Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties
Bron: F-Secure, submitter: Poestie

F-Secure, leverancier van antivirus- en veiligheidsoplossingen, wil dat de Icann een nieuw topleveldomein voor banken introduceert. De .safe-extensie moet bijdragen aan de veiligheid van online bankieren.

.safe extensieDe groep mensen die alle bankzaken via internet regelt is de afgelopen jaren explosief gegroeid. Naast het toegenomen gemak worden de mensen echter wel met grotere beveiligingsproblemen geconfronteerd. Afgelopen week nog werden klanten van de ABN Amro slachtoffer van een phishingaanval. Mikko HyppŲnen, Chief Research Officer van F-Secure, pleit daarom voor een speciale domeinextensie voor banken en andere financiŽle instellingen. Door de speciale extensie zullen beveiligingsbedrijven beter in staat zijn het verkeer naar de website van een bank te beveiligen. 'We beseffen wel dat een .safe-extensie phishingaanvallen niet zal voorkomen. Het zal echter banken en beveiligingsbedrijven wel helpen in het beschermen van hun klanten', aldus HyppŲnen. 'Er is op dit moment geen eenduidige methode om geautomatiseerd een website te controleren. Als de nieuwe extensie alleen door banken gebruikt kan worden hebben we een startpunt om bijvoorbeeld e-mail en webverkeer te filteren', zo vervolgt hij.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (68)

Wat een onzin, nu zie je in de phishingmails dat men je onder water naar https://www.abnamro.nl.456egr.com/... probeert te sturen, dat zou hooguit veranderen in https://www.abnamro.safe.456egr.com/... - toch?

Volgens mij kan men beter duidelijkere voorlichting bieden aan haar gebruikers omtrend het herkennen van phishing-mails, en een afdeling inrichten die probeert de oorsprong van phishing-mails te achterhalen.
Hoezo onzin? Je browser kan dat toch checken? Kwestie van alle *.safe.* blokkeren en enkel *.safe/* toestaan.
Ja, je browser zou dat kunnen checken, maar dan springen de 'bad guys' wel over op https://www.abnamro.safeR.456egr.com/... of iets dergelijks.

En bovendien: wanneer je het beheer van die blacklists aan de gebruikers over gaat laten help je de doelgroep niet. Mensen als jij en ik zijn prima in staat om aan de url in de mail al te zien dat het niet deugt, maar als ik aan mijn vader denk: die zal ik de komende jaren nog niet bij de browser-settings aantreffen ;)

edit: @mariusjr: ik heb mijn punt gemaakt, je hebt (net als argeloze surfers) het 'R'-retje gemist achter safe, dus deze zou simpelweg door het browserfilter heenkomen...
Nee, want het idee van Vich is nu juist dat alle *.safe. geblokkeerd wordt. Dus ook deze wordt dan tegengehouden!
Een browser gaat dus echt niet op URL basis voor jou bepalen of een website wel of niet mag. Dat zie ik een microsoft nooit doen. Het lijkt me juridisch ook lastig voor M$
Je spywareprogramma dan.
Net als met https zou je een functionaliteit door kunnen voeren dat bij een domein met safe extentie er een geld teken verschijnt. Je kunt dan in je communicatie aangeven dat je alleen door mag gaan als je dit bankieren logo ziet. Dat is een stuk gebruikersvriendelijker en minder foutgevoelig dan het laten controleren van zo'n (voor de leek) niks zeggende tekenreeks in de adresbalk.
En waarom zou internet bankieren met een .safe domein ineens wel safe zijn, terwijl dit met een ander domein niet safe is?
Omdat de uitgave van .safe domeinen waarschijnlijk gecontrolleerd gaat worden. Dus niet elke domeinenboer kan een .safe leveren. Klinkt beetje als kartelvorming. Maar vergelijk het met een .edu Die kun je als het goed is ook niet aanvragen als je niet als school bent ingeschreven.
Windows/*nix hosts-file editen klaar... Beveiliging weg...
Dan moet je als attacker toch eerst toegang hebben tot het host OS? Of wilde je een mailtje sturen of de gebruiker AUB zijn hosts file wil bewerken?

Onder windows XP is dat nog redelijk makkelijk te doen met een EXE file, als het goed is zorgt vista al wat voor een betere afscherming. Echter op mijn linux machine's mag je als geen root bent niets met die file doen en op mijn apple kun je er ook alleen maar bij als je het systeem wachtwoord kent.

