De Finse computerbeveiliger F-Secure stelt voor om websites van financiële instellingen een eigen webextensie te geven. Een topdomeinnaam als .bank, .safe of .sure zou alleen mogen worden uitgegeven aan geregistreerde banken.
Aanleiding van het voorstel is de enorme toename van fraudegevallen op het web. Volgens het Britse samenwerkingsverband van betalingsorganen (APACS) was over het eerste halfjaar van 2005 in het Verenigd Koninkrijk daar 21,5 miljoen euro mee gemoeid en over de eerste zes maanden van 2006 al 33,3 miljoen euro. Bovendien noteerde de instantie over dezelfde periodes een astronomische toename van het aantal phishingincidenten van 312 in de eerste zes maanden van 2005 naar meer dan vijfduizend in de vergelijkbare periode in 2006. Dit is een toename van bijna 1500 procent.
Als ICANN, de organisatie die wereldwijd domeinnamen coördineert, de nieuwe extensie alleen uitgeeft aan geregistreerde financiële instellingen, zou de softwarebeveiliging hierop beter worden afgestemd. Mikko Hyppönen, onderzoeksdirecteur van F-Secure: "Een domeinnaam als .safe zal een criminele organisatie er niet van weerhouden bepaalde phishingactiviteiten uit te voeren, maar banken kunnen hiermee hun clientèle wel beter beschermen. Zo'n domeinnaam geeft de gebruiker de zekerheid dat hij financiële transacties via het internet veilig kan uitvoeren."
Vorige week waren klanten van ABN-AMRO nog doelwit van een grote phishingactie. Ze werden gevraagd een bestand te installeren op de computer. Inmiddels is bekend dat de enkelingen die hier waren ingetuind, in totaal tienduizenden euro's afhandig zijn gemaakt.
Als de wijze van toegang tot electronisch bankieren blijkbaar zo goed nagemaakt kan worden dat voor een gemiddelde gebruiker het verschil niet meer zichtbaar is, dan zou niet een specifiek domein moeten zorgen voor meer veiligheid, maar dan zou de geboden dienst niet zo makkelijk op deze wijze te misbruiken moeten zijn. Lijkt mij dus meer een zaak van banken om de toegang tot electronisch bankieren op een andere wijze vorm te geven, bijvoorbeeld door het uitgeven van specifieke hardware waarmee een consument een speciale vpn verbinding met de eigen bank opzet over diens bestaande internet verbinding heen, waarbij de vpn specifieke hardware van de bank bepaalt met welke site de consument zaken doet en niet de consument zelf.
Tsja… leuk idee, maar net zo makkelijk te kraken als alles wat er tot nu toe al is…
Ten eerste: een zeer groot gedeelte van phishing werkt nu al met een valse domeinnaam; er zijn nog steeds heel veel mensen die rustig hun codes invullen op http://www.postbank.com ipv postbank.nl of zelfs op https://www.crimineel.nl/postbank.nl Daar helpt dit dus al niet tegen.
Ten tweede, de truc die bij de ABN gebruikt werd bestond uit een trojan die lokaal op de computer van de gebruiker werkte; als de kraker de macht over de lokale computer heeft, is het een fluitje van een cent om de vertaling domeinnaam -> IP adres te beinvloeden en daarmee dus verkeer omleiden via een “rogue” site.
Dit lijkt mij een vorm van schijn-veiligheid. Bovendien vind ik dat banken geen uitzonderingspositie mogen hebben. Er zullen vele nieuwe verzoeken voor top level domains volgen. Waar leg je dan de grens?