trojan een self-signed root-certificaat in de Trusted
Root Certification Authorities van IE gooien. Zodra dan via https naar
mijn.post.bank wordt gegaan, wordt er netjes een phishing .bank site
getoond zonder enige SSL-waarschuwing.

Ja ja, .bank is alleen te registreren door banken. Ha, laat me niet lachen!
Bovenstaand scenario werkt dan nog steeds, zonder registratie van
een .bank domein. En je bent in dit scenario toch ook het haasje.

Kortom, een slecht plan van F-Secure. Ik dacht dat ze daar toch beter
nadachten over security? Of raden ze bij F-Secure soms ook hun eigen
product aan zodat een scenario zoals ik nu schets wordt herkend door hun
eigen product?
12-04-2007, 17:59 door Anoniem
Tzal niet werken. Banken interesseren hun klanten helemaal niet. Banken
gaat het om geld verdienen over de rug van hun klanten. Zolang de baten
hoger zijn dan de kosten, gaat er NIETS gebeuren. Al worden de
bankrekeningen van 10 mensen volledig geplunderd, het zal hun bank een
geen ene bal schelen. Pinpassen zijn inherent onveilig, maar die bestaan
ook al jaren. Internet bankieren is gevaarlijk, 75% van de Nederlandse
websites heeft lekke websites. Maarja, je kunt leven met problemen van
anderen, zolang je er zelf geen last van hebt, kijk naar creditcard
maatschappijen. Dat jij 4 weken lang niet bij je geld kan omdat iemand
jouw code gegenereerd heeft, daar liggen hun niet wakker van.

Een bank zal dus nooit iets doen aan hun urls, want het levert geen geld
op. Tenzij daar marketingvoordeel uitgehaald kan worden maar voorlopig
zie ik dat nog niet gebeuren.
17-04-2007, 09:25 door Arno Nimus
Een aparte TLD zou misschien een heel klein minimaal stapje
vooruit zijn. Maar er zijn effectievere manieren om
gebruikers veilig te laten bankieren. Waarschijnlijk nog
goedkoper ook!
19-02-2009, 16:14 door Anoniem
Door Anoniem"Het lijkt echter een nodeloze schreeuw om aandacht. "

Nou, nou, nou. Dat kan ook wel zonder afkatten.

Mikko Hyppönen is een alom gerespecteerde malware onderzoeker en
wie ben jij? Je noemt in ieder geval geen enkel argument dat ter zake
doet.

Ik ondersteun de mening van Mikko dat een bank tld veiligheid toevoegt.
Daar hoort wel bij dat een instantie de aanvragen gaat controleren. Dat lijkt
moeilijker dan het is. Er zijn al organen die banken beoordelen voor o.a.
internationaal bankverkeer.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.