image

SIDN: groen slotje zegt niets over betrouwbaarheid website

woensdag 31 oktober 2018, 12:50 door Redactie, 22 reacties

Een groen slotje in de adresbalk van de browser zegt niets over de betrouwbaarheid van een website, iets waar veel internetgebruikers zich niet bewust van zijn, zo laat de Stichting Internet Domeinregistratie Nederland (SIDN) weten, de organisatie die de .nl-domeinnamen beheert.

De SIDN reageert naar aanleiding van een uitzending van het televisieprogramma Kassa over "Tikkiefraude", waarbij slachtoffers naar phishingsites worden gelokt. Gebruikers die op straat door Kassa worden benaderd laten weten dat ze bij het beoordelen van de betrouwbaarheid van een website naar het groene slotje kijken. Het slot-icoon geeft echter alleen maar weer dat er een beveiligde verbinding tussen de website en bezoeker is en kan worden gebruikt om de identiteit van de website vast te stellen. Het zegt niets over de betrouwbaarheid of veiligheid van de achterliggende website.

"Criminelen installeren ook op phishingsites een groen slotje om het vertrouwen van de klant te winnen. Het slotje alleen zegt dus eigenlijk niks. Heel verwarrend voor de consument", aldus de SIDN. Ook blijkt dat mensen niet altijd weten wat de juiste domeinnaam van hun bank is. "Het slotje is altijd een beetje tricky advies geweest omdat het eigenlijk niet zoveel zegt over met wie je aan het communiceren bent", stelt Michel van Eeten, hoogleraar internetveiligheid bij de TU Delft, in de uitzending. "De banken hebben zoveel nadruk op dat slotje gelegd waardoor mensen nu denken dat als ze het slotje zien dat het veilig is. Dat is niet zo. Elke crimineel heeft tegenwoordig ook een slotje. Dit hebben we zoveel nadruk gegeven dat mensen nu eigenlijk verkeerd getraind zijn."

Reacties (22)
31-10-2018, 13:18 door Anoniem
En nu nog een oplossing bedenken.

De meeste gebruikers van antivirus programma avast-free
hebben standaard de optie aan staan om vertrouwde sites niet te scannen.

Vertrouwde sites niet scannen. ( webshield) vink deze optie uit.

Instellingen - Onderdelen - Webschild - Hoofdinstellingen - Vertrouwde sites niet scannen.
31-10-2018, 13:25 door Anoniem
Nou het zegt wel in een bepaalde mate hoe transparant een Website is en een website waarvan de identiteit vastgesteld kan worden zal minder snel criminele activiteiten uitvoeren, maar expliciet is het inderdaad geen eenduidige maatstaaf of een website wel of niet betrouwbaar is en ik vind dat het SIDN een verkeerde signaal afgeeft want straks gaan mensen websites zonder het groene slotje ook vertrouwen wat riskant is.
31-10-2018, 13:48 door Briolet
Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.
31-10-2018, 13:56 door Anoniem
Door Briolet: Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.

Juist in Safari is het erg vervelend dat ze EV-certificaten niet meer volledig uitschrijven. Nu heb je dus een groen slotje, maar of het echt de juiste site is zie je pas als je doorklikt. Jammer dat ze daarmee afwijken, zelfs Chrome was niet zo ver gegaan.
31-10-2018, 14:01 door Anoniem
Er staat ook de Nederlandse banken helemaal niets in de weg om een eigen TLD te registreren. Waaronder dan enkel door de Nederlandse Bank goedgekeurde banken een domein kunnen registreren. En verder niemand. Dan hoeft de consument enkel op dat TLD te letten. En al die domeinnamen van de verschillende banken niet meer te kennen.

Een beetje slim geformuleerd TLD is zelfs als merk te registreren. Waardoor zelfs het enkel noemen van dat merk al dik vet vervolgd kan worden. Daarnaast hebben banken dan niets meer te maken met de SIDN.

Ook een goeie tip voor de overheid. Met DigiID's en zo.
31-10-2018, 14:18 door Anoniem
Tja dit is een beetje het probleem met ieder advies wat je kunt geven rond internetveiligheid: wat vandaag een goed advies is dat is morgen weer fout omdat er iemand iets gekraakt heeft of omdat iemand anders is gaan werken.

Echter ik vind het wel behoorlijk dom van de banken dat men niet alles onder 1 domeinnaam hangt (dus subdomein.banknaam.nl in plaats van banknaamditofodat.nl) en ronduit stupide dat men voor zo iets als tikkie een domeinnaam registreert die niet onder .nl hangt maar onder .me (montenegro).
Op die manier kan niemand meer zien of het nou vertrouwd is of niet.
31-10-2018, 14:29 door Anoniem
Ook blijkt dat mensen niet altijd weten wat de juiste domeinnaam van hun bank is

rabobank.pw ? ing-bank.su ?

