De tips uit https://digithrills.com/guarding-against-phishing-attacks-a-comprehensive-guide/ suggereren dat je nep van echt kunt onderscheiden door op specifieke zaken te letten, maar dat werkt in de praktijk vaak niet om twee redenen:

1) Mede door AI lukt het (cyber)criminelen steeds beter om zich foutloos voor te doen als echte bankmedewerkers;

2) Belangrijker, veel te veel zaken die op "nep" zouden wijzen zijn gebruikelijk bij legitieme communicatie (op afstand) met echte banken, bedrijven en andere organisaties.

Laat ik de tips in genoemde website, onder "Recognizing Phishing Attempts", puntsgewijs becommentariëren.

Dit is simpelweg onbetrouwbaar. Uit https://www.rtlnieuws.nl/nieuws/nederland/artikel/5444673/het-concrete-gevaar-van-een-datalek-ik-mis-8000-euro:
Echter, niet alleen doordat er zoveel gegevens "op straat liggen", is het voor oplichters vaak een koud kunstje om een correcte aanhef boven een bericht te zetten. Als jouw e-mailadres bijvoorbeeld begint met LoesJanssen1984@, dan hoef je geen raketwetenschapper te zijn om de aanhef "Geachte mevrouw Janssen" te bedenken. Of, bij onduidelijkheid over de voornaam, "Geachte meneer of mevrouw Janssen".

Bovendien ontvang ik legitieme e-mails en en andere berichten met een aanhef zoals in de volgende SMS van afgelopen woensdag:
En bijvoorbeeld mijn moeder ontvangt legitieme berichten met als aanhef: "Geachte meneer van Straten," (d.w.z., indien goed gespeld; "Straaten" en "Straeten" komen ook voor).

Conclusie: nep valt niet van echt te onderscheiden.

Hiervoor geldt hetzelfde als bij punt 1: er bestaan ook legitieme mails met tijdsdruk, en er bestaan nepmails zonder. Ook hangt dit samen met hoe geloofwaardig de rest van de mail is, en of het daarbij logisch is dat er sprake is van tijdsdruk.

Zie bijvoorbeeld "5) Tijdsdruk en dreigen met extra kosten" te vinden in mijn posting "Vitens: AVG? Lets phish!" (te vinden in https://security.nl/posting/837529).

Conclusie: nep valt niet van echt te onderscheiden.


Uit mijn posting "Vitens: AVG? Lets phish!" (te vinden in https://security.nl/posting/837529):
Met andere woorden: ook in legitieme berichten staan verdachte of onbekende links.

Nog een voorbeeld: de link in bovenstaande SMS, waarschijnlijk verstuurd door Odido (je moet niet gemist hebben dat dit de nieuwe naam van de Nederlandse tak van T-Mobile is) begint niet met "https://".

Als je in jouw browser odido.nl/my/facturen opent, en jouw browser niet door een AitM (Attacker in the Middle) wordt gedwongen om via http (i.p.v. via https) te verbinden, wordt jouw browser doorgestuurd naar:
De server met de domeinnaam "www.odido.nl" heeft een DV (Domain Validated) https servercertificaat van Sectigo, zoals je hier kunt zien: https://crt.sh/?Identity=www.odido.nl&exclude=expired&deduplicate=Y.

Andere voorbeelden, veel legitieme QR-codes met weblinks wijzen niet direct naar een webpagina van de kennelijke organisatie:

• Outlook.live.com:
https://aka.ms/wm-qr

• Tube Prodent:
https://dl.ulcp.io/01/3014230002601

• RIVM (geen https:// ervóór):
www.rivm.nl/pneumokokken-vertalingen

• Uit een brief:
https://qr.link/pOGxyI

• Uit een phishing-mail over teruggave energiebelasting: https://urlz[.]fr/nVwp (ik heb [ ] om de punt gezet om per ongeluk openen te voorkómen). Die link stuurde destijds jouw browser door naar:
https://engie-teruggave.domainerati[.]com/

Conclusie: nep valt niet van echt te onderscheiden.