De gebruiker blijft altijd de zwakste schakel in een beveiliging, als die onzorgvuldig met zijn zooi omgaat is het makkelijk te omzeilen of via social hacking te achterhalen. En daar helpt geen speciaale domein extenstie, certificaten en allerlij andere dingen tegen. Als de gebruiker zo achterlijk is om zijn gegevens op straat te leggen tja... dan moeten ze die mensen hun computer maar afpakken.
"Of wilde je een mailtje sturen of de gebruiker AUB zijn hosts file wil bewerken?"

Jij wilt echt -niet- weten hoeveel idioten dat nog doen ook !

Geachte klant,

Recent onderzoek heeft aangetoond dat onder bepaalde omstandigheden het mogelijk is dat wanneer u www.rabobank.nl in de adresbalk van uw browser intypt, u in werkelijkheid naar de verkeerde site gestuurd wordt, wat mogelijk een beveiligingriciso met zich mee brengt.
(plausibel voor een gebruiker)
Dit blijkt te maken te hebben met de complexiteit van DNS systemen waarmee ISP's vandaag de dag mee te maken hebben, en de enorme groei van het internet.
(een paar termen, ja internet is complex, en laatst stond in de krant dat internet enorm is gegroeid. *dumb mode on !*)

Het is daarom aan te bevelen uw hosts file aan te passen zodat uw PC niet meer aan de DNS server van uw ISP de A Records hoeft op te vragen betreffende communicatie met onze diensten. (ensure dumb mode)

U kunt uw hosts file vinden op C:\Windows\System32\blahblah\hosts en kan deze met een teksteditor zoals notepad openen.

Indien u daar de volgende regel in toevoegt, dan bent u gegarandeerd van een veilige communicatie met uw bank.

www.rabobank.nl xxx.xxx.xxx.xxx rabobank

U zult ook zien dat het laden van onze diensten dan ook sneller verloopt.

Wij danken u vriendelijk voor uw medewerking.

Met vriendelijke groet,

Rabobank security advisors.


nou, 5 minute mailtje.
Het "lek" zit altijd op die ene lokale pc!

Ik heb nog nooit van een algehele internet-phishingzaak gehoord. Dat ze massaal alle traffic gaan rerouten via een andere ISP naar een andere server. Nee, het is altijd virusje, trojan, keylogger of een gebruiker die echt niet zit op te letten.

En dat los je dus niet op met een nieuwe extensie.
idd.
Op die ene lokale pc.

Het risico verlaagt imo wel enorm.

www.rabobank.nl of www.rbobank.nl

als je .sae hebt, zijn dit gene typo's meer
Kan jij je gebruikers niet uitleggen dat ze bij bankzaken naar de extensie moeten kijken en dat dit dan .safe moet zijn?
Dat doen ze nu al, zowel bij de Postbank als de ABN vragen ze of je zeker wilt zijn van de URL in de adresbalk.
Inloggen Mijn Postbank.nl
# Controleer of het internetadres begint met https://mijn.postbank.nl/internetbankieren/...
# Zorg voor up-to-date anti-virussoftware!
Kan jij je gebruikers niet uitleggen dat ze bij bankzaken naar de extensie moeten kijken en dat dit dan .safe moet zijn?
Ja, dat kun je doen, maar dat heeft nog steeds geen nut als er in je hosts file bijvoorbeeld dit staat:

rabobank.safe 1.2.3.4

Dan staat er in je browser mooi www.rabobank.safe, maar word je toch doorgeleid naar 1.2.3.4
Dat doen ze nu al, zowel bij de Postbank als de ABN vragen ze of je zeker wilt zijn van de URL in de adresbalk.
Dat doet de rabobank ook. Maar als er in plaats van
Ga alleen verder als de adresregel begint met https://bankieren.rabobank.nl/...
zou staan
Ga alleen verder als de adresregel begint met https://rabobank.veiligbankieren.nl/...
is het aantal mensen dat dit verdacht vind minimaal.
De bewering van Koenijn klopt niet helemaal.

Het kan zijn dat iemand www.p0stbank.nl heeft, of www.postbank-.nl als phising website.

Dan hoef je geen PC's te hacken en kun je toch mensen hun rekening plunderen.

