Steeds meer websites, zoals natuurlijk ook BeveiligingNieuws.nl, laten met https:// en een groen slotje zien dat er beveiligd mee gecommuniceerd kan worden. Dit wil echter niet zeggen dat de website ook werkelijk veilig is. Criminelen kunnen namelijk ook gebruik maken van een SSL-certificaat.

Dat laatste gebeurt steeds vaker, concludeert de NOS op basis van eigen onderzoek. Men onderzocht duizenden websites die op zwarte lijsten staan en 4300 daarvan bleken over een geldig SSL-certificaat te beschikken en daarom betrouwbaar over te komen. Ook werd de proef op de som genomen. De NOS registreerde de domeinnamen mijn-ing.nl, bankierenrabobank.nl en binck-bank.nl en voorzag ze van een LetsEncrypt-certificaat. Deze domeinnamen werden later aan de betreffende banken overgedragen, maar criminelen kunnen de truc ook toepassen en zo geloofwaardige websites op internet zetten om via phishingmails gelokte bezoekers hun inlogcodes afhandig te maken.

Snel en gratis
Vroeger namen criminelen niet de moeite om hun nagemaakte websites van een SSL-certificaat te voorzien, omdat dit geld en tijd kostte. Maar tegenwoordig kan via LetsEncrypt, cPanel en Comodo binnen enkele seconden en vaak gratis een ssl-certificaat voor een website worden aangevraagd. Zo’n certificaat betekent dus niet dat de inhoud op de website ook daadwerkelijk veilig is. De beveiliging heeft alleen betrekking op de verbinding. Deze beveiligde verbinding wordt mogelijk gemaakt door een certificaatautoriteit, die ervoor instaat dat een website is wie hij zegt dat hij is. De populairste certificaatautoriteit is LetsEncrypt. Dit is een non-profitsamenwerkingsverband van ict-beveiligers en burgerrechtenorganisatie Electronic Frontier Foundation. Website-eigenaren kunnen hiermee gratis een beveiligde verbinding opzetten.

Niet te voorkomen
Ook het Nationaal Cyber Security Centrum en LetsEncrypt zijn op de hoogte van het probleem, maar geven aan dat misbruik van SSL-certificaten bijna niet is te voorkomen. Voor consumenten is het bijna niet te controleren. De nagemaakte websites zijn niet van echt te onderscheiden. Alleen staat in de URL-balk dan mijn-ing.nl in plaats van mijning.nl of er staat bankierenrabobank.nl in plaats van bankieren.rabobank.nl. De banken hebben deze praktijk zelfs een beetje in de hand gewerkt met hun publiekscampagnes om mensen toch vooral op het groene slotje te laten letten. Die zijn daardoor blind gaan vertrouwen op dit kenmerk. De banken hadden de actie van de NOS overigens snel door en namen binnen 12 uur contact op om te vragen wat de bedoeling was met de geregistreerde domeinnamen. Kleinere webwinkels zullen in de praktijk minder alert zijn, waardoor de truc bij hen wel kan werken.

Bescherming
Sommige browsers bieden de gebruiker bescherming tegen valse websites, zodra deze op zwarte lijsten worden vermeld. Maar de criminelen verzinnen vaak snel weer nieuwe namen, die sterk lijken op die van de authentieke websites die zij namaken. Hoogleraar internetbeveiliging Michel van Eeten adviseert om websites niet te bezoeken via een link in een e-mail, maar de domeinnaam handmatig in te voeren. Niet handig, maar wel veilig. En belangrijk, zeker als het gaat om financiële transacties of gevoelige persoonlijke informatie.