Raar dat Marktplaats dit soort advertenties accepteert. Ik meende altijd dat zij wel de nodige dingen deden tegen fraude, maar gezien dit artikel en het enorme aanbod van namaak artikelen, valt dat nogal tegen... Maakt dit Marktplaats medeplichtig?

Ik deed uit nieuwsgierigheid even wat whois queries en mediamarkt-sale.com staat op naam van een Belg, dus ik denk dat de Nederlandse politie ook niet echt veel kan doen zonder Belgische justitie. Misschien moet er ook in Belgie aangifte worden gedaan?

Advertenties worden meer en meer een bron van narigheid. Zolang hier (te) weinig aan wordt gedaan is het raadzaam goede advertentieblockers te gebruiken: scheelt een potentiele malwarebron én misleiding blijkt nu maar weer....

Ik zou oppassen met het trekken van conclusies, een van de andere "registrars" komt uit Gelderland, voor hetzelfde geld hebben we het hier over ID-fraude.
Bovendien is dat ook helemaal niet interessant, er is geld overgeboekt, en dat is te traceren.

Maar vergeet vooral Darwin niet.
Ik kan nergens een certificaat vinden voor een van de genoemde sites.

Geen HTTPS is geen excuus, me dunkt.

Als organisaties nou eens ophouden met lekker-bekkende en/of zo kort mogelijke semi-random domainnames aan te vragen, dan kunnen we gebruikers "security-aware" maken door ze erop te wijzen dat *.mediamarkt.nl wel te vertrouwen is, maar variaties op alles rechts van die asterisk mogelijk niet.

Het achterliggende probleem is dat kwaadwillenden probleemloos domainnames (in DNS) kunnen laten registreren waarin de tekst "mediamarkt" voorkomt, maar zij kunnen (voor zover ik weet) niet zomaar een domainname als megasuperaanbiedingen.mediamarkt.nl laten registreren.

Feitelijk is dit een voorwaarde om authenticatie in https een grotere betrouwbaarheid te geven. Immers, waarom zou een certificaatverkoper geen certificaat mogen uitgeven voor mediamarkt-boodschappenlijstje.nl aan iemand die niets met Media Markt te maken heeft?

We staan m.i. veel te weinig stil bij de risico's van "identiteitsdiefstal". Beveiligen is ook er zo goed mogelijk voor zorgen dat jouw klanten/bezoekers niet eenvoudig om de tuin kunnen worden geleid.

Voorbeeld: https://digid.overheid.nl/ vind ik veel logischer dan https://www.digid.nl/ - alleen al omdat https://www.digi-d.nl/ bestaat - en die laatste site niets met DigiD te maken heeft.

"Probleem" vind ik een groot woord.
Stel dat Phil Lips de verlichting wil gaan verspreiden in de EU, dan vind ik dat hij alle recht zou moeten hebben om phillips.verlichting.eu te kunnen registreren. Dat gaan "reguleren" d.m.v. "vrije marktwerking" lijkt me "niet zo'n goed idee."

Zoals ik vanmiddag al meldde, er is geen enkele sprake van HTTPS geweest.

boodschappenlijstje.mediamarkt.nl is inderdaad heel wat anders dan mediamarkt.boodschappenlijstje.nl.
En ook dat is prima zo, dat kun je oplossen door de domeinnaam in de url in de browser vet weer te geven bijvoorbeeld. mediamarkt.boodschappenlijstje.nl ziet er al heel anders uit dan boodschappenlijstje.mediamarkt.nl.
Als je dat dan ook nog eens enkel en alleen bij domeinen met een GELDIG certificaat doet, begint het al helemaal ergens op te lijken voor de gemiddelde gebruiker.

Ja dat zou inderdaad een vooruitgang zijn.

Met een beetje goede wil van ICANN moet het ook mogelijk zijn om een nieuwe TLD in te voeren, te weten ".overheid" bijvoorbeeld.

Maar dan nog los je die scams niet op, er zullen altijd mensen blijven die mee willen doen aan balletje-balletje of zo.

Er hoeft toch helemaal geen nieuwe TLD .overheid te komen? Gewoon alle adressen van overheidssites laten eindigen op .gov.nl, veel gemakkelijker. Bovendien ook in internationale context bruikbaar en begrijpelijk (denk aan .gov voor Amerikaanse overheidsdiensten, .gov.uk in het Verenigd Koninkrijk, etc.). En blijkbaar staat gov.nl al op naam van de overheid, dus dat is gemakkelijk geregeld, zou ik zeggen. Scheelt ook 3644534309357290 verschillende certificaten voor alle https://-overheids-sites die er zijn en nog komen.

