Alhoewel CloudFlare vaak gewithelist wordt,
wordt er door deze CDN's nog veel misbruik gedoogd.
Kijk maar eens bij ip rapportage sites.


Het verbaast me dus niet in de digitale graaiwereld.

Ik zou er niets bestellen. Taalfouten, prijzen veel lager dan op de ‘echte’ website, fouten in de broncode, jquery v1 wordt gebruikt. Bij registratie kan je kiezen uit heel veel landen buiten Nederland, betalen via CC, maar niet via iDeal. Domeinnaam is onlogisch. Dit is een oppervlakkige scan die 5 minuten heeft gekost. Leuke site wel, goed gevonden.

Met dank aan cloudfare is bestellen onmogelijk: "Sorry, you have been blocked You are unable to access bedrocksandals-nederland.com".

Deze webpagina kan een hele reeks checks in één handeling uitvoeren:
https://check.veiliginternetten.nl/
Voor de genoemde site levert dat op:
https://check.veiliginternetten.nl/controleer/bedrocksandals-nederland.com
Het geeft op allerlei punten scores in de vorm van rood, geel of groen af. Eén score is rood: iets dat IPQS (IP quality score) heet markeert ze als verdacht voor malware of phishing. IPQS zelf geeft geen malware of phishing aan, geeft als overall score "low risk", maar meldt wel "reputation issues and potentially malicious activity":
https://www.ipqualityscore.com/threat-feeds/malicious-url-scanner/https%3A%2F%2Fwww.bedrocksandals-nederland.com%2F

Iets waar ik altijd op let bij bedrijven die zich als Nederlands voordoen is de KvK-inschrijving. Veiliginternetten geeft daar de kleur geel aan, omdat de domeinnaam niet bij KvK is geregistreerd. Op https://www.kvk.nl/zoeken/ kan je wat verder kijken. Al laat KvK zonder betaling maar heel weinig zien, KvK-nummers, namen en adressen hoor je wel te vinden (hoewel eenmanszaken thuisadressen kunnen afschermen). "Bedrock Sandals" vind je daar niet, "Bedrock" alleen geeft meerdere hits, waarvan er niet één zichtbaar iets met sandalen te maken heeft. Merk op dat je in dat formulier ook op adres kan zoeken. Als je van een bedrijf wel een adres maar geen KvK-nummer vindt heb je dus iets om heel gericht mee te zoeken.

Ik heb op de Bedrock-website zelf gekeken (met JavaScript uit) en helemaal onderaan de pagina linken ze naar "Over Ons" en "Contact". Daar gaan mijn alarmbellen stevig af, want ik zie geen KvK-nummer en geen adres, terwijl het niet zo'n website is waar zonder Javascript helemaal niets verschijnt. Ik koop nooit iets bij een bedrijf dat het nodig vindt om geheim te houden waar ze zelf te vinden zijn.

Ook een leuk detail: bij "Betaalmethodes" hebben ze het over "je favoriete Nike schoenen en gear", op een website voor een ander merk dan Nike. Er zijn legitieme zaken met een website per merk of soort product, maar toch.

Verder valt aan de teksten op die site op dat ze in de meeste Elk Woord Met Een Hoofdletter Schrijven. Er is heel wat slecht Nederlands te vinden op het web, maar webwinkels zijn meestal vrij goed en deze variant van slecht Nederlands is nogal ongebruikelijk. Nog een indicatie dat het niet echt een Nederlandse site is. Draai dit niet om: als een site er goed uitziet en het Nederlands goed is garandeert dat geen donder, er zijn oplichters die webpagina's kunnen maken en het Nederlands goed beheersen.

Verder heeft de politie heeft een voorziening om handelspartijen te controleren:
https://www.politie.nl/aangifte-of-melding-doen/controleer-handelspartij.html
Daar komen (op dit moment) geen meldingen over deze website uit, maar dat kan betekenen (en dat geven ze ook aan) dat het aantal meldingen te laag is om zeker te kunnen zijn dat het oplichters zijn.

Ik zou op basis hiervan niets bij deze site bestellen, er gaan de nodige alarmbellen af.

whois data opvragen, en kijken wanneer de site gemaakt is worden zou ik zeggen.

Er staat geen keurmerk op de site, geen KvK gegevens en geen vestigingsadres. Ik zou er dan ook niet aan beginnen.

Lijkt mij geen zuivere koffie.

De bedrijfswebsite is te vinden op https://bedrocksandals.com/ en daar kun je voor Nederlands kiezen. Site taal blijft Engels. Daar staan wel adresgegevens etc.en meerdere betaalvormen, zoals bijvoorbeeld PayPal.

De door jou aangehaalde website bestaat slechts 2 maanden en geeft geen adresgegevens, kvk etc. en daar wordt wel de Nederlandse taal weergegeven. Slecht 2 betaalvormen, waarbij je jouw creditcard gegevens moet invoeren.

Voor jij voelt deze site niet goed.

Onzin URL.
Deze nep url is geregistreerd via een Chinese hosting provider.

Bedrock sandals heeft gewoon een url https://bedrocksandals.com zonder landen toevoeging. Eenvoudig te checken trouwens, want de originele, echte, Amerikaanse site biedt als enige de speciale Trump edition: een set van twee rechter exemplaren.

De vraag is nu: wat gebeurd er als je toch bij de Chinese site besteld? Krijg je het niet geleverd of krijg je de inferieure, door kinderhandjes gemaakte, sandalen?

Je krijgt naar alle waarschijnlijkheid niet de Amerikaanse degelijke versie.

De eerste regels (ongewijzigd door mij) uit de VT (VirusTotal) pagina die ik noemde:
Het eerste certificaat ooit voor genoemde domeinnaam is aangevraagd op 20 mei 2024, zo te zien 1 dag na het aanmaken van het whois record.

Nog zo'n site, https://bedrocksandals.com/, zit ook achter CloudFlare (op een IP-adres met twee voor dat IP-adres waarschuwende virusscanners, zie https://www.virustotal.com/gui/ip-address/23.227.38.32/detection), eveneens met DV certificaat en geen zinvolle identificerende gegevens van de eigenaar: https://www.virustotal.com/gui/domain/bedrocksandals.com/details.

Maar ik zie nog geen antwoorden op het eerste deel van mijn vraag: "is https://www.bedrocksandals-nederland.com (*) nep of echt, en hoe kom je daar achter?"

@Anoniem 27-07-2024, 22:44 : mooie analyse! Iets dat geen enkele virusscanner (met al hun "heuristics" en AI, volg bijv. de "Domain registrar url" uit mijn vorige reactie) lukt. En ook Cloudflare zelf niet; het maakt hen duidelijk niks uit op welke wijze hun klanten aan het geld komen waar zij Cloudflare mee betalen - als zij maar betalen.

Maar het is geen bewijs dat het een nepsite is. Ook https://www.checkjelinkje.nl en https://www.politie.nl/aangifte-of-melding-doen/controleer-handelspartij.html/ zien geen problemen.

Er zijn zat andere, al dan niet echte, sites die net zo'n zootje zijn.

En steeds meer Nederlanders krijgen -ongevraagd- een bankpas waar zij (onverzekerd) online mee kunnen betalen (https://www.nu.nl/economie/6321081/met-je-nieuwe-pinpas-kun-je-ook-online-betalen.html) en je kunt (neem ik aan, niet gecheckt) bij bijvoorbeeld Shein, Temu en AliExpress ook niet met iDEAL afrekenen.

Zien anderen nog meer aanwijzingen voor nep of echt? De site ziet er best mooi uit en volgens VT ziet geen enkele virusscanner er een probleem in!

Ik zie meer goede reacties (vrijgegeven door de moderator) met duidelijke aanwijzingen. Dank!

Aanvulling: https://check.veiliginternetten.nl/controleer/bedrocksandals-nederland.com:

Ok laat ik hier even op reageren:
"Taalfouten, prijzen veel lager dan op de ‘echte’ website": dat zijn heel goede aanknopingspunten dat iets nep is.
"fouten in de broncode, jquery v1 wordt gebruikt": dat zegt daadwerkelijk helemaal NIKS, zowel in positieve als negatieve richting.
Een volkomen legitieme website kan die eigenschappen hebben, en een nep site kan aan al jouw IT dromen voldoen.
Dus geef dat soort dingen niet als reden om te concluderen dat iets nep is, je zet mensen er gewoon mee op het verkeerde been.

Dus als ik de reacties lees hierboven, ben je eigenlijk met online kopen je leven al niet meer zeker.

Wie garandeert je dat een website niet cloakt, phist of op andere manieren de kluit belazert.

Als Big Tech maar aan haar geld komt, maakt het de meeste graaiers ook al geen moer uit,
de klant is het product, beschouwd als een noodzakelijk kwaad in het geheel tot een (vaak niet zo edel) doel.

TRUST, bestaat het nog?

luntrus

Oplichters zijn van alle tijden. Ook toen het internet nog niet bestond.