Echt lastig hoor, het domein van je bank onthouden.

Dit hebben we zoveel nadruk gegeven dat mensen nu eigenlijk verkeerd getraind zijn."

Bericht zonder spelfouten kan je vertrouwen, toch ? ;)
31-10-2018, 14:30 door Anoniem
Door Briolet: Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.

Ieder geval Firefox laat juist de naam op het certificaat zien in de adresbalk, bijvoorbeeld in het geval van de ABN: ABN Amro Bank N.V. (NL). Dat zegt veel meer dan alleen het groene slotje van Safari want dan weet je nog steeds niet met wie je verbonden bent. Het groene slotje geeft bij Firefox alleen maar aan dat het een https verbinding is, in het geval van een EV certificaat krijg je ook de naam van de organisatie te zien. Dat vind ik persoonlijk een stuk duidelijker, grote probleem is dat banken dus alleen naar het groene slotje verwezen, en dat zegt dus niks ook bij Safari niet.
31-10-2018, 14:30 door Anoniem
Het is uiterst onwenselijk als de SIDN begint met het "bewustmaken" van onderscheid op kleur.
Deze groen/rood stigmatisering en polarisatie druist in tegen "equal opportunity".
Onnodig, als de uiteindelijke bottemline is dat het niks zegt.
31-10-2018, 14:39 door Anoniem
Door Briolet: Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.

Groen slotje geeft toch alleen aan dat er sprake is van een EV-certificaat? (ook bij Safari)
Criminelen kopen een enigszins gelijkende domeinnaam op (of verzinnen die zelf), kopen een EV-certificaat, en huppekee.
Gebruiker dient dus ook goed op de aanwezige domeinnaam te letten of deze wel juist is. (safari vermeldt dit er al automatisch bij i.g.v. EV-certificaat). Als de domeinnaam opeens anders is dan je gewend was, is dit verdacht,
en verdient het nader onderzoek of je (vermoedelijk) verkeerd zit.
31-10-2018, 14:58 door Anoniem
Door Briolet: Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.

Het zegt nog steeds niets over de betrouwbaarheid (of veiligheid) van de site. Het zegt wat over de verbinding met de site. Als ik kijk naar wat ik moest doen om het bedrijf waarvoor ik werk in aanmerking te laten komen voor een EV certificaat: KvK uittreksel, credit card betaling, handtekening van de eigenaar etc. Iedere fraudeur die bij een schimmige CA dat proces doorloopt kan zo'n certificaat aanvragen. Nutteloze exercitie. Niet voor niets hebben de grootste websites op internet dat groene slotje niet. Het is een cash cow voor de CA's, en zegt niets over de site beveiliging. Het feit dat meerdere browsers een groene indicatie geven bij bezoek aan een URL toont al aan dat het vooral een gevoel is dat je over wilt brengen als website, en waar jij als website eigenaar honderden euro's voor mag dokken.
31-10-2018, 15:09 door Anoniem
@Briolet,

Ik meende mij te herinneren dat niet iedereen dezelfde mening heeft m.b.t. het EV certificaat. En ik heb zowaar een linkje gevonden naar een artikel op deze website waarin Troy Hunt zijn mening deelt:
https://www.security.nl/posting/577483/Beveiligingsexpert%3A+EV-certificaten+zijn+zinloos+geworden
31-10-2018, 15:17 door Anoniem
Door Briolet: Het ligt ook aan de browser. Bij safari geeft een groen slotje wel iets aan over de betrouwbaarheid van de website. Daar krijg je nml alleen een groen slotje bij een EV certificaat. Bij een groen slotje is de aanvrager dus beter doorgelicht dan bij een website met een grijs of zwart slotje.

Wat dat betreft heb ik nooit gesnapt dat andere browsers groen voor elk certificaat gebruiken.

Bij safari zie je nu een groen of grijs slotje. Dat is wel een vooruitgang omdat safari geen http of https informatie toont in de URL uit 'esthetisch' oogmerk. Waardoor je eerder niet meteen wist of een site wel of geen https gebruikte. Hiernaast was er al willekeur of een site groen, grijs of blauwe kleuren gebruikte bij een SSL verbinding. Dus dat helpt ook niet erg.

Dit alles staat natuurlijk los van het feit dat iedereen een certificaat slotje kan aanschaffen, inclusief hackers.
31-10-2018, 15:39 door Anoniem
Door Briolet: Het ligt ook aan de browser.
Ik stel voor een browser te kiezen, waarbij het slotje rood is bij een phisingsite.
31-10-2018, 18:47 door Anoniem
Kassa suggereert het volgende

Website 1
ABNAMRO heeft een website met EV Certificaat = groen slotje
Bij bezoek aan deze website staat er achter het slotje (*)
ABN AMRO Bank N.V. (NL)

Klik op het slotje geeft de informatie
You are connected to abnamro.nl
which is run by
ABN AMRO Bank N.V.
Amsterdam
NH, NL

Verified by QuoVadis Limited

The connection to this website is secure
Kassa beweert dus dat het eenvoudig is om hier even een EV phishing variatie op te maken zonder dat er bellen gaan rinkelen ergens onderweg?