Hoe open je een bijlage "cautious" (voorzichtig)? Bestaat daar een toetsencombinatie voor?

Wanneer is een bijlage "onverwacht"? Als dat niet blijkt uit de tekst in de e-mail zelf, of juist niet?

Wat zijn "onbekende afzenders"? Ik krijg heel soms e-mails van "Integrated Internet Services BV" met als SMTP afzender:
no-reply@registrar.eu (hetgeen ik in Apple mail op mijn iPhone slechts na meerdere "kliks" te zien krijg): hoe weet ik of deze mails legitiem zijn? Ik krijg ze zo infrequent dat ik dat allemaal niet kan onthouden, en de naam van het bedrijf is al meerdere keren gewijzigd.

Conclusie: nep valt niet van echt te onderscheiden.

Het is sowieso fundamenteel onmogelijk om nep van echt te onderscheiden, tenzij je met iets als PGP gaat werken en de public keys van elke potentiële afzender namens een organisatie in levenden lijve van die personen, op een vertrouwde locatie van die organisatie hebt gekregen.

En dat er geen twijfel bestaat over dat die personen geautoriseerd zijn om namens die organisatie over de onderhavige onderwerpen te communiceren, die personen niet ondertussen van functie of baan zijn veranderd, hun e-mail (of ander medium) accounts niet zijn gehacked en hun private keys niet in verkeerde handen zijn gevallen.

De betrouwbaarheid waarmee je kunt vaststellen of iemand, zoals een beller of een afzender van een bericht, is wie zij of hij zegt te zijn, wordt (mede door AI) met de dag kleiner terwijl we het een steeds grotere rol laten spelen; zie ook mijn reactie op "Raad van de EU akkoord met wet voor Europese digitale identiteit" in https://security.nl/posting/835825.

Het systeem van online bankieren leidt, onvermijdelijk, tot steeds meer slachtoffers. Het toegepaste systeem maakt het simpelweg onmogelijk om nep van echt te onderscheiden, wat veel betrouwbaarder kan met fysieke bankfilialen op geloofwaardige plekken in steden en dorpen.

Vanzelfsprekend helpt inzicht in de techniek, maar zelfs ervaren mensen (zoals softwareontwikkelaars) trappen in phishing. Daarnaast zijn dingen over het hoofd zien, fouten maken en in sluwe misleiding trappen, hartstikke menselijk.

Er bestaan Europese en Nederlandse wetten die slachtoffers zouden moeten beschermen tegen financiële schade; immers, bij een bank hoort jouw geld veiliger te zijn dan thuis in een oude sok. Die wetten zijn onderdeel van de deal om bankieren van offline steeds meer naar online te verplaatsen.

Steeds vaker proberen financiële instellingen echter, geholpen door (hun eigen) Kifid, slachtoffers voor de (vaak enorme, en door banken omnodig groot gemaakte) financiële schade te laten opdraaien. Dit naast de ellende waarin die slachtoffers zich, onbedoeld en omgewenst, gestort voelen - en de afschuwelijke "victim blaming" achteraf.

Ik herhaal uit https://security.nl/posting/837529:

Helemaal mee eens:
banken en andere betaalinstellingen doen onvoldoende moeite om hun klanten tegen criminaliteit te beschermen. Ze zijn alleen maar bezig met hun eigen veiligheid en hun onderlinge relaties en hun toezichthouder DNB doet hetzelfde. Zie recent bij DNB https://www.dnb.nl/algemeen-nieuws/nieuwsberichten-2024/een-hack-a-la-carte-dnb-breidt-cyberbeveiligingsproject-uit/, er wordt geen woord gerept over veilige communicatie met klanten.

En hoe zie jij dan die veilige communicatie met de banken, ik denk dat dit alleen maar mogelijk is via balie.