Als je wat over oplichtingsvormen wilt leren, kijk dan eens naar een TV-serie als "Hustle" of lees een manga als "Kurosagi" (Black Swindler)


Ik zou hoe dan ook een site die pas zo kort bestaat, pretendeert Nederland als verkoopgebied te hebben (maar geen Ideal, KvK nummer, of zuiver Nederlands gebruikt), links laten liggen.
Als het een echte site is, dan zullen ze beter hun best moeten doen.

Dan kun je beter via een betrouwbaardere site gaan shoppen.
Of voor een ander merk sandalen gaan.

Vwb de vraag van Erik:
Het inschatten of een website echt of nep is, is tegenwoordig steeds vaker een gevoel ipv een echt bewijs. De oplichters worden steeds beter in hun namaak. En dan val je terug op de kleine onvolkomen heden (zoals Ideal, KvK, taalfouten, geen zichtbaar en controleerbaar adres).

Paranoia is je vriend in zo'n geval.


Ik val steeds vaker terug op een keuze-model, zoals:
- Heb ik het echt nodig?
- Zo ja: kan ik het ook ergens anders kopen (op een site die ik wel ken)
- Kan ik anders heel goedkoop iets bestellen als test
- Kan ik daarbij mijn cc vermijden (Paypal, Ideal, etc)

Maar ik koop dan ook weinig spullen bij onbekende websites. Kleding liefst fysiek. (en maar 1 keer per jaar).
epubs oid wil ik nog wel eens kopen bij voor mij onbekende websites. (internationaal)
En dan alleen als er geen drm zit op het bestand, of het niet opgeborgen zit in een gesloten ecosysteem. (en met bovenstaande testjes uitgevoerd)

Titel 'Met je nieuwe pinpas kun je ook online betalen'. Echter in dat stukje lees je dan weer niet hoe dit werkt. (ligt dit aan mij dat ik dit heel raar vind?)
Onlangs een nieuwe pas gekregen van de Rabobank, ook daar wordt hier niets over gezegd (ontbrak wel aan meer essentiële informatie in de bijbehorende brief).
Hoe werkt dit principe dan? En zou je dit kunnen uitschakelen? (contact met mijn bank neem ik niet op, extreem lang wachten in de chat en aan de telefoon, geen mailadres en contactformulier meer, daarnaast antwoorden krijg je niet)

Duitse invulling DSA: DDG
De Duitse wetgeving DDG (Digitale-Dienste-Gesetz [1], de Duitse invulling van de Europese DSA = Digital Services act [2]), is van kracht geworden op 14 mei 2024.

Die Duitse DDG vereist [3] dat ook websites die diensten aanbieden op de Duitse markt, een Impressum [4] hebben - waarin duidelijk vermeld wordt wie de (juridisch verantwoordelijke) aanbieder is van de dienst.

[1] (Duitstalig) https://de.wikipedia.org/wiki/Digitale-Dienste-Gesetz

[2] https://nl.wikipedia.org/wiki/Verordening_digitale_diensten

[3] (Duitstalig) https://de.wikipedia.org/wiki/Impressumspflicht

[4] https://nl.wikipedia.org/wiki/Impressum

"Fakeshop-Finder" van de Verbraucherzentrale
De website van de Duitse "consumentenbond" biedt een dienst aan die een inschatting maakt van de betrouwbaarheid van een website, de "Fakeshop-Finder". Deze dienst [5] probeert ook vast te stellen of een Impressum aanwezig is op de onderzochte website.

[5] https://www.verbraucherzentrale.de/fakeshopfinder-71560

Beide volgende domeinnamen krijgen van [5] een score "oranje":
1) bedrocksandals-nederland.com
2) bedrocksandals.com

Die tweede site, waarop je "Germany" kunt instellen (maar Engelstalig blijft) heeft volgens [5] (in tegenstelling tot de eerstgenoemde site) wél een Impressum en lijkt langer dezelfde eigenaar te hebben, maar er is kennelijk voldoende aanleiding om ook een score "oranje" te geven, een stukje uit [5] voor 2):

Zo'n (door de website-eigenaar zelfgeschreven, en op nepsites niet door een onafhankelijke partij geverifieerd,) Impressum biedt geen garantie dat er geen identiteitsfraude plaatsvindt. Echter, het kán een extra drempel opwerpen voor cybercriminelen die de boel belazeren met identificerende gegevens van een bestaande persoon of bedrijf: zodra boze klanten gaan klagen bij de geïmpersoneerde "eigenaar", is de kans groot dat die laatste aangifte doet, zal er mogelijk "harder" worden gezocht en indien de daders worden "gepakt", is de kans groot dat de strafmaat hoger zal uitpakken.

M.a.w. zo'n Impressum kán "wat betrouwbaarheid" toevoegen, mits internetters zich bewust zijn van hun risico's bij aannames op dit punt.

Wat vinden jullie van die Duitse wet, en waarom zou iets vergelijkbaars niet verplicht zijn gesteld in Nederland (wellicht stemmen bij elke verkiezing teveel mensen op politieke partijen die vooral ondernemers uit de wind houden) of geeft dit alleen maar schijnveiligheid?

Nou daar heb je vrij weinig aan.

ikea.nl komt niet door die check heen, Hornbach.nl ook niet (onverifieerbaar BTW nummer), intratuin.nl ook niet (Er is een contactpagina gevonden, maar de adresgegevens van de operator konden niet automatisch worden verkregen) en Pearl.nl ook niet (Er is een contactpagina gevonden, maar de adresgegevens van de operator konden niet automatisch worden verkregen)

Misschien moeten we terug naar de basis.

Wanneer vindt je een webshop niet betrouwbaar?

Is dat:
a/ als je je goederen niet geleverd krijgt, of
b/ de webshop niet geheel volgens de AVG of GDPR omgaat met je persoonsgegevens, of
c/ de webshop je creditcard of andere betaalgegevens niet veilig opslaat?

En waarom blijven we hangen en checken op een volmaakte technische oplossing en gaan we niet gewoon terug naar vroeger (alleen bedrijven kunnen een url aanvragen bij een domeinhouder)

Ga ook jij nou al lopen aantonen dat dergelijke sites onbetrouwbaar zijn? Is dat omdat het een site bedoeld is voor de Duitse markt? Is de vrije Europese markt een illusie? En/of faalt de DSA?

Maar waar het mij om ging was dat Duitsland een Impressum vereist en Nederland niet.

(*) Als ik niet weet hoe groot de kans is dat ik belazerd word. Dat begint met onvoldoende zeker weten wie de eigenaar is en waar deze gevestigd is. En ik dus niet te weten kan komen wat diens reputatie is, hoe erg die eigenaar reputatieschade zal vinden, hoe groot de pakkans is als die eigenaar (of door hem/haar ingehuurde derde partijen) mij belazert, hoe groot de kans is dat imand of iets mijn schade zal compenseren, en hoe groot de strafmaat zal zijn. Kort: hoe groot mijn risico is als ik zo'n site bezoek, informatie daarop vertrouw, gegevens deel en geld besteed.

Op z'n minst om de volgende redenen:

1) Omdat DNS niet alleen bestaat voor domeinnamen van websites;

2) Omdat de meeste internetters niet weten dát, en waarom zij op domeinnamen (en niet bijvoorbeeld prominent aanwezige logo's) moeten letten. En de meesten van degenen die dat wél weten, geen idee hebben hoe zij domeinnamen moeten interpreteren - noch wat IDN's zijn. En omdat je niet van mensen mag verwachten dat zij volledige domeinnamen exact (100% foutloos) kunnen onthouden (vooral niet als organisaties meerdere, ongerelateerde, domeinnamen gebruiken);

3) Omdat een domeinnaam slechts een -vaak tijdelijke- (potentieel random) alias is (zoals een telefoonnummer) voor de gangbare identiteit van een entiteit. Een vereiste is dat de volledige (voor mensen begrijpelijke) beschrijving van de identiteit eenvoudig te vinden én betrouwbaar is. Steeds meer domeinnamen (zoals tikkie.me) zeggen immers niets over die (juridische) identiteit van de eigenaar noch over diens vestigingsland (.me is van Montenegro). Concreet: omdat domeinnamen geen enkele zekerheid hoeven te bieden m.b.t. (*);

4) Droom verder - vooral als je weet hoeveel nietszeggende TLD's (voorbeeld: [6]) en vooral (met gesloten ogen geld verdienende) "onderverhuurders" er zijn. Deze geest krijg je nooit meer in de fles, en bovendien verwar je (voor de zoveelste keer) identiteit met authenticiteit.

[6] Vreselijke site, als je het aandurft druk dan onder "Claim both sides of the dot" op een item zoals "Healthcare": https://identity.digital. Trouwens een domeinnaam die ik had onthouden (sorry, I'm human) als digital.identity - maar die resolvde zojuist nog niet.

Ik begrijp je op zich best.