Website 2
ANBARMO heeft een website met EV Certificaat = groen slotje
Bij bezoek aan deze website staat er achter het slotje (*)
ANB ARMO Bank N.V. (NL)

Klik op het slotje geeft dan de informatie
You are connected to anbarmo.nl
which is run by
ANB ARMO Bank N.V.
Amsterdam
NH, NL

Verified by QuoVadis Limited

The connection to this website is secure
Zou dat er echt makkelijk doorkomen?
Denk dat dit behoorlijk totale FUD is.
Ev certificaten kosten bakken met geld.
Ev certificaten worden gecontroleerd er reken maar als er een banknaam in voorkomt dat de kans groot is dat er een belletje gaat rinkelen en het feest niet door gaat.

What's in a name? : niks en alles aan nietsigheid

Dat er geen bellen gaan rinkelen als iemand tikkkie, tikky, ticky en meer typosquatting varianten aanvragen doet heeft eerder te maken met een gebrek aan doordachtheid van de makers ervan.
Tikkie heeft niet de naamsbekendheid en de status die een bank wel heeft.
sterker nog, tikkie is helemaal geen bedrijf, nou ja, dat wel maar geen bank, kijk maar bij de Kvk.
Een dergelijke naam is slecht gekozen het kan, zie kvk, van alles zijn (onder het aannemelijkste nl domein dit, http://tikkie.nl/ , tja welke andere extensie daarna is meer geloofwaardiger dan de ander .ehh ?

Dit probleem doet dus denken aan het probleem dat de politie voor zichzelf creeerde een tijd geleden.
Als je voor elke poep en een scheet weer een nieuwe naam verzint weet niemand meer waar die aan toe is en kan daarmee tegelijkertijd ook alles : elke naam is daarmee aannemelijk geworden voor iedereen.
Ja, dan moet je niet gaan klagen over misbruik want die situatie heb jezelf gecreeerd.

Doe daarom al je bankactiviteiten onder jouw bank naam en bank domein!
Doe daarom al je politieactiviteiten onder je politienaam en politiedomein
Doe daarom al je overheidsdienstactiviteiten onder je overheidsdienst en overheidsdienstdomein.

Het probleem ligt dus bij grappig willen doen, lukraak domeinen registreren en lukraak namen in het leven roepen totdat er een situtaie is ontstaan dat vrijwel alles aannemelijk klint of dus geen bellen doet rinkelen omdat men niet meer gewend is dat producten van een bank in naam ook aan die bank gelinkt zijn.

Dat groene slotje is verdomd veel veiliger dan een grijs slotje.
Je kan het beter controleren maar dan moet de aanvrager er in de eerste plaats geen namen-potje van maken omdat de controle erop en het maken van fouten erbij groter wordt.

Tikkie is een minder serieuze naam dan die van een bank waardoor er vermoedelijk minder snel bellen gaan rinkelen bij typosquatting aanvragen.
Slap dat SIDN hierin meegaat in deze overmatige suggestieve FUD (want er wordt niet massaal gefraudeerd met EV certificaten) en niet voet bij stuk houdt dat EV certificaten stukken veiliger zijn dan die grijze slotjes.

Maar wat wel een ongelofelijke misser is is wel dat browsermakers die EV info niet meer gaan weergeven, simpel die banknaam weergeven in de urlbar werkt simpel en goed.
En dan nog iets, in de tijd van artificial intelligence moeten alle aannemelijk ogende typosquatting varianten toch wel uitgedraaid kunnen worden voor een computerbliepje : Dubbelcheck!
Of voor een vertraging in aanvraag bij SIDN.

Tot die tijd is dat Tikkie.nl best eentje om erin te houden.
Waanzin.

De wereld van nu.

Waar gaat het over?

Waar zijn wij mensen mee bezig?

Hebben wij nog controle over onszelf of verliezen we alles?

Wat doen wij als je leven compleet overhoop wordt gehaald?

Blijf je helder nadenken of ga je af op je gevoel?

Wie kan je vertrouwen, wie spreekt de waarheid?
Voor bezinning.
31-10-2018, 20:00 door Anoniem
Soms denk ik wel eens, dat instanties helemaal niet streven naar veiligheid voor consumenten. Van de overheid was dat bekend, maar welke idioot bedenkt een slotje dat niks voorstelt?
31-10-2018, 21:11 door Anoniem
Door Anoniem:
Ev certificaten worden gecontroleerd er reken maar als er een banknaam in voorkomt dat de kans groot is dat er een belletje gaat rinkelen en het feest niet door gaat.

