Duizenden sites met groen slotje onveilig

  • Joost Schellevis en Arnoud van der Struijk

  • Joost Schellevis en Arnoud van der Struijk

"Let op het groene slotje."

Dat advies krijg je als internetgebruiker maar al te vaak. Ook banken waarschuwen klanten om erop te letten dat een website als 'veilig' wordt aangegeven. Maar het groene slotje is geen garantie, blijkt uit onderzoek van de NOS.

Duizenden websites beschikken over een werkend groen slotje en dus het predicaat 'veilig', terwijl ze dat niet zijn. De NOS nam duizenden websites onder de loep die op zwarte lijsten staan. Daarvan bleken er meer dan 4300 toch een geldig certificaat te hebben. In dit geval staan de websites al op een zwarte lijst, maar voordat ze daarop werden geplaatst, kregen ze dus het predicaat 'veilig'.

Het is de keerzijde van het feit dat het internet steeds veiliger wordt: het is nu voor iedereen mogelijk om razendsnel een website te beveiligen met een zogenoemde versleutelde verbinding. Daarbij kunnen onbevoegden niet langer meelezen met het internetverkeer.

Dankzij organisaties als LetsEncrypt, cPanel en Comodo kan binnen enkele seconden en vaak gratis een daarvoor benodigd ssl-certificaat worden aangevraagd. Maar zo'n certificaat betekent niet dat de inhoud op de website ook daadwerkelijk veilig is: 'veilig' slaat alleen op de beveiliging van de verbinding. We leggen het uit in de video:

Duizenden malafide websites toch als 'veilig' gemarkeerd

Voor internetcriminelen loonde het vroeger niet om hun malafide sites te voorzien van certificaten, omdat dat geld en moeite kostte. Veel malafide websites worden relatief snel geblokkeerd of verwijderd en dus verdienen de criminelen die investering niet terug.

Nu het aanvragen van zo'n certificaat gratis en geautomatiseerd kan, maken ook criminelen daar gebruik van, ziet ook Derek Smythe van Artists Against 419, een database met malafide websites.

"Tegenwoordig betekent het groene slotje: je kunt veilig bestolen worden", zegt Smythe. "Ironisch genoeg zouden we graag zien dat legitieme partijen net zo voortvarend waren met groene slotjes als sommige criminelen."

Het Cyber Security Centrum van de overheid 'juicht het toe' dat steeds meer websites een beveiligde verbinding hebben. "Maar wij zien ook dat steeds meer malafide websites daar gebruik van maken, om zich voor te doen als betrouwbaar", laat een woordvoerder weten in een reactie.

Ook LetsEncrypt ziet het probleem. "Browsers zouden niet moeten aangeven dat een website veilig is als er een beveiligde verbinding kan worden gemaakt", zo laat John Aas van die organisatie weten aan de NOS. "Desalniettemin zou elke website op internet een beveiligde verbinding moeten hebben. Het is voor ons ook onmogelijk om hierop te controleren."

Proef op de som

Banken adviseren mensen om naast het slotje ook te letten op de domeinnaam, maar ook dat advies voldoet vaak niet. Veel kwaadwillenden registreren domeinnamen die lijken op de 'echte' domeinnamen.

De NOS nam de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat.

"Voor de consument is het verschil nauwelijks te zien", zegt ook Michel van Eeten van de TU Delft. "Dat ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten. Het echte probleem is dat verschillende partijen zoals banken dat slotje zijn gaan uitleggen als 'je hebt de echte site te pakken', maar dat is volslagen nonsens."

Overigens hebben de meeste browsers een apart mechanisme om onveilige websites te blokkeren: ze geven een waarschuwing als een website op een zwarte lijst staat. Maar kwaadwillenden kunnen dan snel weer een nieuwe phishingwebsite beginnen met een nieuw certificaat.

Er gaat wel iets veranderen: Google Chrome verwijdert binnenkort het groene slotje helemaal uit Chrome en gaat in plaats daarvan websites zonder slotje markeren als 'onveilig'. Dat gebeurt nu zelfs al met websites waarop persoonlijke informatie kan worden achtergelaten. Maar andere webbrowsers doen dat vooralsnog niet, waardoor het voor gebruikers onoverzichtelijker wordt.

Waterdicht

Goede waterdichte tips zijn lastig te geven, zegt hoogleraar internetbeveiliging Michel van Eeten. "Het beste advies: ga nooit naar zo'n website via een link, maar tik hem met de hand in", zegt Van Eeten. "Je wordt er een paranoïde internetgebruiker van, en zo is het internet niet ontworpen, maar het is de enige manier."

Op websites van banken geldt bovendien vaak een extra beveiligingslaag: ze hebben naast het slotje meestal de naam van de bank staan. Maar bij bijvoorbeeld webwinkels en andere websites waar je opgelicht zou kunnen worden is dat dan weer niet altijd zo. Ook kun je websites van banken en webwinkels die je vaak gebruikt bijvoorbeeld opslaan in je favorieten.

Deel artikel:

Advertentie via Ster.nl