Wat ik alleen niet zo goed begrijp is dat je probeert mensen bewust te maken hoe ze een schadelijke site kunnen ontdekken binnen alle misleidende URL's, en dan deze wending komt. Als ik mij voordoe als een gemiddelde internetter jas ik ook allerlei NL webshops door die Duitse checker. Zelfs hier op security.nl zijn de onderlinge verschillen al enorm. Alsof je alleen maar veilig kunt bankieren op CubeOS en vooral geen gebruik moet maken van OSX of Windows.

Zelfs als je alles rondom TLDs en certificaten en certificaat uitgiften goed hebt geregeld, gaat dit niet hepen. Criminelen vinden daar wel weer een weg in en pas dan is het leed niet meer te overzien.

Het is (in Nederland) fout gegaan vanaf het besluit in 2003 dat alles met een hartslag een .nl domein mocht aanvragen. Dat besluit destijds genomen door mensen die vonden dat het internet een 'vrije' plek moest worden. Net zoals dat er nu groepen zijn die vinden dat alles en iedereen maar op een Linux variant moeten gaan werken. "Want dan kijkt de overheid niet mee"

Dus de vraag wat we nu eigenlijk verstaan onder internetveiligheid is legitiem. Het begrip "veilig" wordt door heel veel mensen heel anders geïnterpreteerd.

Begin eens met een check hier: https://isitcloaked.com/

"Page as seen by Googl3" is hier helemaal blanco

Een site die wat anders toont aan Googlebot dan aan Google, kan ook op andere wijze onbetrouwbaar zijn.
checked
luntrus

Cloaking is het tonen van verschillende content tussen een crawler en een bezoekers. Bij cloaking is er echter niet altijd sprake van spam, pornografisch materiaal of frauduleuze content. Cloaking wordt soms namelijk ook gedaan om de pagina voor de gebruiker juist gebruikersvriendelijker te maken. Een pagina wordt vaak zo ingericht en content op zo’n wijze geschreven, dat het belangrijke zoektermen bevat voor de crawler, maar tegelijkertijd minder prettig leesbaar wordt voor de menselijke bezoeker. Door cloaking krijgt de zoekmachine alsnog de zoektermen te zien, alleen zal de bezoeker nu tekst te zien krijgen dat makkelijker leesbaar is. Of wanneer een pagina volledig in flash gebouwd is, is dit voor de bezoeker goed te begrijpen. Een crawler zal echter een stuk meer moeite hebben om de pagina te begrijpen. In zo’n geval krijgt de crawler dus HTML code voorgeschoteld.

Dat een site hoog of juist laag in zoekresultaten voorkomt, zegt helemaal niets over veiligheid.

Daar is ook geen eenduidig antwoord op.

Iedere site is anders. Je kunt wel op generieke kenmerken checken en daarvoor een hoop van de antwoorden hier als handvest nemen. De punten hieronder zijn op zichzelf geen knockout criteria maar gestapeld leveren die wel een beeld op.

- Is de site erg nieuw? (slechte indicate)
- Heeft de site herleidbare keurmerken?
- Zijn de prijzen logisch? (hele lage prijzen kunnen wijzen op zwendel)
- Zit er tijddruk op de aankoop? (uitingen als "alleen vandaag 80% korting!" )
- Is de site goed opgezet en geeend op NL publiek? Denk Nederlands, ideal betaling
- Heeft de site een SSL certificaat?
- Is het certificaat uitgegeven door een bekende uitgever?
- Staat er een herleidbaar adres op de site?
- Staat er een herleidbaar kvk nummer op de site?
- Is de eigenaar van het bedrijf achter de kvk info bekend als oplichter?

Je kunt een deel van bovenstaande zaken checken via o.a. https://veiliginternetten.nl/

In het geval van de door jou opgegeven site tikt deze voor mij teveel negatieve boxen aan om hier een bestelling te plaatsen.

Een uitgebreide reactie die ik nu pas zie:
In dit geval geeft die laatste checksite inderdaad een verstandig advies. En https://www.ipqualityscore.com/threat-feeds/malicious-url-scanner/https%3A%2F%2Fwww.bedrocksandals.com%2F geeft "groen" - terwijl de Duitse checksite die ik noemde, voor beide "oranje" afgeeft.

Ik heb nog niet gezocht naar nepsites die ook groen licht krijgen van deze checker, maar die zijn er ongetwijfeld.

Het probleem blijft m.i. dat je kunt zoeken naar allerlei onbetrouwbare indicatoren, maar als een al langer bestaande domeinnaam, waar nooit iets (of al geruime tijd niets) op aan te merken viel, wordt "gekocht" (feitelijk gehuurd) door een cybercrimineel, de énige indicator daarbij de wijziging van de tenaamstelling is - een hartstikke onbetrouwbare indicator. Er zijn ook betrouwbare nieuwe webshops, en de eerste site die ik noemde is al ruim twee maanden online - kennelijk zonder klachten.

Als zo'n (onbetrouwbare) indicator onvoldoende opweegt tegen de andere, positieve, indicatoren, heb je pech. Ik wil weten van wie een website is en in welk land die eigenaar geregistreerd staat - ongeacht hoe lang een domeinnaam op iemands naam staat.

Recentelijk zag ik op https://www.virustotal.com/gui/ip-address/91.195.240.19/relations (één van de IP-adressen van SEDO = "Search Engine for Domain Offers") grote aantallen, vermoedelijk door registrars gegenereerde domeinnamen voor sportsites ("toevallig" samenvallend met het begin van de Olympische spelen) "voorbijkomen". Een kleine selectie daaruit (van links naar rechts: datum gescand, aantal virusscanners dat aanslaat en de domeinnaam):

Dat is prima, en ook zijn op .nl eindigende domeinnamen (niet te verwarren met domeinnamen eindigend op bijvoorbeeld .nl.com of .nl-----------whatever.pages.dev ) vaker van betrouwbaarder partijen dan andere TLD's, maar ook dat is slechts een onbetrouwbare indicator - die je op het verkeerde been kan zetten en waar je geen enkele (juridische) garantie aan kunt ontlenen.

Bovendien hebben heel veel website-eigenaren (ook Europese) géén KvK-inschrijvingsnummer: wel daadwerkelijk ingeschreven staan bij de KvK zegt met grote zekerheid iets over de identititeit (maar geeft geen garantie op de betrouwbaarheid) van een entiteit en is m.i. een minimale vereiste.

Maar denk je zelf dat dit soort, bijna forensisch, speurwerk iets is dat je kunt verwachten dat de gemiddelde internetter doet of zelfs weet hoe hij/zij dat zou kunnen doen?

Er zijn zo ontzettend veel van dit soort tips die vaak niet, of tot een onjuist, resultaat kunnen leiden. Je moet verstand van zaken hebben en geoefend zijn om er betrouwbare resultaten mee te verkrijgen.

Terecht. Maar wat als zij daarover zouden liegen? Ook dat gebeurt vaak genoeg.

Ah, die had ik nog niet gezien. Helaas zie ik website-bouwers vergelijkbare fouten maken op legitieme websites. Het is een indicator, niet een door een door jou vertouwde partij op echtheid gecheckte informatie.

Dat was mij dan weer wel opgevallen.

Precies.

Maar ook dit zal door iedereen die daar gebruik van maakt, gezien worden als een, qua betrouwbaarheid overschatte indicator. En precies dát maakt dat de vele checksites an sich risico's opleveren - indien gebruikers ervan enige waarde hechten aan "groen" - dat meestal "wij hebben geen enkel idee" betekent.

Voor jou wel, voor veel internetters zal dat niet zo zijn - vooral niet als zij niet op de hoogte zijn van het gigantische aantal nepsites (met voortdurend wijzigende domeinnamen om blocklists vóór te blijven) op internet - waarvan zij zich, m.i. redelijkerwijs, niet eens kunnen voorstellen dat (laat staan bedenken waarom) de partijen, die ondertussen op internet "de lakens uitdelen", dit niet alleen niet bestrijden, maar ordinair ondersteunen - omdat zij er vet aan meeverdienen.

Vergelijkbaar, dat wapenfabrikanten of -verkopers claimen dat niet zijzelf de trekker overhalen, en idem als harddrug-criminelen claimen dat niet zijzelf eindgebruikers zijn, helpt geenszins bij het oplossen van grote, direct daaraan gerelateerde, maatschappelijke problemen. Vooral niet als dergelijke partijen bulken van het geld om mee te lobbyen en/of omkopen en/of infiltreren in overheidsinstanties.

M.i. is ook wat Big Tech, puur uit winstbejag, gedoogt en zelfs faciliteert, ronduit staatsondermijnend - d.w.z. in strijd met rechtvaardige en voor iedereen fatsoenlijk leefbare maatschappijen.

Dit is wel inherent aan de vrije wereld. Als alles en iedereen wordt gecontroleerd door instanties, heb je meer zekerheid, maar ook eenminder vrij leven. Kortom, je moet altijd zelf op zoek naar indicatoren van legitimateit.