Zo simpel is het helaas niet IMHO.

2 voorbeelden:
- Voedselbank. Gaat het belletje rinkelen? Nee?
- www.abnamro.nl. Ah, bank in domeinnaam? Nee?

Laten we het nog vanuit de klant bekijken
[slotje] Verified Identity Inc. - www.bank.com - Belletje? Nee? Verified toch?
[slotje] RandomBank [BE] - www.randombank.nl - Belletje over het verkeerde land erachter? Of in de US verkeerde staat? Nee? https://stripe.ian.sh heeft de PoC al gedaan, no need to test it again :).

Dus op zich, oproepen dat je zelf altijd de domeinnaam van je bank moet intypen en het dan nog kunt dubbelchecken in het certificaat (om typo's uit te sluiten), so slecht nog niet toch dat advies?
01-11-2018, 04:54 door Anoniem
[SIDN: groen slotje zegt niets over betrouwbaarheid website]
ja haal het dan er maar ook uit he. zou ik zeggen. want wat voor nut heeft het dan dat het er in/bij staat. het is te misleident;
01-11-2018, 09:47 door Anoniem
Door Anoniem:
Kassa beweert dus dat het eenvoudig is om hier even een EV phishing variatie op te maken zonder dat er bellen gaan rinkelen ergens onderweg?
Nee dat beweert Kassa niet. Kassa beweert dat het eenvoudig is om een groen slotje te krijgen.
Wat voor kleur het slotje heeft bij wat voor certificaat hangt af van de browser, een EV certificaat is niet nodig voor
een groen slotje in Firefox, bijvoorbeeld. Er staat dan alleen geen bedrijfsnaam bij maar daar is ook niet op getraind.


Ev certificaten kosten bakken met geld.
Ev certificaten worden gecontroleerd er reken maar als er een banknaam in voorkomt dat de kans groot is dat er een belletje gaat rinkelen en het feest niet door gaat.
Ach dat hangt af van je definitie van bakken met geld. Ik zie met een simpele google opdracht EV certificaten die
in 1 dag geleverd worden en 95 euro kosten, in mijn boekje is dat niet "bakken met geld" maar voor een student
wellicht wel. Dat hangt er dus maar vanaf.
En met een validatie en uitgifte in 1 dag zijn er wellicht ook wel weer lekken.
Bedenk dat je dit certificaat wereldwijd kunt aanvragen en wat hier een banknaam is betekent ergens anders misschien
iets heel anders en kan aannemelijk zijn als naam voor een webshop of pornosite ofzo.


Maar wat wel een ongelofelijke misser is is wel dat browsermakers die EV info niet meer gaan weergeven, simpel die banknaam weergeven in de urlbar werkt simpel en goed.
De browsermakers zijn al een tijdje van het padje af geraakt. Dat gaat ook niet meer goed komen denk ik.


En dan nog iets, in de tijd van artificial intelligence moeten alle aannemelijk ogende typosquatting varianten toch wel uitgedraaid kunnen worden voor een computerbliepje : Dubbelcheck!
Of voor een vertraging in aanvraag bij SIDN.
Dat zou ten koste gaan van de omzet en de winst. Niet het doel van SIDN dus.
(vroeger in de tijd van Piet Beertema waren er strenge regels maar dat is allemaal overboord gekieperd, ook nadat
er processen over gevoerd en gewonnen werden door de mensen die het wilden gaan misbruiken)
01-11-2018, 09:49 door Anoniem
Door Anoniem:
Ook blijkt dat mensen niet altijd weten wat de juiste domeinnaam van hun bank is

rabobank.pw ? ing-bank.su ?

Echt lastig hoor, het domein van je bank onthouden.

Inderdaad, zeker als je bank begint met allerlei producten als namen te registreren en dan niet onder .nl maar onder
allerlei wazige landen zoals .me en .nu
Dan is het allemaal niet meer zo duidelijk.
01-11-2018, 11:23 door Anoniem
Dit is dus het gedonder wat je met dingen als Let's Encrypt krijgt. Een geautomatiseerd proces om certificaten toe te kennen door bijvoorbeeld een DNS entry aan te maken of een bestand op je webserver te zetten. De fraudeur vraagt dus een op echt lijkend domein aan en loopt de geautomatiseerde procedure van Let's Encrypt door. Vervolgens heb je een phishing site met een slotje.
01-11-2018, 17:21 door [Account Verwijderd]
Door Anoniem:
Door Briolet: Het ligt ook aan de browser.
Ik stel voor een browser te kiezen, waarbij het slotje rood is bij een phisingsite.

Chrome, Edge en Firefox blokkeren websites die gemarkeerd zijn als scam en phishing
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.