Duizenden sites met groen slotje onveilig

Aangepast
Hollandse Hoogte | Science Photo Library
Geschreven door
Joost Schellevis en Arnoud van der Struijk

"Let op het groene slotje."

Dat advies krijg je als internetgebruiker maar al te vaak. Ook banken waarschuwen klanten om erop te letten dat een website als 'veilig' wordt aangegeven. Maar het groene slotje is geen garantie, blijkt uit onderzoek van de NOS.

Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn. De NOS nam duizenden websites onder de loep die op zwarte lijsten staan. Daarvan bleken er meer dan 4300 toch een geldig certificaat te hebben. In dit geval staan de websites al op een zwarte lijst, maar voordat ze daarop werden geplaatst, kregen ze dus het predicaat 'veilig'.

Hoe gingen wij te werk?

Voor dit verhaal onderzocht de NOS vermeldingen van malafide websites op vier zwarte lijsten: MalwareDomainList, Artists Against 419, OpenPhish en de zwarte lijst van het SANS-instituut. Gecontroleerd werd of de websites een geldig SSL-certificaat hadden en zo ja, welke certificaatautoriteit het certificaat uitgaf.

Ook registreerde de NOS drie domeinnamen: mijn-ing.nl, bankierenrabobank.nl en binck-bank.nl, en voorzag ze van een LetsEncrypt-certificaat. Dit om aan te tonen dat het voor gebruikers lastig is om het onderscheid te maken met legitieme domeinnamen. Deze domeinnamen zullen worden overgedragen aan de banken, om misbruik te voorkomen.

Het is de keerzijde van het feit dat het internet steeds veiliger wordt: het is nu voor iedereen mogelijk om razendsnel een website te beveiligen met een zogenoemde versleutelde verbinding. Daarbij kunnen onbevoegden niet langer meelezen met het internetverkeer.

Dankzij organisaties als LetsEncrypt, cPanel en Comodo kan binnen enkele seconden en vaak gratis een daarvoor benodigd ssl-certificaat worden aangevraagd. Maar zo'n certificaat betekent niet dat de inhoud op de website ook daadwerkelijk veilig is: 'veilig' slaat alleen op de beveiliging van de verbinding. We leggen het uit in de video:

Deze browser wordt niet ondersteund voor het spelen van video. Update uw browser naar Internet Explorer 10 of hoger om video af te kunnen spelen.

Duizenden malafide websites toch als 'veilig' gemarkeerd

Voor internetcriminelen loonde het vroeger niet om hun malafide sites te voorzien van certificaten, omdat dat geld en moeite kostte. Veel malafide websites worden relatief snel geblokkeerd of verwijderd en dus verdienen de criminelen die investering niet terug.

Nu het aanvragen van zo'n certificaat gratis en geautomatiseerd kan, maken ook criminelen daar gebruik van, ziet ook Derek Smythe van Artists Against 419, een database met malafide websites.

"Tegenwoordig betekent het groene slotje: je kunt veilig bestolen worden", zegt Smythe. "Ironisch genoeg zouden we graag zien dat legitieme partijen net zo voortvarend waren met groene slotjes als sommige criminelen."

Certificaatautoriteit

Een beveiligde verbinding (het groene slotje) wordt mogelijk gemaakt door een certificaatautoriteit, die ervoor instaat dat een website is wie hij zegt dat-ie is. De populairste certificaatautoriteit is LetsEncrypt, een non-profitsamenwerkingsverband van ict-beveiligers en burgerrechtenorganisatie Electronic Frontier Foundation. Daarmee kunnen website-eigenaren gratis een beveiligde verbinding opzetten.

Het Cyber Security Centrum van de overheid 'juicht het toe' dat steeds meer websites een beveiligde verbinding hebben. "Maar wij zien ook dat steeds meer malafide websites daar gebruik van maken, om zich voor te doen als betrouwbaar", laat een woordvoerder weten in een reactie.

Ook LetsEncrypt ziet het probleem. "Browsers zouden niet moeten aangeven dat een website veilig is als er een beveiligde verbinding kan worden gemaakt", zo laat John Aas van die organisatie weten aan de NOS. "Desalniettemin zou elke website op internet een beveiligde verbinding moeten hebben. Het is voor ons ook onmogelijk om hierop te controleren."

Proef op de som

Banken adviseren mensen om naast het slotje ook te letten op de domeinnaam, maar ook dat advies voldoet vaak niet. Veel kwaadwillenden registreren domeinnamen die lijken op de 'echte' domeinnamen.

De NOS nam de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat.

"Voor de consument is het verschil nauwelijks te zien", zegt ook Michel van Eeten van de TU Delft. "Dat ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten. Het echte probleem is dat verschillende partijen zoals banken dat slotje zijn gaan uitleggen als 'je hebt de echte site te pakken', maar dat is volslagen nonsens."

Imiteren

Bankensites imiteren? Daar kom je niet mee weg. Binnen twaalf uur na registratie van de domeinnamen namen ING en Binck Bank uit zichzelf contact op met de NOS. "Banken houden heel goed in de gaten welke domeinnamen worden geregistreerd", zegt ethisch hacker Sijmen Ruwhof.

Of de Rabobank de actie ook opmerkte, is onduidelijk. Dat 'bankierenrabobank.nl' op een zwarte lijst werd geplaatst, is veelzeggend, maar de bank reageerde niet inhoudelijk op vragen hierover van de NOS.

Volgens Ruwhof zijn banken wel een uitzondering: bij kleinere bedrijven zoals webwinkels is de kans groot dat je ermee wegkomt, zegt hij. "Het monitoren van domeinnamen is namelijk best wel duur."

Overigens hebben de meeste browsers een apart mechanisme om onveilige websites te blokkeren: ze geven een waarschuwing als een website op een zwarte lijst staat. Maar kwaadwillenden kunnen dan snel weer een nieuwe phishingwebsite beginnen met een nieuw certificaat.

Er gaat wel iets veranderen: Google Chrome verwijdert binnenkort het groene slotje helemaal uit Chrome en gaat in plaats daarvan websites zonder slotje markeren als 'onveilig'. Dat gebeurt nu zelfs al met websites waarop persoonlijke informatie kan worden achtergelaten. Maar andere webbrowsers doen dat vooralsnog niet, waardoor het voor gebruikers onoverzichtelijker wordt.

Waterdicht

Goede waterdichte tips zijn lastig te geven, zegt hoogleraar internetbeveiliging Michel van Eeten. "Het beste advies: ga nooit naar zo'n website via een link, maar tik hem met de hand in", zegt Van Eeten. "Je wordt er een paranoïde internetgebruiker van, en zo is het internet niet ontworpen, maar het is de enige manier."

Op websites van banken geldt bovendien vaak een extra beveiligingslaag: ze hebben naast het slotje meestal de naam van de bank staan. Maar bij bijvoorbeeld webwinkels en andere websites waar je opgelicht zou kunnen worden is dat dan weer niet altijd zo. Ook kun je websites van banken en webwinkels die je vaak gebruikt bijvoorbeeld opslaan in je favorieten.

STER Reclame