Het principe is dat er op zo'n pas een 16-cijferig creditcard nummer staat inclusief expiration date en 3-cijferige CVV.
Daardoor kun je op plekken waar je "met creditcard kunt betalen" met die gegevens een betaling doen.
Als je niet wilt dat je verloren pas misbruikt kan worden dan kun je de CVV wegkrassen. Evt na die zelf ergens opgeschreven te hebben zodat je hem zelf nog wel hebt.

Ik ken mensen die ik er niet toe in staat acht, en ook die het wel zouden kunnen maar die het teveel moeite vinden. Maar dit is wel mijn antwoord op de vraag die je stelde. Voor ik iets koop op een website die ik nog niet ken kijk ik wel degelijk hiernaar. Ik kan alleen maar hopen dat er mensen zijn die het wel kunnen bevatten voor wie het iets toevoegt.

Wat een kul. Het barst op internet van de websites van ordinaire oplichters. Dat kost de samenleving, het ene individu meer dan een ander - maar uiteindelijk alle mensen die zich aan de wet houden, absurd veel geld.

En dat is precies het probleem. Misschien niet voor jou, maar wel voor de meeste internetters.

Nog meer kul. Het volgende is ouder dan de weg naar Rome:

• Als verkopende partij V zaken doet met koper K, en K niet meteen "betaalt" (op welke wijze dan ook V volledig compenseert), zal V exact willen weten wie K is - zodat V diens recht kan halen als K de door K gemaakte beloftes niet nakomt.

• Als koper K zaken doet met verkopende partij V, en V niet meteen levert, iets ondeugdelijks levert en/of op het uiterste overeengekomen moment nog niet geleverd heeft, zal K exact willen weten wie V is - zodat K diens recht kan halen (zoals de koopovereenkomst ontbinden en geld terugkrijgen) indien V de door V gemaakte beloftes niet nakomt.

Als je nog iets van iemand tegoed hebt, is het een logische en volstrekt legitieme reden om diens ware identiteit te kennen. En dat in de eerste plaats omdat het in het belang van oplichters is dat jij niet hun ware identiteit kent.

Privacy is een groot goed, maar soms zijn er belangrijker zaken.

Prima tip - om te voorkómen dat bijv. een camera het debit-nummer (niet te verwarren met het IBAN) en CVV opneemt. Immers, met die gegevens kan een kwaadwillende jouw rekening-courant geheel leegtrekken. En, als je rood mag staan, tot de limiet daarvan.

Omdat, in tegenstelling tot bij credit-cards (hoewel ook afnemend), jouw bank waarschijnlijk geen enkele aansprakelijkheid aanvaardt als jouw bankrekening geplunderd wordt nadat je jouw debit-nummer en CVV aan iemand anders hebt verstrekt, zoals deze te hebben ingevuld op een website (ongeacht of die site op dat moment betrouwbaar was, gehacked bleek, of die later gehacked werd waarbij de database gekopiejat werd waarin ook de CVV-codes blijken te zijn opgeslagen), is dit weer een "prachtig" voorbeeld van hoe banken stilletjes steeds meer van hun risico's naar hun klanten verplaatsen.

Dus, tenzij jouw bank jou belooft om jou fatsoenlijk te beschermen in zulke situaties: gebruik hooguit een debit-card van een extra bankrekening die je zo leeg mogelijk houdt en waarop je niet rood mag staan.

Op de debitcard van de bankrekening waar jouw inkomen op binnenkomt, is het vermoedelijk het verstandigst om het debit nummer en CVV onleesbaar te maken - na deze op een veilige plaats te hebben genoteerd (een foto op jouw telefoon is één van de onveiligste plaatsen die je kunt bedenken). Ik zou die getallen wel bewaren, want in elk geval ik kan niet voorspellen dat je die gegevens nooit meer nodig zult hebben.

Als lezers vinden dat ik hier een slecht advies mee geef, dan lees ik graag waarom!

en


Dat is absoluut geen kul, maar een uitgangspunt. Ik begrijp hieruit dat jij 'oplichting' verstaat onder een onveilig internet.
Dat ben ik zo met je eens, ook bij mij staat die vorm van onveiligheid ver boven alle andere zaken.


Inderdaad.

Daarom heb ik ooit altijd moeite met mensen van Suse en bv Squid-Cache. Als het aankomt op Proxy functionaliteiten dwepen ze met het bieden van anonimiteit van de eindgebruiker, maar zodra het aankomt op archivering lappen ze elke AVG/GDPR regel weer net zo hard aan hun laars.

Je kunt wat vinden over Google, Microsoft en Apple, maar dat soort Linux organisaties hebben net zo hard een dubbele standaard.

Dat is onzin, regels leveren ook vrijheid op. Zonder verkeersregels, zoals rechts houden, zit je binnen de kortste keren frontaal op een tegenligger die roekeloos hard rijdt (geen maximum snelheid) tegen de rijrichting in (of doe jij dat?) op dezelfde rijstrook als jij. Dat is totale vrijheid, en dat is totaal dodelijk. De hoge zekerheid dat je het verkeer overleeft als er regels gelden levert je de vrijheid op om te blijven leven en ook de vrijheid om een stuk sneller op je bestemming te zijn dan op een weg waar een lage snelheid een noodzaak is om heelhuids aan te komen.

Meer zekerheid staat niet altijd gelijk aan minder vrijheid, er zijn heel wat situaties waarin meer zekerheid juist samengaat met meer vrijheid.

Het valt mij in meerdere topics op dat je de sterke neiging hebt om elke indicator voor onbetrouwbaarheid als onzin af te doen omdat ze geen 100% zekerheid opleveren, of zelfs omdat de afwezigheid van die indicator niet automatisch betrouwbaarheid oplevert.

[*] Komt de naam van een bedrijf niet voor in een URL waar ze naartoe linken? Dat kan geen indicator zijn, want oplichters stoppen soms de naam van een bedrijf in een valse URL.
[*] Is een website van een professionele, commerciële partij zeer slecht geschreven? Dat kan geen indicator zijn, want een perfect geschreven website kan ook van een oplichter zijn.
[*] Spreekt de website over een heel ander merk dan waar de website voor is? Dat kan geen indicator zijn, want legitieme webwinkels gebruiken ook wel eens per ongeluk de naam van een concurrent.

Je lijkt behoorlijk aan het feit voorbij te gaan dat het beoordelen van betrouwbaarheid een optelsom is van verschillende indicatoren, die afzonderlijk misschien allemaal geen uitsluitsel opleveren, maar samen met elkaar een beeld schetsen op basis waarvan je kunt handelen.

Dit werkt niet anders dan in de echte wereld. Je arts zal ook niet zeggen dat het meten van je temperatuur onzin is, omdat je ook ziek kunt zijn zonder koorts te hebben en "koorts dus niets bewijst".

1. Dit betekent effectief dat de privé-gegevens van iedereen die een website heeft, automatisch openbaar zijn. Dat lijkt me niet per se een wenselijke ontwikkeling.
2. En dan weet je dat een domeinnaam geregistreerd staat op naam van één of andere willekeurige NV waar je nog nooit van gehoord hebt in Blaricum. En dan?

Die partijen leveren op internet een dienst die iedereen kan afnemen. Verwacht je dat internationale diensten die webhosting, domeinnamen, cdn's, SSL-encryptie, of DDoS-bescherming aanbieden van iedereen eerst een volledige achtergrond-check uitvoeren om te zien of zij van plan zijn iemand op te lichten?

Analogieën met vuurwapen- en harddrug-verkopers zijn natuurlijk weinig realistisch. Die tweede groep is sowieso illegaal, en de eerste groep is gebonden aan allerlei eisen met betrekking tot vergunningen. Ik hoop dat je geen vergunningstraject en politie-controle hoeft te doorlopen om een website te beginnen.

Ook in de echte wereld verdient vrijwel elk bedrijf absoluut geld aan criminelen: Albert Heijn verkoopt boodschappen aan oplichters, Mercedes verkoopt autos aan drugsdealers, Blokker verkoopt keukenmessen aan moordenaars, en Shurgard verhuurt opslagruimte aan dieven. Dat betekent niet automatisch dat die bedrijven criminaliteit ondersteunen of aanmoedigen.

Kan deze troll nou eindelijk eens ophouden met LIEGEN over welke argumenten ik zou gebruiken?

Bewijs:
Ik schrijf LETTERLIJK NERGENS dat een dergelijke indicator GEEN INDICATOR kan zijn: ik stel dat het een onbetrouwbare indicator is.

En dat is iets heel anders dan de woorden die deze troll mij in nagenoeg elke draad in de mond probeert te leggen. Zoals ook hier: https://security.nl/posting/851545 - vanzelfsprekend zonder zich te verdedigen, laat staan excuses aan te bieden, na mijn reactie in https://security.nl/posting/851579.

(De laatste momenteel zichtbare reactie in die draad is https://security.nl/posting/851657 van 26-07-2024, 03:16 - zoals te zien is in https://archive.is/ILXKM).