In ieder geval geen communicatie via e-mail of telefoon aangezien dat allebei onbetrouwbaar is.

Voor niet-digitaal vaardige klanten (80% NL bevolking): fysiek kantoor.
Voor wel-digitaal vaardige klanten: bellen via de bank app, waarbij het ook mogelijk moet zijn om te bellen met een app die op een smartphone/tablet staat waar geen bij de bank bekende simkaart in zit. (Reden: uit veiligheidsoptiek is het verstandig de bank app niet op de smartphone te zetten waarop de bij de bank bekende simkaart staat.

Natuurlijk is de balie niet perfect . Frauderend personeel bestaat en bestond . En de klant-identiteit controleren vergt geoefend personeel dat structureel paspoort/id/rijbewijs vraagt , en het lef heeft om te zeggen "dat ben jij niet"

Toch maar weer vloeken in de kerk : bank-apps zijn gewoon erg goed. De kunnen (en waarschijnlijk, - doen) de bank zijde erg goed controleren (certificate pinning, geen typo's in URLs) en kunnen met de telefoon secure enclave de klant-identiteit ook strak authenticeren.

Niemand eist perfectie, wel traceerbaarheid. Die heb je nauwelijks tot niet bij online oplichting.

Mits je de juiste bank-app hebt geïnstalleerd, en ook niet bent misleid door een nepmedewerker van jouw bank om daar een "noodzakelijke" nep-update voor te installeren.

En je niet bent misleid om tevens een legitieme PUP (Potentially Unwanted Program) zoals AnyDesk of TeamViewer, of een ronduit foute app met Accessibility Service permissions onder Android of MDM (Mobile Device Management) features onder iOS/iPadOS te installeren (recent voorbeeld van die laatste: "Android- en iOS-malware maakt gezichtsopname slachtoffers voor bankfraude": https://security.nl/posting/829650).

Om nog maar te zwijgen over malware op "desktop/notebook" computers - met een "elk programma mag onvoorwaardelijk alles wat jij mag" besturingssysteem.

Risico VideoIdent
En je niet bent misleid om "opnieuw" (mogelijk voor de zóveelste keer), middels bloedlinke "VideoIdent", te "bewijzen" dat jij jij bent - maar daarbij over het hoofd ziet dat je dat op een nepwebsite (of via een nepapp) doet.

In "Kassa" van gisteravond vertelde Elfie Tromp dat haar stichting slachtoffer is geworden van digitale bankroof, nadat zij een betrouwbaar ogende e-mail met een link naar een, ongetwijfeld ook echt lijkende, VideoIdent nepwebsite, voor echt aanzag (zie https://youtu.be/JfGbzcDVoew vanaf ca. 4 minuten). Die nepsite krijgt vervolgens, als AitM, toegang tot jouw bankaccount. Geen enkele app die je hiertegen beschermt.

P.S. dat laatste probleem gaat exploderen na de invoering van de EDIW, waarbij het de bedoeling is dat je middels VideoIdent zo'n eID, maar bijvoorbeeld ook een rijbewijs, kunt aanvragen (zie https://security.nl/posting/835825 en vervang "bunq.com" door de site waar je echt jouw EDIW kunt aanvragen, en vervang "log in met uw eID" door "bewijs met VideoIdent dat u het echt bent").

Gemak dient ook de cybercrimineel.

Dank Erik voor het beantwoorden van 14-4-2024 16:31 jij bent met je argumenten hier veel beter in als ik.
Maar ook dit persoon begrijpt het mijn inziens niet helemaal.

Ik zelf gebruik een laptop die alleen maar voor bankzaken en voor de overheid wordt gebruikt, dus ook geen
mail of wat dan ook maar dat is geen garantie dat ik niet besodemieterd wordt door criminelen. Ik wil gewoon
mijn bankzaken bij de bank aan het loket doen en als je daar meer komt dan ken ik hun en zij kennen mij. Wie
graag die bank app gebruikt moet het zelf weten, maar ik wil dit liever niet.

