Interessant, ik zou de test resultaten wel eens willen zien, want daar zaten zeker en vast false negatives en false positives bij door de bril van ons aller overheid. Kunnen die sites nog de de gebruiksvoorwaarden even aanpassen, om te mogen blijven bestaan.


Of niet...

Domeinnamen blokkeren is volstrekt zinloos.

Nepwebsites wisselen voortdurend van domeinnaam en vaak ook van server (IP-adres). Je loopt voortdurend achter de feiten aan.

IP-adressen blokkeren zou wél zinvol kunnen zijn. Niet direct, maar het leidt tot veel vals-positieven en daarmee boze eigenaren van legitieme websites op hetzelfde IP-adres. Die zullen klagen bij de hosting-provider of meteen verkassen naar eentje die géén troep wil hosten, en klanten zorgvuldig selecteert. Uiteindelijk zal dit een veiliger internet opleveren.

Bijvoorbeeld Cloudflare zegt openlijk het niet haar verantwoordelijkheid te vinden dat zij phishing websites host (in dit geval proxiet). Zij vindt dat geheel uw risico, en is ondertussen ordinair medeplichtig aan cybercrime - want zij verdient eraan. De meeste hosting/cloudproviders denken er net zo over.

Dat bijvoorbeeld haar IPv4-adres 104.21.64.1 momenteel door 7 (van 94) virusscanners als kwaadaardig wordt beschouwd [1], is een teken aan de wand. Geen enkele maker van virusscanners wil dat hun product slecht scoort op valspositieven. Als dan 7 van 94 het aandurven, zegt dat m.i. veel. Maar omdat het niet om veelgebruikte scanners gaat, heeft u daar (nu en op termijn) waarschijnlijk niets aan. Bovendien kan uw browser ook naar 104.21.32.1 worden gestuurd als u één van de o.a. door 104.21.64.1 en 104.21.32.1 geproxiede websites bezoekt. In dat laatste geval is er maar één virusscanner die er kwaad in ziet (zie de tabel verderop).

[1] https://www.virustotal.com/gui/ip-address/104.21.64.1/.

Nb. in het RELATIONS tabblad kunt u zien (als u heel vaal op ••• drukt) dat op dat IP-adres, en haar kopieën [2], elke dag duizenden nieuwe domeinnamen bijkomen - en vele na 1 of enkele dagen alweer stoppen met werken (of een kwaadaardige pagina's tonen om de domeinnaam weer "wit te wassen" = van blocklists te laten halen - vaak door zelf half criminele domeinnaam parkeerdiensten).

Verbaas u ook eens over hoe bezopen de meeste domeinnamen er aldaar uit zien. Teveel mensen snappen niets van domeinnamen en kijken uitsluitend naar de inhoud van webpagina's waardoor zij eenvoudig te misleiden zijn. Hoe nietszeggender een domeinnaam, hoe groter de kans dat een specifieke groep mensen er intrapt. Kijk bijv. ook eens naar het RELATIONS tabblad in https://virustotal.com/gui/ip-address/109.176.19.35/, echt alleen maar criminele troep (mogelijk APT29).

Bijv. 657.s3.fr-par.scw[.]cloud (zonder de [ en ]), op een server in Frankrijk, was recentelijk de domeinnaam van een phishingwebsite (bron: https://infosec.exchange/@VirusBulletin/114902595838328702; de link in die toot geeft momenteel een 404).

[2] Het hele rijtje inclusief de reeds genoemde, met de huidige AV-detectie ervoor:

Waarom de detectie zo verschilt per IP-adres is mij een raadsel. De meeste, zo niet alle, domeinnamen daar "gehost" resolven naar alle zeven genoemde IPv4-adressen. Russich roulette.

Ten slotte: er is een nog veel betere oplossing denkbaar (die ik al heel vaak beschreven heb), maar die lijkt niemand te willen zien.

Heeft u een link naar een beter oplossing? Ik zou wel geïnteresseerd zijn om die te lezen.

Zeker, ik kon zo snel geen artikel van mijzelf hierover vinden op security.nl, dit is een Engelstalige: https://infosec.exchange/@ErikvanStraten/113079966331873386.

Ook maar "even" hier:

• Het barst van de nepsites op internet, als je moet inloggen gaat het meestal om AitM's (Attacker in the Middle).

• De meeste mensen kunnen domeinnamen niet goed interpreteren of kijken er überhaupt niet naar (zie bijv. https://security.nl/posting/768888). Fijn dat je kunt onthouden dat
  mijn.ing.nl
van een bekende bank is, maar veel mensen snappen niet waarom
  mijn-ing.nl of
  mijn.îng.nl of
  mijn.ing.nl.com
niet van ING zijn - terwijl de webpagina 100% identiek kan zijn aan de echte.