Ik begrijp niet waarom er over https en certificaten begonnen wordt, want uitgerekend bij een zelfbedachte domeinnaam
kun je probleemloos een certificaat aanvragen met een leuke aanvrager naam. Dat beveiligt helemaal niks.
Certificaten kunnen alleen malafide sites op bestaande namen voorkomen, en zelfs dat is al lastig door het grote aantal
uitgevers.

Die Whois info die is gewoon fake. Die lui gaan echt hun naam niet in whois zetten, daar kun je heel gemakkelijk vanalles
in krijgen via obscure registrars aan de andere kant van de wereld.
Tuurlijk zijn er zat medeplichtigen. Als het niet zo doodsimpel was om vanalles te registreren dan was het lastiger. Zo
was het in .nl in het begin streng gereguleerd wat je kon registreren. Maar dat was niet meer te handhaven en leidde tot
processen.

Huh? Gemak?
Het off-topic topic was toch de veiligheid van eindgebruikers die zelfs in de scams uit bovenstaand artikel trappen?

Een domein blijft makkelijk te spoofen, al dan niet met certificaat:
- qov.nl // g0v.nl // gow.nl etc.

Ook het TLD .nl kan problemen opleveren:
- .nl (Nederland) vervangen door .ni (Nigaragua).
Het verschil tussen een kleine "L" en hoofdletter "i" in een link, "l" vs "I" dus, is onmogelijk te bepalen. De URL in de browser geeft de TLD wel automatisch correct weer natuurlijk, maar die ene letter maakt weinig verschil bij eerder genoemde eindgebruikers lijkt me.

Bijvoorbeeld:
- toeslagen.belastingdienst.overheid/formulieren/bladiebla-nummertje-nogwat // Dus icm met het vet weergeven van het domein en de TLD in de browser is beter dan:
- toeslagen.belastingdienst.gov.nl/formulieren/bladiebla-nummertje-nogwat // Omdat:
- toeslagen.belastingdienst.qov.ni (<- vrij domein in Nigaragua)/formulieren/bladiebla-nummertje-nogwat // Er in een link (email bijv.) er toch echt uitziet als:
- toeslagen.belastingdienst.qov.nI(hoofdletter "i")/formulieren/bladiebla-nummertje-nogwat.
En dat betekent dat je makkelijk even met je Digi-D kunt inloggen op een host in Zuid Amerika, omdat geen eindgebruiker wel of niet vooraf kan bepalen of dat Digi-D-gebeuren tegenwoordig nu nog via digid.nl, digi-d.nl of digi.d.gov.nl of zoiets moet verlopen, er daarbij al van uitgaande dat die gebruiker weet dat inloggen met Digi-D niet embedded is op een website.


Ik betwijfel dus oprecht of een portaal als gov.nl verschil zou maken, zonder dat er eerst allerlei beperking aan registrars en browsers (het tonen van een vlaggetje van het land waar de host zich bevind bijvoorbeeld) moeten worden opgelegd, zoals bijvoorbeeld bij kentekenplaten het geval is. En dat is ook alles behalve makkelijk, sluitend, laat staan wenselijk.

Een TLD (zoals .overheid) icm het duidelijk weergeven van het domein en TLD in de browser, is daarentegen, voor zover ik kan bepalen >99% idiot-proof.
Uhm, herstel, .... "sluit beter aan bij de huidige wensen aan de user-experience van consumenten."
O, wacht, niet "consumenten," maar "burgers" natuurlijk...
Snap je wat ik bedoel? Stel die burger nu eens centraal, in plaats van "even" "makkelijk" te doen.

Daarmee geef je trouwens ook een signaal af, waardoor consumenten wellicht ook eens nadenken over wat er wel en niet veilig is. Dat in tegenstelling tot alle (tegenstrijdige) adviezen over voorwaarden, (gebrek aan) regels & aansprakelijkheid, wazige keurmerken enzovoorts waar we nu rijk aan zijn.

Maar ja, hé, de beste stuurlui zullen wel weer aan wal staan zeker?
Dat neemt niet weg dat ik vind dat de techniek zich aan moet passen aan de gebruiker, in plaats van te proberen om de gebruiker aan de techniek aan te passen.

Welke ambtenaar kan ik hierover een brief schrijven? Iemand?
ICCAN weet ik wel te vinden, da's het probleem niet.