Dit soort lamstralen zijn er de oorzaak van dat overheden steeds vaker pleiten voor censuur op internet en het verbieden van anonieme accounts. Ik sluit niet uit dat dit precies het doel is dat deze Anonieme troll nastreeft.

Laten we even hiermee beginnen – dit is voor zover ik weet de eerste keer dat ik op je reageer (in ieder geval hierover).

Geen van de links naar andere reacties die je post is daadwerkelijk van mij. Misschien zou je in overweging kunnen nemen dat mensen het soms op punten met je oneens kunnen zijn, zonder daadwerkelijk "Troll" te gaan roepen, gebruikers uit te maken voor "lamstraal", of te verzinnen dat mensen die anoniem op je reageren een of andere agenda hebben.

Ik heb geen archief van je posts, maar om even twee voorbeelden te noemen uit recente topics die ik er zo snel bij kan vinden:
Je doet hier twee indicatoren van onbetrouwbaarheid – respectievelijk een onpersoonlijke aanhef in een email en een website zonder https die van de bank beweert te zijn – af als "stompzinnig" en onzin. En de reden die je hiervoor geeft, is enkel dat het tegenovergestelde – een email met persoonlijke aanhef en een website mét https die beweert van de bank te zijn – niet automatisch wél betrouwbaar is (en legt daarbij ook een bank woorden in de mond die ze niet hebben gezegd).

Zoals gezegd, ik heb dit vaker in je posts gezien (en het gebeurt in iets mindere mate opnieuw in dit topic) en dat is jammer, zeker als je probeert advies te geven aan andere gebruikers. "Let op, er zijn nogal wat datalekken in omloop en een email met een persoonlijke aanhef betekent niet dat die email legitiem is," is goed advies. "Oplichters kunnen zó je echte naam in een email gebruiken, dus is het is volledig stompzinnig om naar de aanhef van een email te kijken," is dat niet.

De tweede reactie in dit topic heeft al zeer snel een aantal van dergelijke indicatoren opgesomd, waarvan geen enkele op zichzelf 100% betrouwbaarheid biedt, maar die samen een duidelijk beeld vormen van een website die niet betrouwbaar lijkt te zijn.

het gezegde "if something sounds too good to be true, it probably is" gaat ook hier op en is voor mij altijd een reden om een site te negeren. Een site die overal prijzen toont die 50% lager liggen dan gangbaar is voor mij een teken aan de wand.

Eens.

Bovendien, ik heb het al eerder aangehaald, een veilige(re) infrastructuur is een utopie. Waar eerder in het kader van Pishingmails werd gehamerd op een correct ingevoerde SPF en DKIM structuur, zijn er onlangs honderdduizenden pishingmails verstuurd die waren voorzien van geldige SPF en DKIM signatures.

Misschien moeten wij, goed ingevoerde security professionals, mensen helpen door eens breder naar het vraagstuk te gaan kijken. Het met het blote oog herkennen van scam is nu al bijna niet te doen en zal over pakweg 1 á 2 jaar onmogelijk zijn.

En daarmee maakt het echt niet uit of je op nu CubeOS, OSX, IOS Chrome of GrapheneOS zit. Dus moeten de security professionals onder ons ook die discussie nu eindelijk eens loslaten.

Virustotal geeft vandaag aan 31-07 dat 8 vendors een probleem met deze url hebben. Het certificaat is Lets Encrypt dus das een gratis certificaat zegt niks natuurlijk over de veiligheid maar is wel een waarschuwing dus tja zou het niet er op gokken.

Ik kwam een paar maanden geleden zoiets tegen. Iets waar ik op zich wel in geïnteresseerd zou zijn als het niet zo schreeuwend duur was was bij één webwinkel voor grofweg de helft van het geld te koop, met een behoorlijk lange levertijd. Wat was dat voor zaak? Die webwinkel had keurig een inschrijving bij de Kamer van Koophandel en een adres. Ik heb eens met Google Streetview gekeken naar dat adres, en het was een woonhuis. Best riant, vrijstaand, maar geen bedrijfspand.

Ik weet niet meer welke zoekacties ik allemaal heb afgevuurd toen, maar ik kwam, niet specifiek over dit bedrijf, tegen dat er tegenwoordig bedrijfjes zijn die zelf geen voorraad hebben en niets anders doen dan een bestelling die een klant bij hun doet bij Alibaba in te leggen en het gewoon rechtstreeks vanuit China bij de klant te laten bezorgen. Toen heb ik eens op Alibaba gekeken en daar bleek dat artikel inderdaad voor een iets lager bedrag dan die zaak vroeg te koop te zijn. Dikke kans dat dat is wat deze zaak doet. Ik heb geen idee of zo'n zaak qua afhandeling van reparaties en garantie dan nog iets toevoegt in de praktijk, maar als ze niet meer dan een doorgeefluik voor bestellingen zijn kunnen ze zelf weinig als er iets mis is, dus daar zullen ze ook wel doorgeefluik in zijn.

Dit doet me denken aan al die bedrijven die informatie uit het handelsregister verkopen die je voor minder geld bij de Kamer van Koophandel zelf kan krijgen. Het lijkt tegenwoordig erg populair te zijn om ergens tussen te gaan zitten zodat mensen die niet goed weten waar ze eigenlijk moeten zijn een commissie betalen voor een dienst die helemaal niets toevoegt.

Dit is voor zover ik weet legaal, maar het slaat natuurlijk helemaal nergens op, voor een klant voegt het niets toe.

Verzending en levering.

Verzendkosten
Bij Bestellingen Boven De €90,- In Nederland Berekenen We Geen Verzendkosten.
Bij Bestellingen Onder De €90.80,- Betaal Je €0.00 Verzendkosten Bij Verzending.

---------------
Interessant!!
Hoe zou het bedrag van €90.80,- precies tot stand gekomen zijn?
En: is €90.80,- niet veel méér dan €90,- ? (punt staat op een ongebruikelijke positie)
Je zou bijna aan je eigen rekenvaardigheden gaan twijfelen...

Verder blinkt deze pagina uit in het niet leveren van enige substantiële informatie.
Je zou bijna denken dat deze pagina erin staat omdat een of andere AI -uit een ver land - erachter is gekomen dat zo'n pagina er altijd in moet als je een webshop hebt.

En dan al die hoofdletters... op de hele site.

Maar wat betekent dat?
Krijg je je sandalen niet na bestelling?

Dat is geen reden waarom een site nep moet zijn. Een site kan ook opgezet worden door een Nederlandse of Europese importeur van een product. Die maakt dan een site, onafhankelijk van de fabrikant van een product.


Niet elk bedrijf registreert zijn domeinnaam bij de KvK. Onze domeinnaam staat daar ook niet geregistreerd. (Maar wij verkopen ook niets via een website.)

Dat is precies waarom ik expliciet aangaf dat dat alleen op het registreren van de domeinnaam bij KvK slaat en dat je op de website van de KvK verder kan kijken.

Voor mij zou het een no go zijn
- Geen adres te vinden
- Geen KVK nummer te vinden
- Niet te vinden op kvk site (gezocht naar bedrocksandals)
Als deze gegevens er wel zouden staan en kloppen met de kvk, betekent niet dat het geen oplichting is.
Maar als het er niet staat, dan hebben ze blijkbaar wat te verbergen (want, minimaal kvk moet je vermelden als je handelt in NL)

- Enige manier voor contact is een formulier
- Geen algemene voorwaarden

Nog even gecheckd, whois geeft zeer weinig info terug, maar dat zou ik zelf ook zo instellen

- Krijg net een malware melding van mijn virus scanner op de site (had de site al een paar keer bezocht, kwam pas later)

Ik zou hier weg van blijven. Val je toch echt voor de kortingen, maak een gratis mail adres en stuur ze dan eerst een mail met de vraag waar ze zitten qua adres, of je kan ophalen, wat hun levertijden zijn en wat hun kvk nummer is. En deel wat eruit komt.

Die hele check op de KvK is vrij zinloos. Immers:

- Buitenlandse vennootschappen die arbeidskrachten ter beschikking stellen in Nederland zijn verplicht zich in te schrijven in het Handelsregister, ongeacht of zij wel of geen vestiging in Nederland hebben, OF
- alle buitenlandse vennootschappen met een vestiging in Nederland moeten zich inschrijven in het Handelsregister.

Als een buitenlandse firma niet binnen een van deze twee categorien valt is men helemaal niet verplicht zich in te schrijven bij de KvK.

Als die gegevens er wel staan maakt het een site nauwelijks betrouwbaarder. Je bent toch al crimineel, dus wat let je om hier een vals adres en KvK nummer van een ander bedrijf op te schrijven? En weinig mensen zullen zover gaan dat ze het adres fysiek controleren. En bij een opgegeven telefoonnummer zorg je er dan wel voor dat dit bij een insider crimineel uitkomt.