In deze gevallen heeft een .safe domein zeker voordeel.
Nadat ik deze wijziging doorgevoerd had klaagde mijn systeem dat xxx.xxx.xxx.xxx een ivalid IP adres was? Helpdesk, wat doe ik fout.... :+

Maar even voorbij aan de gekheid, als je naast de DNS namen hier ook een IP range aan koppeld, is het voor anti 'van alles' software makkelijker filteren. En aangezien de gebruiker het niet zelf doet is dat waarschijnlijk de enige oplossing.

Natuurlijk wil F-secure op deze manier geld verdienen, maar het is een wedloop waar ook deze bedrijven steeds betere oplossingen moeten verzinnen om mensen tegen zichzelf te beschermen.
@ UpTownwings:

zo'n mailtje geloofd niemand, er staan veel te weinig spel en grammatica fouten in.
Het kan zijn dat iemand www.p0stbank.nl heeft, of www.postbank-.nl als phising website.
ben ik nou heel erg naief als ik denk dat het aantal nep bank adressen eindigend op dot.nl niet echt veel zal zijn.
Simpelweg omdat in ieder geval de meeste dot-nl registreerders het niet zullen vertrouwen als een onbekende & nieuwe klant x uit y opeens namens de-je-weet-wel bank zegt te mogen handelen.
Op die ene lokale pc.
tenzij een hacker (en een goeie kan 't heus wel) de DNS servers van een provider hacked.
Net zoals .edu heel veilig is eigenlijk, omdat het nogal gereguleerd is.
.edu heel veilig? de meeste gehackte fxp servers staan op .edu. Alle computers op een campus hebben de extensie .edu. Veilig? Ja je kunt niet zomaar een .edu domein aanvragen, maar erg veel controle is er nou ook weer niet...
De server mag misschien niet veilig zijn maar het verdelen/gebruiken van .edu extensies wel.
Omdat het duidelijk wordt wie een bank is, en wie niet.

Mischien kunnen ze dit ook doen met een uniform bank root certificaat.Dat zou op zich een betere en nettere oplossing zijn.
Want: waarom banken wel en e-buisnesses niet.
Dan heb je nog steeds te maken met het feit dat ook je certificate store aangepast kan worden. Een mailtje met de vraag of je de bijlage wilt opstarten et voila.. een extra root CA in je PC.

Zolang de gebruiker 'dom' is, is het niet meer een kwestie van de gebruiker overhalen om iets te doen. Vanaf dat moment zijn certificaten, domein extensies, etc. volledig waardeloos.

There's no cure for human stupidity.
En waarom zou internet bankieren met een .safe domein ineens wel safe zijn, terwijl dit met een ander domein niet safe is?
Inderdaad, dat is precies het probleem. Een dubieuze financiŽle instelling zou probleemloos een .safe-domein kunnen aanvragen. Het feit dat die instelling op een .safe-domein actief is, geeft aan dat het een financiŽle instelling is, maar zegt niets over de betrouwbaarheid van de instelling.

Het gevaar is mijns inziens dat goedgelovige internetters zullen denken dat .safe synoniem is aan veilig. Juist de groep mensen die door zijn internetgedrag gevoelig is voor internetfraude zou weleens al zijn gezonde achterdocht achterwege kunnen laten bij een aanval via een .safe-website.

Toen autogordels verplicht werden, steeg in de Verenigde Staten opeens het aantal aanrijdingen. Blijkbaar voelden automobilisten zich door de veiligheidsgordel minder kwetsbaar voor ongevallen. Dat is precies het gedrag dat een .safe-domein zou kunnen oproepen - het lijkt veilig, waardoor internetters minder op gevaar letten.
Het feit dat die instelling op een .safe-domein actief is, geeft aan dat het een financiŽle instelling is, maar zegt niets over de betrouwbaarheid van de instelling.
Het is niet alleen een financiŽle instelling, maar ook een goed te traceren financiŽle instelling. Dat is alvast een zeer groot verschil met een unaniem geregistreerd abmanro.com domein met een postbus adres in zwahilistan.
omdat je hierdoor veel grotere beveiliging uit kan voeren op phishing, als je ervoor zorgt dat de .safe dns servers erg goed beveiligd zijn
Het idee zal wel zijn dat je een .safe alleen kunt aanvragen als je aan kunt tonen dat je ook echt een bank bent, maar volgens mij zal dat nooit lang goed gaan.
Het idee is nog niet zo gek alleen de gekozen domeinnaam is wat misleidend en zorgt voor mee ronveiligheid vrees ik. Een gebruiker zal makkelijk denken dat een safe domein ook werkelijk safe is.
Kortom, andere naam zoeken die wel uniek is voor de financiele instellingen. iets zoals: mon ( is nog vrij dacht ik)

