Dat moet je uit de whois kunnen opmaken.

Als niet, klagen bij SIDN. Oh wacht, ze hebben de whois moedwillig kapot gemaakt. Nouja, toch maar klagen bij SIDN.

Vraag het de belastingdienst. Ofwel het is een phishingsite en de belastingdienst zelf zal toch hopelijk wel weten welke sites ze bedrijven en welke niet. Ofwel het is van de belastingdienst en dan is het interessant te weten hoe ze dit gedacht hadden. En vertel ons ook even wat ze daar te melden hebben?

Is er iets van een paper trail van tickets of commits ofzo te vinden? Bij de makers van die lijst bijvoorbeeld.

Als je niet kan uitvogelen wie die lijst geklust heeft geeft dat ook te denken.

Denk dat het wel meevalt. Waar moet je je gegevens invullen dan?

Website is geregistreerd door Kaliber Interactive B.V. (Utrecht)
Doet wel meer werk voor de overheid zoals werkenbijdeoverheid.nl

Whois van sidn geeft netjes aan dat die site (-in-beeld) van de belastingdienst is. De dienstverlener kaliber is ook op tenderned terug te vinden. ALs je daar een rondgekeken heb dan zie dat zowat elk wissewasje aanbesteed wordt.

Dat levert een antwoord voor 3) op. Verwacht geen enkele eenheid in techniek en realisatie met zoveel verschillende aannemers zonder echte regie. Als je overheidssites vind op internet moet je ook niet raar kijken als het weesjes zijn.
De aanbesteding gaat over implementatie realisatie en daarna houdt het op.

Dan zie je een wezenlijk verschil van de bekende site belastingdienst.nl daar zit de operatie achter. Aangezien elke verandering een change en gevaarlijk is zal het veranderen moeizaam zijn.

Ik zou het, los van andere controlemogelijkheden, érg prettig vinden als men subdomeinen toe zou passen. werkenbijde.overheid.nl dus, en in-beeld.belastingdienst.nl. Dat zou expliciet zichtbaar maken dat een site onderdeel van een bekend groter geheel is, en als dat de gewoonte zou zijn zou het zinvol worden om mensen aan te leren erop te letten. Helaas passen zelfs internetreuzen als Google dit niet consequent toe (gstatic.com in plaats van static.google.com). Ik heb me wel eens afgevraagd of dat is om NoScript-gebruikers, die er veel baat bij zouden hebben, het leven zuur te maken.

Vermoedelijk omdat verschillende onderdelen van de belastingdienst die URLs en websites hebben geregeld, onafhankelijk van elkaar, en daarbij met verschillende dingen rekening hebben gehouden. De belastingdienst is een enorme organisatie, het is een illusie om te denken dat alles daar consistent op dezelfde manier gebeurt, daar slagen aanzienlijk kleinere organisaties al niet in.

Je kunt de site zelf aanmelden: https://hstspreload.org/ alleen is zoals je gezien hebt de preload optie in HSTS niet aangezet , dat geldt ook voor mijn.digid.nl, en daar vind de authenticatie plaats. Ze hebben bij de belastingdienst een responsible-disclosure policy waarbij je beveiligingslekken en verbeteringen kunt melden: www.belastingdienst.nl/security. Je krijgt daar wellicht antwoord van: responsible-disclosure@belastingdienst.nl

Dank voor alle reacties!

Ondertussen vond ik in http://forum.fok.nl/topic/2284326 dezelfde vraag, waarop "Nizno" antwoordt dat, onderaan de homepage van belastingdienst.nl, "> Over de organisatie" naar belastingdienst-in-beeld.nl verwijst. Het lijkt dus wel om een tweede site van "de Belastingdienst" te gaan. Maar dit beantwoordt lang niet al mijn vragen...

Ik haal slechts enkele stukjes aan om deze bijdrage niet al te lang te maken.

Het gaat mij er niet om dat belastingdienst-in-beeld.nl op deze lijst staat (hoewel ik het verspilling van resources vindt voor een "over de organisatie" website), maar vooral dat als beheerders van de belastingdienst die site op deze lijst zetten, waarom dan belastingdienst.nl niet? (Waarschijnlijk omdat die laaste nog niet 100% https ondersteunt, maar sjeemig, fix dat dan een keer).

De term "phishing" is wellicht onjuist als je (nog) nergens gevraagd wordt om gegevens in te vullen, maar hoe noem je een site die je (mogelijk) op het verkeerde been zet? De verwijzing "> Over de organisatie" en de sitenaam belastingdienst-in-beeld suggereren een soort kijkje in de keuken. Daar kan ik me dan ook nog wel blogs op voorstellen met in elk een disclaimer dat het om een persoonlijke mening gaat en niet het overheidsstandpunt vertegenwoordigt.

