@waterlelie: ik heb met veel respect jouw reactie van 17:42 gelezen!
Door waterlelie: [...] en laat hoe spijtig ik het ook vind, voorlopig certificering als ultieme beveiliging van email afvallen.
In specifieke sectoren hebben versleuteling en ondertekening van e-mails (nog) wel zin. Helaas zal het massaal inzetten van MIME certificaten nauwelijks bescherming bieden tegen phishing (en mogelijk zelfs averechts werken).
Desalniettemin dank voor jouw inzet! Laat je niet uit het veld slaan; ook ik heb "briljante" ideeën gehad die achteraf toch niet zo goed waren als ik aanvankelijk dacht. Het is een leerproces...
Wat wel kan helpen tegen phishing, is aan potentiële slachtoffers uitleggen waar zij op moeten letten. Een aantal tips:
Ik laat wel eens, naast elkaar op één scherm, 2 screenshots van een webbrowser zien, één met een phishing site en de andere met de echte site. De meeste mensen aan wie ik vraag wat de echte en wat de fake site is, kijken niet naar de URL-balken, maar zoeken verschillen in de pagina's zelf.
Als ik uitleg dat (en waarom) ze naar de domeinnamen moeten kijken, vragen de meesten (terecht): hoe weet ik wat de juiste domeinnaam is? En dat is een lastige vraag met ingewikkelde antwoorden.
Het helpt als je zorgt dat je jouw belangrijkste inlogpagina's in favorieten (ook bekend als bookmarks, snelkoppelingen of shortcuts) hebt opgenomen. Als je op een link in een e-mail (of appje, SMS of getoond op een mogelijk onbetrouwbare website) hebt geklikt (of een QR-code hebt gescand) waarna een schijnbaar bekende inlogpagina opent, sluit die dan en heropen de (echte) pagina via de favoriet daarvoor.
Als je geen favoriet hebt voor een site die je wilt bezoeken (waar je de exacte domeinnaam van kent), vooral als je het (open) WiFi netwerk van een ander gebruikt: tik dan altijd
https:// voor de domeinnaam van de site waar je naar toe wilt (tik niet
ing.nl maar tik
https://ing.nl). Dan dwing je elke browser om niet (eerst of als tweede)
http:// te proberen, waarbij de verbinding gekaapt kan worden en je naar een
andere https site gestuurd kunt worden.
Terzijde:
Puristen kunnen zeggen dat HSTS je beschermt (als je met dezelfde browser recentelijk ing.nl hebt bezocht). Klopt. Meestal. Maar als je een site (een andere dan jouw bank) voor de eerste keer bezoekt, werkt HSTS nog niet. Ook "clear browser history" of een major update zou, afhankelijk van de browser, de database (of tekstbestand) met HSTS-gegevens kunnen wissen. HSTS helpt meestal, maar niet gegarandeerd, en de gebruiker heeft geen idee of HSTS wel of niet werkt. De URL beginnen met https:// werkt altijd.
Sowieso is het gebruik van favorieten
altijd veiliger dan sites opzoeken door hun domeinnaam in een zoekmachine in te tikken - mits de URL's in je favorieten allemaal beginnen met
https://.
Als de browser het uitzetten van IDN (International Domain Names) ondersteunt, zet dat dan uit. In Nederland gebruiken we zelden of nooit IDN's. Uitzetten kan wel een nadeel zijn als je soms of vaak buitenlandse sites bezoekt met domeinnamen met allerlei leestekens op letters of andere schriften zoals Cyrillisch.
Als je support voor IDN'd uitzet, betekent dit dat je
Punycode aanzet. Punycode bestaat uitsluitend uit Amerikaanse ASCII letters die worden ondersteund door DNS (DNS kan niks met letters met diakritische tekens, zoals é, ê, è of ï, maar ook een heel stel andere Unicode karakters (letters, symbolen etc.) waarvan ik de meeste niet kan laten zien op dit forum, zoals een i met een schuin streepje in plaats van het puntje op de I).
Punycode domeinnamen beginnen altijd met
xn-- en zijn dus goed te herkennen. Voor de duidelijkheid, bij het volgende voorbeeld gaat het om dezelfde domeinnaam:
IDN: sécurité.nl
Punycode: xn--scurit-bvaf.nl
Om te weten of jouw browser IDN's ondersteunt (toont) kun je de bovenstaande IDN (sécurité.nl) naar de URL balk van jouw browser kopiëren (en er voor de veiligheid
https:// voor zetten) en op Enter drukken (op dit moment bestaat die site niet, dus krijg je een foutmelding). Als daarna in de URL-balk nog steeds
sécurité.nl te zien is, ondersteunt de browser IDN's; als dit veranderd is in
xn--scurit-bvaf.nl, ondersteunt de browser geen IDN's (en toont dus de Punycode variant). In dat laatste geval zijn phishing sites die van internationale
lijkt-op-letters gebruikmaken, eenvoudig te herkennen doordat de domeinnaam met
xn-- begint, zeer ongebruikelijk bij sites bestemd voor Nederlandse bezoekers (vooral als de domeinnaam eindigt met
.nl).
Als je, bijv. na het klikken op een link (of scannen van een QR-code) op een onbekende site uitkomt waarop je gegevens moet invullen, is het verstandig om eerst de domeinnaam via het klembord te Googlen (een andere zoekmachine gebruiken kan natuurlijk ook). Als de zoekmachine een spelfout vermoedt (voorbeeld:
mediamartk.nl) of je sowieso weinig hits hebt, gaat het waarschijnlijk om een fake site.
Je kunt, in elk geval met Google, de zoekopdracht beginnen met
site: (zoals
site:securlty.nl) om te kijken welke pagina's (en subdomeinen) van die site Google geïnventariseerd heeft; in tegenstelling tot echte sites hebben phishingsites zelden veel pagina's. En als ze meerdere pagina's hebben, zijn dat vaak andere phishingpagina's, of pagina's met ongerelateerde (of schijnbaar willekeurige) teksten.
Als je een domeinnaam intikt, check dan eerst op spelfouten. Bijvoorbeeld
mediamartk.nl is ooit een phishingsite geweest.
Goede oplossingen zijn helaas schaars. Vooral ouderen vertrouwen hun medemens. Helaas is dat vertrouwen online (en telefonisch) te vaak onterecht (alhoewel steeds meer hufters ook gewoon aanbellen, bijv. om je doorgeknipte pinpas op te halen). Meer dan onze best, om hen te beschermen, kunnen we niet doen.