Tot mijn grote verbazing (grapje) lijkt (unverified) de scope creep vóór de officiële invoering al een feit.

Uit https://www.nakedcapitalism.com/2024/04/greece-just-gave-a-glimpse-of-how-eus-strictly-voluntary-digital-id-wallet-will-gradually-become-mandatory.html (een stukje tekst vet+cursief gemaakt door mij):

Uit [1] = https://www.europarl.europa.eu/news/en/press-room/20240223IPR18095/meps-back-plans-for-an-eu-wide-digital-wallet:
Iets met "vertrouwen in de overheid"?

Dit betekent tevens dat je erop kunt wachten dat ook (sommige) banken een EDIW gaan vereisen om een bankrekening te kunnen openen (*), en/of om jouw identiteit nogmaals te verifiëren (*) - bijvoorbeeld om hun app, zojuist door jou geïnstalleerd op jouw gloednieuwe smartphone, opnieuw te koppelen aan jouw bestaande bankrekening.

Of om die bank-app, ditmaal op de smartphone van een cybercrimineel, eveneens (of in plaats van die van jou) te koppelen aan jouw bestaande bankrekening. Of om een nieuwe bankrekening (lening) op jouw naam te openen.

Nb. Ik sluit niet volledig uit dat het cybercriminelen van begin af aan (technisch) lastig of zelfs onmogelijk zal worden gemaakt om zo bankrekeningen "over te nemen" en/of leningen af te sluiten op naam van een ander, maar gezien de door Google et al. gewonnen oorlog m.b.t. verplichte QWAC's, heb ik hier een hard hoofd in.

(*) Immers, dit is veel goedkoper voor banken dan een extern bedrijf (in India of waar ook ter wereld) inhuren met medewerkers die VideoIdent's zitten te bestuderen (die bedrijven zijn hiermee overigens ten dode opgeschreven). Het risico op identiteitsfraude blijft "vanzelfsprekend" bij de klant.

En toch maar verder 'digi-drammen'.

Je weet, dat bunq alleen maar digitaal is?

Misschien interessant voor die kassa hebben gemist, woensdag 17 april om 14:15 komt een herhaling op NPO 2

Als je een niet te grote hekel hebt aan Google, kan dat op elk gewenst moment via https://youtu.be/JfGbzcDVoew (met uitsluitend dát deel van de uitzending dat over bunq gaat).

Maar steeds wordt de schuld a priori gezocht bij de klant.

De klant/eindgebruiker moet steeds maar bewijzen dat deze ter goeder trouw is.
Merk ook dat je nooit of oh zo zelden maar een excuus hoort,
een volledig scheef gegroeide relatie dus.

En er wordt veel te weinig gedaan aan handhaving en screening om rotte appels van de werkplek of thuiswerkplek te verwijderen.

Een chronisch gebrek aan gekwalificeerd personeel speelt hierbij ook een rol en zo zijn we allemaal slachtoffer, behalve degenen
die wel varen bij het in stand houden van zo'n situatie, zeg maar rustig een zootje, van digitale tegen een steeds meer verdwijnende analoge wereld.

luntrus

Ik ben nieuw op security.nl en onder de indruk van de analyses, argumentaties en discussies. Ik kan niet echt beoordelen wie gelijk heeft en begrijp niet alles. Dat gezegd hebbende ben ik benieuwd naar fundamentele oplossingen, als die er al zijn, om de zwaktes van internet en elektronische communicatie te adresseren. Is er ergens een draad die hierover gaat?
Om enkele voorbeelden te noemen:
Een van de fundamentele problemen lijkt me dat niemand verantwoordelijkheid heeft of neemt voor de registratie van domeinnamen en dat bijvoorbeeld bij misbruik de eigenaar van een domein verantwoordelijk kan worden gesteld. Is dit een zinnig en/of haalbaar concept? Dit maakt misbruik overigens niet per se onmogelijk maar wel traceerbaar naar een mens of bedrijf.
Is er een (telecom) protocol te bedenken dat spoofing onmogelijk maakt?
Het zou toch wel treurig zijn als de conclusie zou zijn dat we moeten doormodderen.