Echter ik zie hier inhoudelijke stukken op zonder disclaimer. Bijv. in https://belastingdienst-in-beeld.nl/geen-huurtoeslag-meer-voor-bewoners-van-recreatiewoningen/ van 23 juni 2017 staat onder meer:
Dit heeft natuurlijk niets met "over de organisatie" te maken. Belangrijker: is deze informatie nu juist of niet? Ik bedoel, is dit het authentieke overheidsbeleid op dit punt, uitgevoerd door de belastingdienst? Zo nee, krijg je gelijk van een rechter als je meer moet terugbetalen en hiernaar verwijst? Zo ja, waarom staat deze informatie dan niet op de officiële site van die belastingdienst? Ik heb er niet naar gezocht, maar stel dat op belastingdienst.nl zou staan dat eigenaren van recreatiewoningen huurtoeslag met terugwerkende kracht tot 1-7-2016 moeten terugbetalen, wat klopt er dan? Dit lijkt op een organisatie die met twee tongen praat.

Over de "whois" antwoorden: geen leek die dat snapt en bovendien, de registrars zijn:
- belastingdienst.nl: "Belastingdienst Centrum voor Infrastructuur en Exploitatie"
- belastingdienst-in-beeld.nl: "Kaliber interactive B.V."
Volgens SIDN:
Dit zegt mij 2 dingen:
1) De belastingdienst heeft een eigen afdeling die zelf domeinen kan registreren, en die afdeling lijkt hier buiten spel gezet te zijn;
2) Kennelijk vindt SIDN het prima dat een commercieel bedrijf een domeinnaam voor een website registreert die "klinkt" als mogelijk iets van een overheidsorganisatie (die notabene zelf zo'n dienst heeft, zie punt 1).

Dat laatste punt verbaast mij totaal niet. De SIDN zal hooguit verhinderen dat domeinnamen geclaimd door de overheid worden gekaapt, maar zal er geen bezwaar tegen maken als ik bij een willekeurige registrar voor .nl namen iets als happy-belastingdienst-friends.nl registreer.

Met andere woorden: alleen als belastingdienst-in-beeld.nl ook door registrar "Belastingdienst Centrum voor Infrastructuur en Exploitatie" was geregistreerd, had ik uit whois kunnen herleiden dat het waarschijnlijk om 2 sites van dezelfde organisatie gaat.

Notabene onderaan belastingdienst-in-beeld.nl (niet onderaan belastingdienst.nl!) staat, met klikbare links:
Hier staat belastingdienst-in-beeld zelf niet bij (ook niet grijsgemaakt, unclickable).

Daaronder, onder "Over deze site" staat niets als een colofon o.i.d. dat uitlegt waarin deze site verschilt van belastingdienst.nl. In https://belastingdienst-in-beeld.nl/cookies/ staat onder meer:
Die sitenamen worden meerdere keren genoemd, belastingdienst-in-beeld.nl geen enkele keer. Wellicht geen phishingsite maar wel een amateuristische puinhoop.

Ik ben het dan ook volstrekt eens met anoniem van 12:57: domeinnamen als x.nl en y.nl hebben als enige gemeenschappelijke factor dat het (waarschijnlijk) om Nederlandse organisaties gaat. Als de douane onderdeel is van de belastingdienst, hoort haar website douane.belastingdienst.nl te heten.

Hoe ze dat intern regelen moeten ze maar zien, maar we hebben het hier over een overheidsorgaan dat met 1 mond hoort te spreken. Twee sub-.nl domeinnamen voor dezelfde overheidsorganisatie -waar elke Nederlander mee te maken heeft- kennelijk vanwege politieke eilandjes en/of ego's, vind ik krankzinnig. Sla maar net zolang koppen tegen elkaar tot de betrokken neuzen, op z'n minst voor op internet gepubliceerde informatie, dezelfde kant opwijzen!

Welke site vertegenwoordigt het overheidsstandpunt, d.w.z. bevat authentieke informatie? (Authenticiteit is onderdeel van integriteit). Dit ondermijnt mijn vertrouwen in de overheid. En belangrijker: met stinkende doch kennelijk "legitieme" domeinnamen als belastingdienst-in-beeld.nl kan ik (beroepsmatig) niet aan leken uitleggen hoe zij phishingsites kunnen herkennen.

Wat weer eens bewijst dat de afdeling commercie en marketing overal de lakens uitdeelt of denkt te kunnen uitdelen.
Gevolgen van voortgezette privatisering en de managerscultuur, die de dienst uitmaken.

Gevolgen het "belang van het gemeen (wij allemaal dus)" komt steeds verder onder druk en telt niet meer mee of slechts als om het eindproduct te genereren. Overal hetzelfde bij de overheid, semi-overheid, de zorg etc.

Eventjes een Quick and Dirty dus...