En merken zijn ook niet altijd vindbaar via de KvK. Een goed voorbeeld is het Deense sportmerk "Hummel". Vroeger was de Nederlandse importeur hiervan de firma "Deventrade". Maar als je op het merk zocht bij de KvK, kwam je niet bij deze firma uit.

Wij kregen jaarlijks vele telefoontjes van mensen die Hummel sportkleding wilden kopen omdat ze via de KvK bij ons uit kwamen. Na vele telefoontjes ben ik eens gaan uitzoeken wie de importeur was en kwam uit op het bedrijf in Deventer, met wel een heel 'originele' naam.
Ik heb geen idee of zij nog steeds de importeur zijn, maar indertijd heb ik ze gebeld en heb het me laten bevestigen.

Als de webwinkel niet bekend is bij Trustpilot, Thuiswinkel waarborg of een ander webwinkel keurmerk. Is het het een scam. Dat geldt dus ook voor bedrocksandals-nederland.com.

Je komt kennelijk niet op het idee dat een bedrijf zelf in actie komt als het er lucht van krijgt. Zeker als het een geregistreerd handelsmerk heeft moet het wel actief optreden om niet het risico te lopen de registratie en daarmee het alleenrecht op dat handelsmerk te verliezen. En het zit er natuurlijk dik in dat als het toch een keer misgaat een bedrijf daarvan leert de URL van zijn website bij de KvK te registreren en voortaan regelmatig naar zijn eigen naam te zoeken, of dat door een daarin gespecialiseerde partij te laten doen. En gek genoeg gaat het dan van nauwelijks betrouwbaarder naar beduidend betrouwbaarder.

Ik zal het nog maar eens herhalen:

Die hele check op de KvK is vrij zinloos. Immers:

- Buitenlandse vennootschappen die arbeidskrachten ter beschikking stellen in Nederland zijn verplicht zich in te schrijven in het Handelsregister, ongeacht of zij wel of geen vestiging in Nederland hebben, OF
- alle buitenlandse vennootschappen met een vestiging in Nederland moeten zich inschrijven in het Handelsregister.

Als een buitenlandse firma niet binnen een van deze twee categorieën valt is men helemaal niet verplicht zich in te schrijven bij de KvK.

Aha, ik dacht dat iedereen die handelde in NL zich bij KVK moest inschrijven, maar je hebt gelijk een buitenlands bedrijf heeft deze verplichting niet, alleen onder de de twee voorwaarden die je noemt. Weer wat geleerd

Het is een phishing site voor credit card gegevens. Er wordt niets geleverd.

Dat is eenvoudig en zonder enige twijfel te zien aan de site, gemaakt met een phishing kit. Er zijn de laatste tijd vele van deze sites, vaak geregistreerd via een Chinese domeinenverkoper, gehost via Cloudflare. De sites zijn gericht op inwoners van landen over de wereld, inclusief Nederland en België.

Hoe herkent iemand dit als een phishing site? Simpel: alleen credit card "verkopen". Geen of niet bestaand adres op de site (verplicht in Nederland). Te lage of onzinnige prijzen. Rare of niet kloppende algemene voorwaarden. Ontbreken inschrijving voor een mailing list terwijl die wel wordt genoemd. Iedereen kan dit dus als verdacht herkennen.

Koop jij primair in het buitenland en vermijd je Nederlandse bedrijven? Ik niet, ik koop in de praktijk vrijwel uitsluitend van bedrijven die Nederlands zijn of een Nederlandse vestiging hebben en hier een KvK-inschrijving hebben. Ik heb toevallig een poosje geleden nog een Engels bedrijf opgezocht in de Britse tegenhanger van ons handelsregister. Dat vergt meer uitzoekwerk, je kan er last van hebben dat je een andere taal niet of niet goed spreekt, maar op zich kan dat en de reden om het te doen is precies dezelfde.

Het is best mogelijk dat jij uitbundig je online inkopen over de grens doet, maar dan heb je dus buitenlandse tegenhangers van de KvK die je kan checken, en ook als je dat niet doet werkt een KvK-check nog steeds voor bedrijven die wel in Nederland gevestigd zijn.

Waar schrijf ik dat precies?

Ik schrijf dat een KvK check vrij zinloos is binnen het kunnen herkennen van malafide (online) bedrijven.

Je had het er toch uitdrukkelijk over dat buitenlandse bedrijven niet verplicht zijn zich bij de KvK in te schrijven en dat voerde je aan als onderbouwing dat de KvK-check vrij zinloos is. Als je het niet over buitenlandse bedrijven had om online inkopen bij te doen, waarom was dat dan een argument voor de zinloosheid van een KvK-check?

Het zou fantastisch zijn als je met info van de KvK (of vergelijkbare buitenlandse organisaties) zou kunnen voorkómen dat je, via een nepsite in phishing of andere oplichting trapt. Maar is dat daadwerkelijk het geval in de praktijk?

Stel je ontvangt een bericht van Klarna (voorzien van alle bekende logo's van dat bedrijf).

Beschrijving van het ontvangen bericht
In dat bericht staat dat je een betalingsachterstand hebt op jouw openstaande schuld van 1457 Euro en dat de boeteclausule van kracht zal worden als je niet binnen één week de betalingsachterstand ongedaan maakt.

Vervolgens staat er dat je, om onnodige kosten te vookómen, meteen kunt betalen door op Aflossen of regeling treffen te klikken - met "onder" die link als URL https://tiny.cc/Klarna-Aflossen.

Direct daaronder waarschuwt het bericht, zeer in het oog springend, voor phishing via vervalste berichten en valse websites.

Om daar niet in te trappen luidt het dringende advies om de in het bericht en op de website genoemde gegevens van Klarna te vergelijken met hetgeen bij de KvK (Kamer van Koophandel) geregistreerd staat. Het bericht gaat verder met die gegevens:

Daaronder staat: Gegevens bij KvK bekijken met "onder" die klikbare link de URL https://tiny.cc/KvK-Klarna.

Het bericht eindigt met de melding dat, in zeer zeldzame gevallen, sommigen die Klarna voor hen vooruit laten betalen, zich voordoen als iemand anders (identiteitsfraude plegen dus). In de -onverhoopte- situatie dat je geen klant bent bij Klarna of als je meent dat het openstaande bedrag niet klopt, kun je klikken op Correctie doorgeven (met "daaronder" de derde URL in het bericht: http://tiny.cc/Klarna-Correctie).

Waar zo'n bericht toe kan leiden
Als een ontvanger van zo'n bericht geen openstaande schuld heeft bij Klarna (of überhaupt geen klant is), en deze vreest dat er met diens identiteit is gefraudeerd, ligt het voor de hand dat die persoon eerst op Gegevens bij KvK bekijken klikt. Daardoor opent https://www.kvk.nl/bestellen/#/50315250000020700237 - met inderdaad dezelfde gegevens van Klarna als in het bericht.

Nb. in elk geval als ik niks aanschaf bij de KvK, zie ik bij de KvK geen enkele geldige domeinnaam van Klarna geboemd worden (laat staan alle en geverifieerde en up-to-date domeinnamen van Klarna).

Een (mij onbekend aan-) deel van de ontvangers van zo'n bericht kan er nu van overtuigd zijn dat het om een authentiek bericht van Klarna gaat.

It wasn't me: correctie doorvoeren
De kans bestaat dat zo iemand nu op de laatste link klikt. Stel dat daardoor een pagina opent op een website met als URL bijvoorbeeld:
• https://klarna-services-lastschriften[.]xyz/correcties
• https://mandat-klarna[.]xyz/correcties
• https://klarna-sec-check[.]xyz/correcties
• https://klarnas01[.]cc/correcties
(allen via Cloudflare, zie ook https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/) waarbij bovenaan de pagina staat "Klarna correcie aanvragen". Op die pagina dient het "bijna-slachtoffer allerlei persoonsgegevens en een kort maar krachtig correctieverzoek te in te voeren.

Onderaan die webpagina staat dezelfde phishing-waarschuwing als in het bericht, ook hier aangevuld met dezelfde Klarna-gegevens en link (met "daaronder" https://tiny.cc/KvK-Klarna). Een website-bezoeker die wél naar de domeinnaam in de adresbalk van diens browser kijkt, zal mogelijk niet weten welke domeinnamen Klarna allemaal gebruikt. Wellicht rommelt die persoon aan met cryptovaluta op websites met eveneens nietszeggende domeinnamen, zoals https://dydx.exchange, https://dydx.trade/, https://pendle.finance of https://cbridge.celer.network (er zijn er veel meer zo). Immers, een domeinnaam is niets anders dan een willekeurig pseudoniem - met als enige eis is dat die domeinnaam wereldwijd uniek is. In elk geval komt "klarna" vóór in de genoemde domeinnamen.

Om te bewijzen dat de correctie-aanvrager is wie zij/hij claimt te zijn, moet hij/zij 1 Eurocent overmaken met zijn/haar creditcard (door alle gegevens, inclusief CVV, in te vullen) of door met "iDeal" te betalen - op een nepsite die zich voordoet als haar of zijn bank.