Mijn advies is om vooral niet via een smartphone te bankieren. Daar heb je als gewone gebruiker te weinig zicht op wat er werkelijk gebeurt. Bij Bunq is een smartphone verplicht.


Er is aan de domeinkant niet veel te doen bij phishing. Bij phishing moet direct worden ingegrepen omdat de eerste uren van een phishing spam run cruciaal zijn. Registries en registrars zijn typisch te laat met ingrijpen.


Registratie is al verplicht. Spammers maken vaak gebruik van gehackte infrastructuur, gestolen identiteiten en katvangers. Traceerbaarheid verandert niets aan spam.


spf is al een bestaand protocol tegen spoofing. Spoofing voorkomen is niet een panacee tegen phishing. Phishers gebruiken zelden een letterlijke domeinnaam van een bank. Dus nee, dat is niet te voorkomen. Wat wel kan is het aan de voorzijde aanpakken door een methode die authenticeerd dat de verzender een bank is. DANE kan deel uitmaken van een oplossing, maar het is onvoldoende geimplementeerd door servers en door clients omdat grote techspelers zoals Microsoft heel lang treuzelden met invoering. Het wordt momenteel opnieuw geprobeerd met MTA-STS en BIMI (Brand Indicators for Message Identification).

Maar ook dat gaat in tegen de adviezen tegen bestrijding van phishing. De verzender kan dan wel kloppen, maar als het de verkeerde afzender is, is phishing nog niet onmogelijk gemaakt. Een betere, bestaande, oplossing is niet klikken op links in emails of social media berichten zogenaamd afkomstig van banken. Als je wil inloggen gebruik je je eigen bekende en vertrouwde url naar de bank. Bijvoorbeeld: je typt het zelf "https://ing.nl" in de adresbalk op een veilige computer.

Dat laatste is precies wat we in de offline wereld doen. Als je in het centrum van een stad een pand ziet met HEMA op de gevel, zijn we gewend dat de kans dat het géén filiaal van de HEMA is (impersonatie), verwaarloos klein is.

De authenticatie (bewijs van identificatie, dat de letters HEMA op de gevel daadwerkelijk betekenen dat het echt om een filiaal van de HEMA gaat) vindt plaats doordat het veel gedoe is (vergunningen die worden gecheckt, contracten met bijv. energiebedrijf) en veel geld kost om van een gebouw een HEMA-vestiging te maken, ook voor een impersonator. Terwijl een nep-HEMA waarschijnlijk zó snel door de mand zal vallen dat de gemaakte kosten nog niet gecompenseerd zijn.

Dat betekent niet automatisch dat een HEMA-filiaal betrouwbaar is. Een belangrijke factor daarbij is reputatie die moet worden opgebouwd (naast dat de verantwoordelijke voor de HEMA er door bijv. de ACM op kan worden aangesproken indien deze wettelijke consumentenrechten schendt, en door consumentenorganisaties als die verantwoordelijke zich niet redelijkerwijs aan ongeschreven regels houdt. Wie daar precies voor verantwoordelijk is blijkt weer uit de eerdere authenticatie in de vorm van vergunningen).

Het internet is grotendeels low budget. Voor zeer weinig geld registreer je bloedsnel een domeinnaam. Voor dat geld is het onbestaanbaar dat de identiteit van de aanvrager grondig wordt gecheckt. En waarom zouden domeinnaam-verhuurders zich überhaupt druk maken zolang zij geld verdienen en géén risico's lopen? Dit verdienmodel wordt bewust in stand gehouden door big tech bedrijven zoals Google, Amazon, Cloudflare en Microsoft.