slaat dan op money dus herkenbaar en geen verkeerde ideetjes.
Door de speciale extensie zullen beveiligingsbedrijven beter in staat zijn het verkeer naar de website van een bank te beveiligen
Omdat ze mogelijk puur voor eigen parochie prediken?

Geld! Geld! Geld! Geld!
Het is natuurlijk wel een stap in de goede richting, alleen het blijft symptoom bestrijding. Virusschrijvers zullen zich nu natuurlijk meer gaan richten op hoe ze URLs zo kunnen fokken dat het op .safe lijkt maar in werkelijk .ru is.
Ook kunnen virusschrijvers zich gaan richten op het aanpassen van host-files of het DNS server adres op de werkstations aan te passen. Wat echt een gevaarlijk bijverschijnsel is, dat het het gevoel van veiligheid verhoogd, terwijl dat in werkelijkheid niet zo hoeft te zijn.
Vergeet dan ook niet dat veel mensen niet eens goed opletten waar ze heengaan. Zoals gewoon http ipv https of dat het hele verschil tussen .nl en .com onduidelijk is. Ik zie dus ook heel simpel domains ontstaan als:

http://mijn.bank.safe.ru

De uitwerking is te raden...
Ja sorry hoor, maar dan ben je dus echt gewoon DOM. Niet jij maar de gebruiker die daar intrapt.
En voordat ze kunnen inloggen even een berichtje dat het op .safe moet eindigen en niks erna.
Sommige mensen moeten gewoon maar naar de bank toelopen als ze niet met internet kunnen omgaan.
Ja sorry hoor. M'n schoonmoeder wil bijvoorbeeld wel naar de bank, maar die is dus gewoon dicht (zo goed als). Je mag alles via internet doen tegenwoordig (de rest kost extra geld!).

En ja, die is "internet-dom". Kent net het principe e-mail. Maar 'moet' soms even internetbankieren (als er niet even iemand is om het voor d'r te doen). Ik hou m'n hart vast!

Maar geven die banken b.v. een A4-tje met daarop in koeienletters de 5 basis-veiligheidsregels mbt internetbankieren bij het afsluiten? Nee.
Ja leuk, maar dat bericht staat op de website van de bank. Als je op het buitenlandse broertje van de banksite zit, is deze waarschuwing natuurlijk aangepast.
Let op, ga alleen verder als in de adresbalk "https://fishing.hackers.wejattenjegeld.heelsafe.nu" staat.
(of iets minder opvallends :+ )

Of wil je mensen elke week een papieren waarschuwing toesturen? Anders krijg je het juiste adres er echt niet in.
Zolang mensen html in hun mail hebben aanstaan, en op linkjes klikken hou je het probleem denk ik. Html staat in mijn mailprog standaard uit.
Helemaal mee eens. Dit .safe domain slaat nergens op en draagt imho totaal -niet- bij aan een veiliger omgeving met banken. De verbinding met banken e.d. is veilig genoeg zoals het is nu. Echter alle beveiliging is net zo veilig en sterk als de zwakste schakel in het geheel. En dat is en blijft in dit geval echt de gebruiker.

De kern van het probleem is dan ook niet zozeer de netwerk communicatie, maar de social engineering die 'hackers' toepassen om aan de bewuste gegevens te komen van gebruikers, phishing dus. En zolang de grote meute die gebruik maakt van online bankdiensten over het algemeen, met alle respect, een stel achterlijken zijn betreft PC gebruik, netwerk technologie etc, heeft zo'n .safe domain helemaal geen zin.

Het is niet de dienst die onveilig is, het is de gebruiker van die dienst.
Wat dacht je ervan dat de browser zoiets ook kan controleren?
dat hoeft geen problemen te geven, je laat alle browsers verplicht inbouwen dat een "safe" adres moet eindigen op safe en niks erna (bestaande websites zoals safe.com hebben dan maar pech) en het moet ook zijn dat voor .safe adressen de hosts file geskipped wordt

door die 2 kleine dingen in de browser in te bouwen is al de helft van het gevaar geweken
Het is natuurlijk wel een stap in de goede richting, alleen het blijft symptoom bestrijding.
.