Met de verkregen gegevens zijn allerlei nieuwe, geloofwaardige, aanvallen mogelijk.

Toevallig openstaande schuld
Mocht de berichtontvanger toevallig een openstaande schuld hebben bij Klarna, dan is het denkbaar dat deze http://tiny.cc/Klarna-Aflossen opent in diens browser, welke de browser kan doorsturen naar bijvoorbeeld https://klarna-services-lastschriften[.]xyz/aflossen. Het geld gaat natuurlijk niet naar Klarna, mogelijk wordt er meer geld gestolen en sowieso kunnen de aanvallers beschikken over veel (gegarandeerd actuele) persoonsgegevens van het slachtoffer.

Conclusie
Zolang de KvK niet alle domeinnamen van een bedrijf heeft geverifieerd en noemt (zonder dat je voor inzage moet betalen) en, indien zo'n lijst zou bestaan, deze niet up-to-date gehouden zou worden, zie ik niet hoe daarmee identiteitsfraude voorkómen zou kunnen worden.

Disclaimer
De drie bovengenoemde tiny.cc "URL-verkorter" links heb ik aangemaakt; https://tiny.cc/KvK-Klarna zou daadwerkelijk de KvK-pagina van Klarna moeten openen (de andere twee zouden je browser door moeten sturen naar twee postings van mij op security.nl). Echter: ik heb niet in de hand wat tiny.cc doet met links; klikken op elke door mij genoemde link is dan ook geheel voor uw eigen risico. Waarom je IRL geen URL-verkorters moet gebruiken, schreef ik recentelijk in https://infosec.exchange/@ErikvanStraten/112887650119094186.

Natuurlijk kan het niet alles voorkomen, en het is (helaas) niet zo dat je met één ding controleren verder nergens meer op hoeft te letten. Het is wel zo dat het ontbreken van een KvK-inschrijving een signaal is dat je even goed moet opletten waarmee je te maken hebt, net zo goed als het gebruik van URL-verkorters dat is, en andere dingen waar je op kan letten die al genoemd zijn.

Voor al die controles geldt dat als een site er goed op scoort dat niet bewijst dat de site goed is. Het is alleen zo dat als een site er niet goed op scoort dat dat een ernstige verdenking oplevert dat de site niet goed is. En dan maken tien goede dingen niet dat je één zo'n signaal kan negeren. Het is meer een soort brandalarm. Als een gebouw op elf plaatsen een brandalarm heeft hangen en er gaat er één af dan kan dat ene alarmsignaal toch echt op brand wijzen en moet het niet genegeerd worden omdat tien alarmen stil zijn. En op hoe meer plaatsen een brandalarm hangt hoe groter de kans is dat je de brand op tijd ontdekt.

Hoe meer jij weet te controleren hoe groter je de kans maakt dat een malafide site door de mand valt. Het is voor een oplichter niet de moeite waard om werkelijk alles perfect te krijgen omdat dat een enorme inspanning vergt terwijl een groot deel van de mensen helemaal niet zo ver kijkt. En helaas ook niet zo ver weet te kijken. Ik zou niet weten hoe we kunnen oplossen dat het internet en een heleboel dat ervoor verzonnen is door intelligente techneuten veel mensen boven hun pet gaat.

Iets dat iedereen kan doen is wat we al deden toen we alles in fysieke winkels kochten: terugkeren naar een zaak als je er goede ervaringen mee hebt, en wegblijven na slechte ervaringen. En ga af op elkaars ervaringen. Dat lost zeker niet alles op, maar het scheelt wel.

Iets toegestuurd krijgen levert een wezenlijk andere situatie op dan een website beoordelen die je had gevonden via een zoekmachine. De zelf gevonden website kan je domweg negeren als er iets verdacht aan is, zelfs als je er niet precies je vinger op weet te leggen; de e-mail vereist actie als die legitiem is, die kan je dus niet zo makkelijk negeren.

Voor e-mails kunnen hele technische verhandelingen geschreven worden voor waar je allemaal naar kan kijken om te zien of alles wel klopt. Dat sla ik hier over.

Als die e-mail inhoudelijk gewoon klopt, als je die aankoop werkelijk hebt gedaan, als je werkelijk voor betalen via Klarna had gekozen, als je werkelijk nog niet hebt betaald, als het bedrag precies klopt, dan is de oplossing gewoon om die betaling die je moet doen te doen. Daar had je vermoedelijk al een link voor, of je gebruikt een app, of wat er ook allemaal mogelijk is bij Klarna. Gebruik dat, en niet de links uit de e-mail.

Maar als je het artikel niet had besteld, die webwinkel niet hebt gebruikt, Klarna niet hebt gebruikt, als je al betaald hebt, als het bedrag niet klopt, dan is er duidelijk iets geks gaande.

Vertrouw niet op links in de e-mail, maar zoek buiten de e-mail om contactgegevens op voor het bedrijf en gebruik die om contact met ze op te nemen, om te controleren of het wel echt bij hun vandaan komt.

Klarna maakt dat helaas opmerkelijk moeilijk, zie ik. Als ik op hun website kijk lijkt het alsof je pas contact kan leggen met ze als je eerst een account aanmaakt. Zelfs bij alle informatie over fraude gaan ze er kennelijk vanuit dat dat alleen kan gebeuren als je een account hebt. Volgens hun site voeren ze op de achtergrond allerlei controles uit om zeker te stellen dat mensen die de dienst gebruiken werkelijk zijn wie ze beweren te zijn, en het ontbreken van een contactmogelijkheid voor mensen zonder account suggereert dat ze vinden dat ze daar feilloos in zijn. Ik ben zo vrij ze daarin niet op hun blauwe ogen te geloven.

Bij webwinkels die Klarna gebruiken zie ik wel een telefoonnummer voor contact met Klarna staan: 020-8082852. Dat nummer heb ik, zelfs met een gerichte zoekopdracht (site:klarna.nl 020-8082852) op de website van Klarna zelf niet aangetroffen. Daar gaan mijn nekharen van overeind staan, dit telefoonnummer is veel te moeilijk te vinden voor wie bij Klarna zelf gaat zoeken naar contactinformatie.

Als het helemaal niet lukt om een telefoonnummer of een andere contactmogelijkheid te vinden, terwijl een onverwachte e-mail van zo'n bedrijf niet overduidelijk nep is, kan je overwegen om voor €2,75 een uittreksel uit het handelsregister te kopen bij de KvK, dat krijg je dan direct in elektronische vorm. Daar horen contactgegevens in te staan. Maar als het echt op identiteitsdiefstal lijkt moet je ook naar de politie te stappen, natuurlijk.

Korte link naar deze reactie: https://security.nl/posting/852741.

@Anoniem, vandaag 10:05: allereerst dank voor jouw uitgebreide en niet haatdragende antwoord.

Staan er dan domeinnamen in zo'n uittreksel, en zo ja, hoe up-to-date zijn die? En als domeinnamen in KvK-uittreksels staan, waarom vermeldt de KvK dat dan niet bij de gegevens die ik wél zie? En waarom zou ik überhaupt moeten betalen voor het kennisnemen van één of meer domeinnamen?! Hallo KvK, het is 2024!!

Juist domeinnamen lijken mij niet privacy-gevoelig - ervan uitgaande dat eigenaren willen dat hun website bezocht wordt. De meeste winkels met bakstenen muren hebben allang een website, en voor steeds meer webshops geldt dat er geen alternatief met openingstijden en een toonbank bestaat. De KvK zit al jaaaren te slapen.

Wat ik probeerde te laten zien is dat het niets hoeft te zeggen als een website wel een KvK-inschrijving claimt te hebben. En zoals anderen ook al schreven, lang niet elke eigenaar van een website ís ingeschreven bij de Nederlandse KvK. Conclusie:

• Géén KvK-inschrijving betekent niet altijd kwaadaardig;

• Wél een KvK-inschrijving is als het kunnen overleggen een kopietje paspoort: het kán om een leugen gaan en dus misleidend zijn.

Het zijn onbetrouwbare aanwijzingen met zowel veel valspositieven als veel valsnegatieven.

Wat je beschrijft is een stompzinnig zoekplaatje met zeer onbetrouwbare resultaten als gevolg - vooral voor minder ervaren internetters.

Waarvan op z'n minst een deel, als gevolg van de gedwongen winkelnering van dit systeem, ernstig gedupeerd raakt (voorbeelden te over, zoek bijv. naar Kifid op deze site). Hoeveel voorbeelden van valspositieven en valsnegatieven moet ik nog geven voordat je toegeeft dat het door jou gesteunde systeem op door en door verrotte heipalen bouwt?

Terug naar het KvK-systeem: voor een KvK-inschrijving zul je je op een KvK kantoor moeten "legitimeren" met een geldig identiteitsbewijs, om identiteitsfraude zo lastig mogelijk te maken. Verder bestaan er nauwelijks eisen om te kunnen worden ingeschreven.