Organisatie: Belastingdienst Centrum voor ondersteuning IV Wildcard SSL Ttransip B.V. *)
De certificeringsketen: Addtrust External CA Root - Comodo RSA - 2 intermediate certs - *belastingdienst-in-beeld.nl
Root geïnstalleerd op de server, geen best practices -

* 8 geblackliste URLs - http://sitevet.com/db/asn/AS20857

Af te serveren jQuery library op website: http://retire.insecurity.today/#!/scan/58d816a6f7a8e7f5bb631fc1c7ecba2c25858f3eec9a3b55acd558a5046be826

Cookie rapport: https://webcookies.org/cookies/belastingdienst-in-beeld.nl/9205724

nog meer? -> werken.belastingdienst.nl Lubbers Box Telematica BV


en ...https://pwa001.belastingdienst.nl/piwik/piwik.js
GoogleSafe:
OK Load:
791ms Server: 85.159.98.240
Apache/2.2.15 (Red Hat) ASN: 34663 Netherlands
Belastingdienst/Centrum voor Infrastructuur en Exploitatie Reverse DNS:
pwa001.belastingdienst.nl

Deze informatie staat wél op de officiële site van de belastingdienst:
https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/toeslagen/huurtoeslag/huurtoeslag-2017/voorwaarden-2017/zelfstandige-woonruimte

Op de pagina https://belastingdienst-in-beeld.nl/geen-huurtoeslag-meer-voor-bewoners-van-recreatiewoningen/
wordt er o.a. naar doorverwezen met "Zie ook:" en wat er verder volgt. Daar staat dan inhoudelijk hetzelfde, dus niets mis mee.

Het enige zotte eraan is dat de overheid hiermee mensen blijkbaar uit hun permanent bewoonde recreatiewoningen jaagt (waar dat nog is toegestaan) om een flutreden. Er zijn heel wat woningen in de provincie Groningen die minder veilig zijn om in te wonen. En wat denk je van rieten dak-boerderijen (voor zover die worden verhuurt, dat weet ik niet)

Certificaat is root geïnstalleerd op de server. Organisatie: Organization:
Belastingdienst Centrum voor ondersteuning IV Wildcard SSL
AddTrust en Comodo certificatie chain.
Server versie info proliferatie: Apache/2.4.7 (Ubuntu)
Onveilig in deze zin: Website is insecure by default
100% of the trackers on this site could be protecting you from NSA snooping. Tell belastingdienst-in-beeld.nl to fix it.

All trackers
At least 3 third parties know you are on this webpage.

-belastingdienst-in-beeld.nl
-Google
-pwa001.belastingdienst.nl -pwa001.belastingdienst.nlhttp://toolbar.netcraft.com/site_report?url=https://pwa001.belastingdienst.nl -piwik

C+ graad status & aanbevelingen: https://observatory.mozilla.org/analyze.html?host=belastingdienst-in-beeld.nl

Af te voeren jQuery bibliotheek: http://retire.insecurity.today/#!/scan/b1b51b9aa93b068c1a635a8f491b25aaec5373111ad13bfaf9089d66ec291fcb

Code fouten:

Belastingdienst-in-beeld is wel een wordpress site.. de normale belastingdienst site niet

Juist. Is deze plug-in gecheckt: WordPress Plugins
The following plugins were detected by reading the HTML source of the WordPress sites front page.

responsive-charts
Plugins are a source of many security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers plugin page for information about security related updates and fixes.

WordPress Theme
The theme has been found by examining the path /wp-content/themes/ *theme name* /

Avada Child 1.1.1
While plugins get a lot of attention when it comes to security vulnerabilities, themes are another source of security vulnerabilities within WordPress installations, always keep them updated to the latest version available and check the developers theme page for information about security related updates and fixes.

Information Linked Sites
Google Safe browse checks have been performed on each of the linked sites. Links with poor reputation could be a threat to users of the site. Hosting and location are also included in the results.

Externally Linked Host Hosting Provider Country

www.facebook.com Facebook United States

www.linkedin.com LinkedIn Corporation United States

werken.belastingdienst.nl Lubbers Box Telematica BV Netherlands

twitter.com United States

www.accessibility.nl DataCT v.o.f. Netherlands

www.belastingdienst.nl Belastingdienst/Centrum voor Infrastructuur en Exp Netherlands

Transip BV staat hier centraal als hoster : http://belastingdienst-in-beeld.nl/
GoogleSafe:
OK Load:
481ms Server: 149.210.176.158
Apache/2.4.7 (Ubuntu) ASN: 20857 Netherlands
Transip B.V. Reverse DNS:
belastingdienst-in-beeld.nl

Bovenstaande scan gegevens van een third party scan hier: https://hackertarget.com/wordpress-security-scan/

Huh?

Ook verhelderende scan en de rol van hoster TransIP:

https://urlscan.io/result/5737ce0f-d799-43b1-b1f3-d63bf1563c67#summary