.bank extensie maakt online bankieren niet veiliger
De Finse virusbestrijder F-Secure kwam vorige week met het idee dat er een apart top level domain moet komen voor banken en andere financiele instellingen. Nu het aantal mensen dat online bankiert groeit, groeit ook het aantal mensen dat fraudeert. Door het introduceren van een .safe, .sure of .bank domein weten online bankierders dat ze altijd op het juiste adres zitten, aangezien de "bank extensie" alleen door banken verkregen kan worden.
Volgens de Finnen hebben consumenten op dit moment niet de mogelijkheid om te bepalen of de website waarop ze zitten wel bij de bank hoort. "Een .safe domein geeft miljoenen online klanten de zekerheid de ze nodig hebben dat online bankieren veilig is", aldus CSO Mikko Hyppönen.
Het lijkt echter een nodeloze schreeuw om aandacht. Niet alleen is het idee al een tijd geleden geopperd en afgeschoten, ondanks alle aandacht, online trainingen en waarschuwingen dat mensen op het "slotje" moeten letten als ze hun bankzaken doen, blijken de meeste mensen dit gewoon te negeren. Waarom zouden ze dan wel op een specifieke domein extensie letten? Onze stelling luidt derhalve: .bank extensie maakt online bankieren niet veiliger
in je hosts file zetten en hoppa...
Nou, nou, nou. Dat kan ook wel zonder afkatten.
Mikko Hyppönen is een alom gerespecteerde malware onderzoeker en
wie ben jij? Je noemt in ieder geval geen enkel argument dat ter zake
doet.
Ik ondersteun de mening van Mikko dat een bank tld veiligheid toevoegt.
Daar hoort wel bij dat een instantie de aanvragen gaat controleren. Dat lijkt
moeilijker dan het is. Er zijn al organen die banken beoordelen voor o.a.
internationaal bankverkeer.
Ik denk alleen niet dat het bedoeld is voor de verkoop van meubels :-P alhoewel ze er wel recht op moeten hebben vind ik.
Persoonlijk denk ik dat het maken van die TLDs niet veel nut heeft. Er zijn te veel mogelijkheden om de gebruiker te laten denken dat hij ergens is terwijl het niet zo is.
Als je alleen al denkt aan mogelijkheden als hostfiles - dns poisoning etc.
.bank extensie maakt online bankieren niet veiliger
noemt zoiets een Top Level Domain of TLD.
Ontopic:
Ik denk niet dat het helpt. Het is niet het tld maar de
onveiligheid van de sites zelf.
kan ook problemen geven met leden in redelijk onbetrouwbare
landen (Rusland, China..)
Als ze het zouden kunnen koppelen aan geforceerde kennis en
bezit authenticatie voor het specifieke toplevel domain is
er wellicht wat meer voor te zeggen. IPV6 moet dan wel snel
ook doorbreken....
via echt ogende mailtjes. Mensen volgen de links in die
mails. Ik vraag me af of de massa daarbij kijkt of het
top-level domein .bank is.
Maar het is een extra beveiligingsmaatregel.
hun klanten willen bedienen in een omgeving waar de klant
zich thuis bij voelt.
Het uitgeven van een .bank gTLD geeft alleen maar meer
verwarring, want waar moet de klant nou heen? Zijn vetrouwde
.nl of die nieuwe .bank.
Daarnaast voorkomt een .bank toch echt geen malware. Mensen
blijven dom en zullen dat soort programmas toch wel op hun
pc's blijven krijgen.
de URL letten, en gebruikers die dit niet doen.
De gebruikers in de tweede groep hebben niets aan een .bank
TLD.
Gebruikers in de eerste groep kennen toch al de URL van
de bank, en zullen alleen maar in de war raken als deze
ineens van http://www.abnamro.nl naar http://www.abnamro.bank
gaat.
Mijn mening is dat een .bank TLD niets toevoegd aan de veiligheid.
certificaten zijn ook zelf te maken en hoeveel mensen zijn
er nou die uitgebreid dat certificaat gaan controleren.
maar je kan met javascript ook gewoon de url veranderen in
http://www.bedrijf.bank
terwijl je op illegalesite.nl zit.
Zo kan de consument nog niet controleren wat het echte adres is.
ik vind het zelf niet nodig om een .bank tld in te voeren.
vertrouwen opwekken dat er niet is.
Wat er zal gebeuren: virussen en malware hebben een
ingebouwde packet filter, en veranderen je http packets.
Door het vertrouwen zouden mensen kunnen denken dat .bank
adressen veiliger zijn, en dit niet zou kunnen gebeuren.
Volgende optie is dat 1 .bank adres website gekraakt word,
en deze gaat fungeren als phising website om ook bezoekers
van andere .bank adressen te neppen (via bijv
spyware/malware), want tenslotte 'is .bank veiilg'.
Beide redenen gelden ook voor .safe .sure en andere tld
domeinen uiteraard.
Conclusie:
TLD Domein .bank maakt het iets moeilijker voor de crackers,
maar dat weegt niet op tegen de hoeveelheid mensen die zich
veilig voelen met het domein.
aanpast zodat https://mijn.post.bank naar mijn lugubere phishingsite
verwijst op een gehacked Russisch servertje met IP-adres ...
Tegelijkertijd moet de Trojan een self-signed root-certificaat in de Trusted
Root Certification Authorities van IE gooien. Zodra dan via https naar
mijn.post.bank wordt gegaan, wordt er netjes een phishing .bank site
getoond zonder enige SSL-waarschuwing.
Ja ja, .bank is alleen te registreren door banken. Ha, laat me niet lachen!
Bovenstaand scenario werkt dan nog steeds, zonder registratie van
een .bank domein. En je bent in dit scenario toch ook het haasje.
Kortom, een slecht plan van F-Secure. Ik dacht dat ze daar toch beter
nadachten over security? Of raden ze bij F-Secure soms ook hun eigen
product aan zodat een scenario zoals ik nu schets wordt herkend door hun
eigen product?
gaat het om geld verdienen over de rug van hun klanten. Zolang de baten
hoger zijn dan de kosten, gaat er NIETS gebeuren. Al worden de
bankrekeningen van 10 mensen volledig geplunderd, het zal hun bank een
geen ene bal schelen. Pinpassen zijn inherent onveilig, maar die bestaan
ook al jaren. Internet bankieren is gevaarlijk, 75% van de Nederlandse
websites heeft lekke websites. Maarja, je kunt leven met problemen van
anderen, zolang je er zelf geen last van hebt, kijk naar creditcard
maatschappijen. Dat jij 4 weken lang niet bij je geld kan omdat iemand
jouw code gegenereerd heeft, daar liggen hun niet wakker van.
Een bank zal dus nooit iets doen aan hun urls, want het levert geen geld
op. Tenzij daar marketingvoordeel uitgehaald kan worden maar voorlopig
zie ik dat nog niet gebeuren.
vooruit zijn. Maar er zijn effectievere manieren om
gebruikers veilig te laten bankieren. Waarschijnlijk nog
goedkoper ook!
Nou, nou, nou. Dat kan ook wel zonder afkatten.
Mikko Hyppönen is een alom gerespecteerde malware onderzoeker en
wie ben jij? Je noemt in ieder geval geen enkel argument dat ter zake
doet.
Ik ondersteun de mening van Mikko dat een bank tld veiligheid toevoegt.
Daar hoort wel bij dat een instantie de aanvragen gaat controleren. Dat lijkt
moeilijker dan het is. Er zijn al organen die banken beoordelen voor o.a.
internationaal bankverkeer.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.