Zo'n KvK-inschrijving zegt dus, primair, NIETS over de betrouwbaarheid van ingeschrevenen.

De kracht van een KvK-inschrijving is echter dat klanten van ingeschreven individuen (of van verantwoordelijken voor organisaties), kunnen achterhalen wat de identificerende gegevens zijn van een ingeschrevene. Daardoor is het risico van ingeschrevenen groter als zij zich niet aan de wet houden; iemand die zich opgelicht waant kan aangifte doen of een civiele procedure starten, omdat die klant weet wie de dader is - mits die klant niet is opgelicht door een identiteitsfraudeur die naar de KvK-gegevens van een andere, nietsvermoedende en geenszins betrokken partij verwees.

Echter, voor websites is zo'n inschrijving totaal zinloos als de KvK het webadres (of de webadressen) niet toont, of als het om een Nederlandse organisatie gaat zonder KvK-registratie, of als het om een buitenlandse partij gaat.

Net als de KvK was (maar niet meer is), is een betrouwbare derde partij die identiteiten verifieert en koppelt aan wél beschikbare gegevens (zoals het adres van een fysieke winkel), de best mogelijke oplossing voor het -waardeloze- alternatief dat iedereen zelf maar uit moet zien te vinden met wie zij daadwerkelijk "zaken doen".

Er bestond een matig en wereldwijd werkende (beslist niet 100% veilige, beslist niet door iedereen begrepen, beslist voor verbetering vatbare, en beslist strengere audits en sancties vereisende) oplossing die de genoemde soort identiteitsfraude enorm bemoeilijkte. Met een enorm voordeel voor websites t.o.v. een negentientoenige KvK-inschrijving, namelijk, in plaats van een koppeling tussen:

1) Een uniek, nietszeggend, Nederlands KvK-nummer;
2) Uniek identificerende gegevens van de verantwoordelijke(n);
3) Het verstigingsadres van de verantwoordelijke.

een koppeling tussen:

1) Een, potentieel nietszeggende, wereldwijd unieke pseudonieme identifier, namelijk een domeinnaam;
2) Uniek identificerende gegevens van de verantwoordelijke(n);
3) Een private key "op de server" (toegankelijk voor berekeningen daarmee door de server met de website met diezelfde domeinnaam).

Big Tech heeft dit laatstgenoemde krachtige systeem, opzettelijk, gebruikmakend van leugens en de hulp van vele voor het karretje van Big Tech gespannen, lakse, er niets van (willen) begrijpende (*) website-beheerders, "succesvol" om zeep geholpen - door punt 2 uit de oplossing te slopen.


Met als gevolg steeds meer anonieme nepsites (beheerd door nauwelijks of niet te traceren oplichters) die nauwelijks of niet van authentieke websites onderscheiden kunnen worden.

Bovendien is het uitgiftesysteem van DV-certificaten uiterst kwetsbaar voor doortastende aanvallers en daarom onvoldoende betrouwbaar voor kritische websites (omdat nepsites te eenvoudig over onterecht uitgegeven certificaten met dezelfde betrouwbaarheid kunnen beschikken).

De bedoelde kwetsbaarheid ontstaat doordat DV-certificaten voor 100% afhankelijk te zijn van notoir onbetrouwbare protocollen (DNS en BGP, inclusief daarvoor noodzakelijke registraties, en wie geautoriseerd zijn om die records te wijzigen), zoals recentelijk minstens tweemaal het geval bleek; zie https://security.nl/posting/852185, en uit https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/ (+):

(+) Uit mijn bron (https://www.bleepingcomputer.com/news/security/sitting-ducks-dns-attacks-let-hackers-hijack-over-35-000-domains/) hiervoor:

Nogmaals, van mij mogen gratis DV-certificaten blijven bestaan. Maar omdat zij massaal worden misbruikt voor criminele websites, moet m.i. het volgende gebeuren:

(a) Het schema voor TLS servercertificaten moet worden uitgebreid met ruimte voor méér identificerende (optionele) gegevens, die begrijpelijk zijn voor mensen (geen "machine readable" keurslijf met "CN=", "O=" etc.);

(b) Elk certificaat moet worden voorzien van een indicator van de betrouwbaarheid waarmee de identiteit van de eigenaar is vastgesteld (door de certificaatuitgever) met verwijzingen naar de daarvoor toegepaste procedures;

(c) Elke certificaatuitgever moet regelmatig worden geaudit door aantoonbaar onafhankelijke partijen (niet door de brance zelf) en een betrouwbaarheidsscore krijgen. Ook de auditors moeten, van een wereldwijde onafhankelijke toezichtsorganisatie, een regelmatig bijgestelde betrouwbaarheidsscore krijgen;

(d) Op z'n minst als mensen (vanzelfsprekend via https) met een specifieke webbrowser een specifieke website voor het eerst bezoeken, moet die browser, nog vóórdat deze überhaupt content van die website ophaalt (en identificerende gegevens van browser van de internetter met de server deelt) de internetter laten zien wat er, op basis van het certificaat, bekend is over de website. Dus, indien beschikbaar, wie verantwoordelijk is voor die website, en -mits de gegevens van de verantwoordelijke uit het certificaat afkomstig zijn- de betrouwbaarheid van die gegevens, aangevuld met de betrouwbaarheidsscores van de certificaatuitgever en van de toezichthoudende auditor(s). De keuze om wel of niet met een specifieke website te communiceren, moet niet door Big Tech - maar weer door internetgebruikers zelf worden gemaakt (zonder het bos te worden ingestuurd met, al dan niet aanwezige, vaak extreem onbetrouwbare "aanwijzingen");

(e) Voor elke third party website, waar de primaire website hun browsers mee laat communiceren, moet punt (d) ook by default aan staan. Bovendien moet worden vermeld welke soorten informatie er met elke third party zullen worden uitgewisseld en welke data er client-side zal worden opgeslagen (waaronder tracking cookies). Nb. ik vind het prima als gebruikers dat "toestemming vragen" voor third party sites uit zouden kunnen zetten, d.w.z. dat zij alle eigenaren van primaire sites voldoende vertrouwen (m.i. onterecht, maar soit) bij hun keuzes voor third party sites;

(f) Internetters moeten de keuze hebben om communicatie met specifieke third party sites te weigeren. De primaire site moet duidelijk maken wat daar de consequenties van zijn (desgewenst dat je dan geen toegang krijgt tot de primaire site). Het moet voor internetters, vooral degenen die de risico's (willen) inzien, véél duidelijker worden welke risico's zijn lopen indien zij "een" website bezoeken;

(g) Het moet voor internetters, die een website bezoeken, te allen tijde mogelijk zijn om de browser een overzicht (inclusief tenaamstellingen in certificaten) te laten genereren van alle (ook third party) websites waarmee de browser sinds de start van de sessie mee communiceerde en evt. nog mee communiceert. Tevens moeten browsermakers verplicht worden om hier, op verzoek van de gebruiker, redelijk begrijpelijke logging van te produceren die een in te stellen tijd wordt bewaard (en beslist ontoegankelijk is vanuit code in webpagina's);

(h) Browsers moeten tutorials aanprijzen (bevatten en/of daarnaar verwijzen) die internetters uitleggen waarom het belangrijk is om te weten wie verantwoordelijk is voor een website met de daarop getoonde informatie en/of aangeboden downloads - vooral als je vertrouwelijke gegevens deelt met zo'n website, en beslist als het gaat om een website die bezoekers zou kunnen oplichten. Ook moeten die tutorials inzichtelijk maken waarom het belangrijk is om te weten welke third party sites er allemaal "meekijken" en/of zelf content aanleveren;

(h) Indien een website, ná het door de gebruiker gegeven akkoord voor de uitwisseling van specifieke gegevens, die afspraken aan diens laars lapt, moet de browser de sessie beïndigen met een foutmelding. Nb. het moet beslist niet worden toegestaan dat een site later om "aanvullende permissies" kan vragen (dergelijke functionaliteit zal ongetwijfeld worden misbruikt. Keihard afstraffen is het enige dat zal helpen).

Met Let's Encrypt heeft Big Tech ons een betrouwbaarder internet beloofd, maar het tegendeel werd bewaarheid - namelijk doordat ons eenheidsworst werd opgedrongen, waardoor internetters geen omderscheid meer kunnen maken tussen enerzijds een zwaar beveiligde webserver met een website bestemd voor bijvoorbeeld internetbankieren of het uitwisselen van gezondheidsgevens, en anderzijds een criminele website draaiend op een anonieme Raspberry Pi, een gehackte server, een server van een bullet-proof Russische hoster en/of -steeds vaker- verstopt achter een CDN-proxyserver zoals van Cloudflare.

Het is de hoogste tijd dat we stoppen met accepteren dat Big Tech de lakens uitdeelt op internet, vooral omdat zij daarmee cybercriminaliteit faciliteren - simpelweg omdat zij daaraan meeverdienen.

Mensen en domeinnamen zijn incompatibel. Waarom beschreef ik in https://security.nl/posting/852763.