Beveiligingnieuws Logo

Onze partners

Eagle Eye Networks

IDIS

HID

VBN

ADI

Avigilon Alta

Seagate

Unii

Secusoft

Lobeco

GFT

Akuvox

Multiwacht

De Beveiligingsjurist

Nimo Drone Security

VAIBS

Top Security

i-Pro

Brivo

Traka ASSA ABLOY

SOBA

Uniview

EAL

ASSA ABLOY

Securitas

VideoGuard

Sequrix

Add Secure

Optex

ARAS

Alarm Meldnet

20face

Crown Security Services

Paxton

PG Security Systems

VEB

CSL

SmartSD

Genetec

Kiwa

HD Security

Gold-IP

Milestone

ASIS

Ajax Systems

CardAccess

Hanwha Vision Europe

DZ Technologies

SMC Alarmcentrale

Service Centrale Nederland

G4S

Dero Security Products

Paraat

RoSecure

Bydemes

NIBHV

Alphatronics

BHVcertificaat.online

Explicate

CDVI

JMB Groep

Seris

Advancis

Oribi ID Solutions

SmartCell

2N

Hikvision

Bosch Security Systems

Regio Control Veldt

Trigion

Eizo

Centurion

Masset Solutions

Nenova

NetworxConnect

VVNL

Connect Security

OSEC

Nimo Dog Security

Groen slotje geen garantie voor veilige website

3 juni 2018
Redactie
05:44

Steeds meer websites, zoals natuurlijk ook BeveiligingNieuws.nl, laten met https:// en een groen slotje zien dat er beveiligd mee gecommuniceerd kan worden. Dit wil echter niet zeggen dat de website ook werkelijk veilig is. Criminelen kunnen namelijk ook gebruik maken van een SSL-certificaat.

Dat laatste gebeurt steeds vaker, concludeert de NOS op basis van eigen onderzoek. Men onderzocht duizenden websites die op zwarte lijsten staan en 4300 daarvan bleken over een geldig SSL-certificaat te beschikken en daarom betrouwbaar over te komen. Ook werd de proef op de som genomen. De NOS registreerde de domeinnamen mijn-ing.nl, bankierenrabobank.nl en binck-bank.nl en voorzag ze van een LetsEncrypt-certificaat. Deze domeinnamen werden later aan de betreffende banken overgedragen, maar criminelen kunnen de truc ook toepassen en zo geloofwaardige websites op internet zetten om via phishingmails gelokte bezoekers hun inlogcodes afhandig te maken.

Snel en gratis
Vroeger namen criminelen niet de moeite om hun nagemaakte websites van een SSL-certificaat te voorzien, omdat dit geld en tijd kostte. Maar tegenwoordig kan via LetsEncrypt, cPanel en Comodo binnen enkele seconden en vaak gratis een ssl-certificaat voor een website worden aangevraagd. Zo’n certificaat betekent dus niet dat de inhoud op de website ook daadwerkelijk veilig is. De beveiliging heeft alleen betrekking op de verbinding. Deze beveiligde verbinding wordt mogelijk gemaakt door een certificaatautoriteit, die ervoor instaat dat een website is wie hij zegt dat hij is. De populairste certificaatautoriteit is LetsEncrypt. Dit is een non-profitsamenwerkingsverband van ict-beveiligers en burgerrechtenorganisatie Electronic Frontier Foundation. Website-eigenaren kunnen hiermee gratis een beveiligde verbinding opzetten.

Niet te voorkomen
Ook het Nationaal Cyber Security Centrum en LetsEncrypt zijn op de hoogte van het probleem, maar geven aan dat misbruik van SSL-certificaten bijna niet is te voorkomen. Voor consumenten is het bijna niet te controleren. De nagemaakte websites zijn niet van echt te onderscheiden. Alleen staat in de URL-balk dan mijn-ing.nl in plaats van mijning.nl of er staat bankierenrabobank.nl in plaats van bankieren.rabobank.nl. De banken hebben deze praktijk zelfs een beetje in de hand gewerkt met hun publiekscampagnes om mensen toch vooral op het groene slotje te laten letten. Die zijn daardoor blind gaan vertrouwen op dit kenmerk. De banken hadden de actie van de NOS overigens snel door en namen binnen 12 uur contact op om te vragen wat de bedoeling was met de geregistreerde domeinnamen. Kleinere webwinkels zullen in de praktijk minder alert zijn, waardoor de truc bij hen wel kan werken.

Bescherming
Sommige browsers bieden de gebruiker bescherming tegen valse websites, zodra deze op zwarte lijsten worden vermeld. Maar de criminelen verzinnen vaak snel weer nieuwe namen, die sterk lijken op die van de authentieke websites die zij namaken. Hoogleraar internetbeveiliging Michel van Eeten adviseert om websites niet te bezoeken via een link in een e-mail, maar de domeinnaam handmatig in te voeren. Niet handig, maar wel veilig. En belangrijk, zeker als het gaat om financiële transacties of gevoelige persoonlijke informatie.

Deel dit artikel via:

Vlog 6

Premium partners

Videoguard

Suricat

Seagate

Wordt een partner