Marktplaats-bescherming tegen fraudelinkjes is makkelijk te omzeilen
De beveiliging tegen frauduleuze linkjes die Marktplaats onlangs invoerde, is kinderlijk eenvoudig te omzeilen. Het filter van Marktplaats om niet-vertrouwde linkjes te herkennen, blijkt lang niet alle internetadressen af te vangen. Wie geen waarschuwing krijgt, is dus niet per se veilig, anders dan Marktplaats stelt.
Het phishing-filter is bedoeld om de zogenoemde '1 cent-fraude' af te vangen. Daarbij vragen mensen aan kopers of verkopers om zogenaamd hun identiteit te verifiëren door een betaalverzoek voor één cent. In werkelijkheid komen mensen echter op een phishingsite terecht, waar hun logingegevens voor internetbankieren worden afgevangen.
Dat blijkt echter nog steeds mogelijk, ontdekte Ruben Gommers, die zelf een website heeft waarop linkjes op fraude en phishing kunnen worden gecontroleerd.
"Ik was benieuwd hoe goed die beveiliging eigenlijk was, en door een beetje proberen kwam ik er achter dat veel nieuwe domeinnamen niet worden herkend", zegt hij. De NOS kon zijn bevindingen verifiëren.
Ouderwetse domeinnamen
Het probleem is dat Marktplaats alleen 'ouderwetse' domeinnamen herkent, die eindigen op bijvoorbeeld '.nl' of '.com'. Het is echter al jaren mogelijk om domeinnamen te kopen die eindigen op woorden, zoals '.amsterdam', '.finance' of 'tech'.
Die domeinamen herkent Marktplaats in veel gevallen niet, waardoor iemand ongestoord zo'n domeinnaam in een chat kan gebruiken. Een waarschuwing wordt daarbij niet getoond.
De NOS registreerde de website 'bankzaken.website' en kon daar zonder waarschuwing naar linken in een Marktplaats-chat. Het internetadres wordt daarbij herkend als link en is klikbaar, maar een waarschuwing wordt niet getoond.
Waterdicht
Toen Marktplaats de nieuwe phishing-bescherming eerder deze maand introduceerde, werd die als waterdicht gepresenteerd. "Als je zo'n verzoek zou krijgen, krijg je altijd eerst een waarschuwing", zei een Marktplaats-woordvoerder bijvoorbeeld tegen Hart van Nederland. Alleen vertrouwde bankwebsites krijgen geen waarschuwing, beloofde Marktplaats toen.
"We zijn continu bezig om het filter te verbeteren", zegt de woordvoerder nu. " Als we merken dat een bepaalde extensie veel wordt gebruikt voor fraude, voegen we hem toe." Een extensie is het einde van een domeinnaam, na de laatste punt. "Waarschuwen voor alle soorten domeinnamen, zou het systeem te langzaam maken."
IP-adressen
Overigens worden ook zogenoemde IP-adressen niet goed herkend. IP-adressen zijn unieke nummers waarmee onder meer websites kunnen worden bereikt; een domeinnaam zoals 'nos.nl' is niets meer dan een doorverwijzing naar een adres als '203.0.113.10'.
"Dat is een bekend probleem, maar een ip-adres ziet er natuurlijk niet echt geloofwaardig uit, wat de kans op phishing kleiner maakt", aldus de Marktplaats-woordvoerder.