Daar komt bij dat internet wereldomspannend is. Bijvoorbeeld cybercriminelen met servers in Rusland (zoals met het IP-adres dat te zien is in deze URL: https://www.virustotal.com/gui/ip-address/91.215.85.16/relations) worden door niemand een strobreed in de weg gelegd. Zij verkrijgen probleemloos meerdere phishing-domeinnamen en Let's Encrypt certificaten per dag en hun kans om gepakt te worden is ongeveer nul.

Onmogelijk niet, moeilijker wel.

Vergelijkbaar met dat een gemeente vergunningen afgeeft, kun je een "trusted third party" op min of meer betrouwbare wijze de identiteit van de eigenaar van, en dus verantwoordelijke voor, een domeinnaam (een wereldwijd uniek identificerend gegeven) laten vaststellen.

Dat kun je implementeren met bijvoorbeeld een "Thuiswinkel Waarborg" op een website. Als je daarop klikt moet jouw browser worden doorgestuurd naar een pagina op https://thuiswinkel.org (let op dat die domeinnaam exact klopt en https:// gebruikt wordt). Die pagina moet weer exact terugverwijzen naar de website waar je net vandaan kwam. Je kunt ook op https://thuiswinkel.org zoeken naar "hema" en zo https://www.thuiswinkel.org/leden/hema-nl/certificaat/ vinden.

Nb. helaas met een http:// link naar de website van de HEMA; stel je browser in op "alleen https" (zoals ik beschreef in https://security.nl/posting/840236 punt 9). Er staat ook niet bij met welke betrouwbaarheid de identiteit van de handelaar is vastgesteld (hoe groot is de kans dat thuiswinkel.org gefopt is, of (nog) niet weet dat een domeinnaam ondertussen in foute handen is gevallen, zie bijv. https://security.nl/posting/833217).

In zo'n geval koppelt thuiswinkel.org de offline wereldwijd uniek identificerende gegevens van een handelaar aan een online domeinnaam (een eveneens wereldwijd uniek identificerend gegeven waaruit je helemaal niet af hoeft te kunnen keiden wie de (huidige) offline eigenaar is, zoals in het geval van security.nl).

Natuurlijk kan zo'n domeinnaam wel een bepaalde reputatie opbouwen (zonder dat je precies hoeft te weten wie de eigenaar is), maar als iemand binnenkort een website zou bouwen en daar een domeinnaam als werkenbijsecurity.nl aan zou koppelen, dan zegt dat helemaal niets over een mogelijke relatie met security.nl (in tegenstelling tot werkenbij.security.nl of werken.bij.security.nl).

Ik begin (nog) maar even niet over X.509 certificaten.

Dank Erik.
Ik kan me voorstellen dat big tech belang kan hebben bij het in stand houden van de huidige opzet van internet, maar er zijn genoeg andere stakeholders met andere belangen. Om de een of andere reden lijkt het probleem (het misbruik) niet urgent genoeg om te worden aangepakt op een fundamentele wijze. Blijkbaar zijn burgers, bedrijven, banken en wetgevers onvoldoende gemotiveerd. Dat kan zijn omdat er geen urgentie wordt gevoeld of omdat er geen technische of realiseerbare oplossing is. Waarschijnlijk speelt ook mee het idee dat internet voor de vrije geesten is die niet gehinderd willen worden door enige regelgeving. Toen ik mijn domeinnaam liet registreren vond ik het ook wel makkelijk om betrekkelijk anoniem te blijven. Dus terug naar de techniek, is er een internet 2.0 te bedenken waar misbruik traceerbaar is naar een individu of bedrijf? Enkele discussiepunten:
Als elke domeineigenaar geregistreerd moet zijn in het land van vestiging (blijkend uit de landcode bv .nl) en domeinnamen kunnen enkel een landcode hebben dan kun je elk misbruik traceren naar de landelijke “registratie autoriteit”. Als die niet voldoende ingrijpt blokker je in het uiterste geval het land. Dit betekent bv geen booking.com maar booking.nl of booking.com.nl. Dit heeft natuurlijk veel organisatorische en politieke consequenties maar ik ben benieuwd of dit technisch haalbaar zou zijn.
Is er aan andere manier om internet fundamenteel te verbeteren?
Is het technisch mogelijk om internet 1.0 en internet 2.0 naast elkaar te laten bestaan. Met internet bedoel ik niet internet 1.0 plus extra beveiliging (wat dweilen met de kraan open is) maar een fundamenteel veiligere versie qua ontwerp.