• Een gegeven domeinnaam bewijst niets; het is een wereldwijd unieke karakterreeks. Je hebt geen idee in welk land de server staat, of de hosting partij betrouwbaar is en vooral niet wie (op dit moment) verantwoordelijk is voor de website.

• Weten wie verantwoordelijk is voor een website zegt in beginsel niets over diens betrouwbaarheid. Wél kun je die persoon dan voor de rechter slepen als je belazerd wordt, en mogelijk kun je onderzoek doen naar diens reputatie. En gesuggereerd wordt dat je op een site van ING "zit", maar identificerende gegevens ontbreken of van geen kanten lijken op (uit https://crt.sh/?id=19518757176):
óf als je wél zoiets ziet maar de betrouwbaarheid van die gegevens laag is (bijv. door een Chinese certificaatuitgever), dan weet je ook dat je daar weg moet wezen.

• Daarnaast moet dus je willen weten hoe betrouwbaar de identificerende gegevens van de verantwoordelijke zijn. Oftewel, welke risico's loop je als je toch inlogt, vertrouwelijke gegevens invult (zoals een creditcardnummer) of een bestand downloadt en opent. Want als die identificerende informatie nep blijkt, heb je daar niets aan (hoe dit betrouwbaar te krijgen is een verhaal apart, maar in het kort: het is absurd dat big tech, Google voorop, in het CA/B forum haar eigen vlees keurt - zonder dat daar überhaupt consumentenorganisaties in vertegenwoordigd zijn.

• DV (Domain Validated) certificaten lossen bovenstaande problemen niet op - wat niet wil zeggen dat ze onbruikbaar zijn voor alle mogelijke websites. Voor sites waar mensen de exacte domeinnaam kennen, kunnen ze acceptabel zijn - maar niet voor websites waar je als bezoeker grote risico's op loopt, omdat die dan niet te onderscheiden zijn van nepsites.

• Als je met een specifieke browser voor de eerste keer een "domeinnaam opent" (een website met een nog onbekende domeinnaam opent) zouden browsers, direct na het opzetten van de https-verbinding (doch vóór het ophalen van content) alle beschikbare informatie over die website tonen, plus hoe betrouwbaar die informatie waarschijnlijk is.Als de browser, middels IP-adres-geolocatie, aangeeft dat de server met n% betrouwbaarheid in Rusland staat, dan weet je al dat je nooit je recht kunt halen als je opgelicht wordt.

• Die info-pagina moet ook worden getoond bij (potentieel) belangrijke wijzigingen (met name een andere eigenaar).

• Als de website een DV-certificaat gebruikt, heb je geen idee wie de verantwoordelijke is voor een website. Als de website een uitgebreider certificaat gebruikt (OV = Organization Valudated, EV = Extended Validation, QWAC = Qualified Website Authentication Certificate) dan kunnen alle relevante gegevens daaruit worden getoond - plus informatie over de betrouwbaarheid daarvan.

• Meer info is denkbaar (evt. na een druk op een knop als je daarmee enige privacy opoffert), zoals wanneer de doneinnaam voor het lastst van huurder is gewisseld, wie de vorige huurder was, hoe lang die domeinnaam überhaupt bestaat, of deze regelmatig van hoster is gewisseld, of de site zich aan aanbevolen internetstandaarden houdt (denk aan relevante info uit https://internet.nl en https://ssllabs.com/server), wat https://virustotal.com en bijv. TrustPilot ervan vinden, etcetera.

Nb. Hoe lang een public key is, laat staan een opsoming van alle hexadecimale bytes, is natuurlijk volstrekt overbodige informatie voor verreweg de meeste mensen. Certificaten zouden verder aangevuld kunnen worden met identificatie verbeterende gegevens, terwijl de klassieke certificate-viewers in browsers veel te veel (voor mensen) overdonderende info tonen (dat de browser checkt dat er geen MD5 of te korte public key wordt gebruikt, is natuurlijk prima).

Met die info kunnen surfers redelijkerwijs een inschatting maken hoe groot de risico's zijn die zij lopen bij bepaalde handelingen op die website. Ze zouden hun browser dan kunnen laten onthouden hoe betrouwbaar zij de site vinden. En bijv. dat zij een specifieke website best kunnen bezoeken, maar dat de browser moet waarschuwen als de website bijv. (onverwacht) om creditcardgegevens vraagt.

Oftewel geef surfers bruikbare handvatten om hun risico's in te schatten, c.q. de mate van betrouwbaarheid enigszins te kunnen voorspellen.

Ja, daar is educatie voor nodig (en een deel van de mensen zal het nooit snappen). Maar opnieuw kunnen browsers hier een belangrijke rol in spelen, door in zo'n infopagina toelichtings-knoppen op te nemen.

Groot probleem: big tech wil niet dat surfers onderscheid kunnen maken tussen echte en nepsites; cybercrime is óók hún verdienmodel.