Natuurlijk, maar dat zal wel altijd het geval zijn aan gezien de legale machine rondom internet een stuk trager reageert en ingrepen doorvoert dan de illegale machine. De fullproof beveiliging bestaat niet en zal ook niet bestaan. Dus dan zijn dit soort ideeen toch zeer nuttig? Het hoeft niet onmogelijk te zijn, als het maar steed moeilijker wordt...

Internet wordt pas veilig als het volledig transparant wordt, en dat wil toch niemand ;)
Wordt het niet eens weer tijd om standalone banking programma's te gaan gebruiken? Desnoods in JAVA waardoor het direct platform onafhankelijk is.

Niks geen gekloot met verkeerde adressen enz enz..
Dan maak je het de mensen weer moeilijker.
Wat is er nou makkelijker dan overal bij je bankzaken kunnen, waar je ook bent (thuis, werk, vakantie etc.)?

Op vakantie is het niet altijd mogelijk om in een internetcafe oid een programma te installeren.

Een standalone programma zou weer een stap terug zijn, het is denk ik beter een veiliger model te ontwikkelen en deze in de huidige standaarden te implementeren (web browser).
Beste Klant,

Er is een probleem ontdekt in ons bank programma.
Dit probleem kan verholpen worden door een update te installeren die meegestuurd is met deze e-mail.

Na het installeren kan U weer veilig bij ons banken.

Dat gaat dus ook niet werken he.
Dat is geen slecht idee op die manier weet iedereen dat hij op de juiste site zit en wordt de kans op phishing ook veel kleiner want over een tijdje weet iedereen dat het een .safe moet zijn.

imho hadden ze dit wel eens wat eerder mogen doen.
Door de hostfile aan te passen kan je wel denken dat je op een .safe site zit, maar ondertussen kan je je heel ergens anders bevinden hoor.
Het voordeel van het .safe domein is waarschijnlijk meer dat de uitgave veel beter gecontroleerd kan worden.
Natuurlijk is het voor een besturingssysteem vrij eenvoudig om *.safe rerouting niet toe te staan.
Ik denk dat het doel is dat er dan browsers en firewall software geschreven kan worden die heel simpel kan controleren of het een bank connectie betreft. Denk bijvoorbeeld aan Norton die in de Norton DNS opzoekt of het IP adres is gekoppeld aan een .save extentie en vervolgens aan de gebruiker meld dat het een bank is waarop ingelogt is. Het maakt de phishing-check die nu op iedere site uitgevoerd moet worden makkelijker denk ik.
De enige reden hiervoor is dat het eenvoudiger zou zijn voor software die phising en andere kwalen moet tegenhouden.. Een .safe domein zou een bijna 100% garantie moeten geven dat het om een legitiem domein gaat.

Dit idee is echt niet voor de eindgebruiker bedacht...

De inteligentie van de reacties op de frontpage is ... laag
Als ze strikte voorwaarden aan het .safe extensie hangen, dan kan het zeker een succes worden ik denk dat er wel onafhankelijke organisatie dit moet gaan managen.
Sommige mensen moeten gewoon maar naar de bank toelopen als ze niet met internet kunnen omgaan.
Goh, slechte ontwerper zou jij zijn zeg. Het apparaat is niet kut, nee de gebruiker moet zich maar aanpassen. In 'vaktaal' heet dat prokrustes. Dat is een erg fout verschijnsel.

Anyway, het lijkt me altijd weer een stap in de goede richting maar zoals het .safe plan nu op de tafel licht gaat het net zoveel helpen als .nl. Het zou dus pas extra effectief zijn als er idd een soort van check (ssl certificaat maar dan voor een domein ofzo) bij komt. Maarja, dat moeten de browsers weer ondersteunen :)
Ik snap best de goede bedoelingen van F-secure, maar het lost niets op. Mensen letten niet op en daar zijn alle exploits en andere oplichters praktijken op gebaseerd.

Voorbeeldje: DHL@europe.com ziet 9 van de 10 mensen als een valide adres van DHL.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True