De meeste mensen zien een webpagina die zij herkennen, of die er betrouwbaar uitziet, en kijken niet eens meer naar de domeinnaam. Logisch, want vaak zeggen domeinnamen helemaal niets over wie de eigenaar is (voorbeeld: https://zowerktfraude.nl).

Of mensen snappen niets van "hiërarchische" domeinnamen, kijken er onvoldoende goed naar (zie hieronder) of worden misleid met tussengevoegde streepjes (al dan niet i.p.v. punten), of door IDN's (International Domain Names, bij interesse zoek naar IDN phishing).

Voorbeeld: login·microsoftonline·cn·com

(Ik heb elke '.' vervangen door een '·' om onbedoeld openen te voorkómen).

Te zien in: https://crt.sh/?q=microsoftonline.cn.com
Subset: https://crt.sh/?Identity=login.microsoftonline.cn.com&match=LIKE

Nb. crt.sh is een website van Sectigo, een CA (Certificate Authority). Op die website kun je nagenoeg alle (van de afgelopen jaren) uitgegeven certificaten zien (van alle certificaatuitgevers) - op basis van "Certificate Transparency".

Uit https://www.cn.com/index-en.html:

Op dit moment laat https://microsoftonline·cn·com mijn browser, met Javascript uit, een lege pagina zien (de website heeft inderdaad een Let's Encrypt certificaat, dat ik Microsoft nog nooit heb zien gebruiken voor haar websites). Als ik Javascript aanzet wordt mijn browser doorgestuurd naar https://login.live.com/ (met Digicert certificaat).

Hoogstwaarschijnlijk checkt Javascript code op die website of je interessant genoeg ben als slachtoffer (zo niet dan word je doorgestuurd naar een echte Microsoft website).

Overigens, waarom de vele domeinnamen, waaronder live.com en microsoftonline.com, van dezelfde eigenaar zouden zijn als van microsoft.com, ontgaat mij.

Er is ooit een poging gedaan voor "betrouwbare domeinnamen" met het .trust TLD (Top Level Domain), maar dat is geflopt - waarschijnlijk omdat vertrouwen iets is dat moet worden opgebouwd en/of door een al wél betrouwbare derde partij moet worden bevestigd, en daarvan was hierbij geen sprake.

Bovendien waren dergelijke domeinnamen prijzig, en toen dat TLD werd ingevoerd, werd de betrouwbaarheid (van de identificatie van de eigenaar van de domeinnaam) nog bevestigd middels specifieke types https servercertificaten.

Nb. dat systeem (https servercertificaten die iets toevoegen) heeft big tech bewust gesloopt, deels omdat het voor een deel van de gebruikers niet goed werkte, maar vooral omwille van financieel gewin. Zonder een alternatief wél betrouwbaar systeem te introduceren.

Daarmee heeft big tech het internet opzettelijk onveiliger gemaakt (in elk geval voor mensen die certificaten wél inspecteren om, met enige zekerheid, vast te stellen wie de eigenaar is van een domeinnaam).

