Kan een .bank domeinextensie phishing voorkomen?
08-05-2007
Banken zijn de laatste tijd steeds vaker het slachtoffer van phishing. De cybercriminelen sloegen onlangs nog toe bij ABN Amro, maar ook de Postbank is lange tijd slachtoffer geweest van zogenoemde “phishingmail”?. Een nieuwe domeinextensie “.bank’ zou volgens Mikko Hyppönen (beveiligingsexpert bij antivirusbedrijf F-Secure) een einde kunnen maken aan de praktijken van de cybercriminelen, alsdus het bericht op Nu.nl. Overigens is de berichtgeving op NU.nl niet helemaal nieuw. Arnout Veenman van ISPam berichtte al eerder over de nieuwe extensie.
Het “.bank”? domein zou uitsluiteind aan erkende banken mogen worden toegewezen. Daarnaast moet het domein zo’n 50.000 dollar gaan kosten. Dit zou een volgens Hyppönen een drempel voor de cybercriminelen kunnen zijn. Nu is het nog maar de vraag of het bedrag überhaupt als drempel dient, aangezien er met de phishingaanvallen bij ABN Amro al tienduizenden euro’s zijn gestolen.
Heeft de “.bank”? domeinextensie wel zin?
Het uitgifteproces van de domeinnamen moet goed geregeld zijn. Het zou moeten gaan om een onafhankelijke derde partij, die alleen erkende banken aansluit.
Waarschijnlijk kan zelfs bij een goed uitgifteproces nog misbruik worden gemaakt van de “.bank”? extensie. Denk hierbij aan het feit dat cybercriminelen een eigen domein naam server (DNS) kunnen opzetten. Een commercieel bedrijf als UnifiedRoot maakt al diverse extensies mogelijk, bijvoorbeeld “.ictrecht”?. Waarom zouden cybercriminelen dat niet kunnen?
Niet alleen banken hebben te maken met het phishing-probleem. Daarom zou je voor allerlei bedrijven een aparte domeinextensie moeten gaan hanteren.
Misschien is het EV SSL certificaat een betere of aanvullende oplossing voor de banken en andere bedrijven die te maken hebben met het phishing-probleem.
Het uitgifteproces van het EV SSL certificaat is in tegenstelling tot het gewone SSL certificaat streng. Bij de uitgifte worden onder andere de bedrijfsgegevens gecontroleerd, het mag alleen om een BV of NV gaan en er wordt telefonisch contact opgenomen met het bedrijf (download vereisten uitgifteproces).
Als gebruik wordt gemaakt van het EV SSL certificaat laat Internet Explorer 7 een groene adresbalk zien. Op deze wijze garandeert het bedrijf op gecontroleerde en voor de bezoeker herkenbare manier de identiteit van de website.
Tevens zullen Firefox en Opera aan de ontwikkelingen van EV SSL meewerken.
Zie www.cabforum.org voor meer informatie.
DigiNotar zal de eerste Nederlandse websites voorzien van een EV SSL certificaat.
1 Comment Reageer
-
1. Hendrik Rood | juni 6th, 2007 at 13:45
Dit commentaar bevat een aantal verkeerde vooronderstellingen over de werking van het DNS. Daardoor gaat het betoog niet op.
Overigens zal .bank niet helpen. Er zijn allang voorbeelden bekend, waarbij een plaatje werd gebruikt om de phising-domeinnaam te maskeren met de “echte naam”. Dat kan met .bank net zo goed. Bent u op de site http://www.fake.us en ziet u toch schijnbaar http://www.friesland.bank o.i.d.
Als het probleem bij dataveiligheid ligt, dan is het zinloos om “paden”, “sites” of “tunnels” te gaan beveiligen en kan men beter alle data zelf gaan authenticeren. Zolang banken nog e-mail naar klanten uitsturen zonder een verifieerbare elektronische handtekening, moet je niet verwachten dat gebruikers software zullen installeren die een onderscheid maken.
Geef een reactie
De volgende HTML TAGS zijn toegestaan:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>
Trackback deze post | Subscribe to the comments via RSS Feed