Domeinnamen zijn nu niets anders meer dan, aanvankelijk nietszeggende en vaak misleidende, pseudoniemen of aliassen: tenzij je zo'n alias exact herkent heb je er helemaal niets aan.

Daarom denk ik niet dat de oplossing in domeinnamen gezocht moet worden.

Ja, in elk geval kan het kan m.i. véél beter dan het nu is, waarbij onbetrouwbaar en (op z'n minst) traceerbaar gewoon naast elkaar kunnen bestaan.

Ik kom hier binnenkort op terug in een nieuw topic.

Of op domain namen of extensies filters werkt niet, of je maakt hem zo lang, dat het niet op je scherm past.
Daarnaast m1crosoft of mlcrosoft, microsofl blijken veel veel gebruikers gewoon allemaal hetzelfde.Nog zonder de extensie er bij.
En laat de browser nu juist steeds meer de domain naam proberen te verbergen.

Dit is al het geval voor een aantal domein extensies, zoals EU, moet je in de EU zitten. Maar hoe zie jij .info .shop, .com .tv voor je?

Kijk eens naar de implementatie van IPV6. Daar heb jij je antwoord eigenlijk al.

Ik zweer voorlopig bij de (rabo) scanner. Er zijn phishing scenario's te bedenken waarmee ook hiermee kan worden ingelogd door een fraudeur als de nep site na uitvraag van de pasgegevens een via de echte bank site verkregen legitieme kleurcode kan presenteren, maar voor een overboeking daarna vraagt de scanner expliciet en dwingend of het bedrag en ontvanger klopt. Per ongeluk een transactie accorderen is daarmee veel onwaarschijnlijker en het bedrag is gelimiteerd.
Het advies om niet op een link te klikken is waar maar dat wordt wel ingewikkeld als diverse legitieme bedrijven (denk aan telecomproviders, energiebedrijven en facturatiebedrijven) SMSjes en emails aan klanten sturen met links. De gemiddelde burger kan dus slecht getraind worden. Ik begreep half dan Bunq ook SMSjes stuurt met links (maar dat kan ik verkeerd hebben).
Dit is de huidige situatie en dweilen met de kraan open. Maar als een Nederlandse registrar het domein www...rekening-verificatie-bu-nq[.]nl toekent en de aanvrager zich sluitend en overtuigend heeft geregistreerd (vergelijk het met hoe een notaris vaststelt met wie hij/zij te maken heeft) dan is misbruik via dat domein traceerbaar naar een individu, toch? En katvangers ronselen voor dit proces wordt al een stuk lastiger.
Registratie werkt blijkbaar niet afdoende (zie boven). Het probleem van gehackte infrastructuur kan ik technisch niet doorgronden. Is dit een omzeilbaar probleem?
Ik denk dat betrouwbare domeinnamen (als dat de technische oplossing zou zijn) wettelijk afgedwongen zouden moeten worden. Volgens mij werken registrars nu op een best effort basis en goede bedoelingen en dat werkt niet (meer).
Als je enkel een registrar per land hebt is dat het einde van .com .shop etc. Je kunt wel per land een com, gov org etc hebben. Dus bijvoorbeeld niet apple[.]com maar apple#com[.]us of apple[.]com[.]us. Eigenlijk zoals bv de Britten hun extensies schrijven bv ons[.]gov[.]uk . Ik weet het niet zeker, maar ik mag aannemen dat de Britse overheid boven op elke vorm van misbruik van deze extensies zit. En een registrar zou dus geen bu-nq[.]nl moeten accepteren.
Die moest ik even opzoeken ;-) en begrijp dat dit vooral een kwestie was van meer adressen mogelijk maken. Het idee achter de vraag is of je geleidelijk int 1.0 zou moeten uitfaseren en onmogelijk maken om enkel het veilige int 2.0 over te houden.Dat veronderstelt wel dat internet 2.0 structureel (qua ontwerp) veiliger is. Of zijn we gedoemd verder te prutsen met add ons?