 |
| Afbeelding via Pixabay |
Als
je ergens een sticker met de tekst VEILIG
op plakt, is het dan veilig? Dat
hangt ervan af. Als die sticker wordt geplakt nadat de veiligheid gecontroleerd
is, en er afspraken zijn dat die sticker alleen dán geplakt wordt, dan mag je
er inderdaad van uitgaan dat het gestickerde ding veilig is – tenminste, als
aan die sticker te zien is dat hij echt is. In alle andere gevallen slaat zo’n
sticker natuurlijk helemaal nergens op. Sterker nog: het werkt schijnveiligheid
in de hand.
Laatst sprak ik een collega die een mooie webapplicatie
beheert. Bij het maken van dat programma waren ze één ding vergeten: de
huisstijl. En dat vonden de mensen, die over de huisstijl waken, geen goed
idee. Want, zo vond men, dan gaan gebruikers denken dat het een valse website
is, waar enge dingen zouden kunnen gebeuren. Zet ons huisstijllogo erop, zeiden
ze, dan is duidelijk dat de site veilig is.
Onzin. Als cybercriminelen de laatste jaren érgens
goed in zijn geworden, dan is het wel het natuurgetrouw nabouwen van websites.
Ze gaan kijken hoe de echte website eruitziet en kopiëren de complete
huisstijl: logo’s, foto’s, lettertype, schrijfstijl, ja zelfs de waarschuwing
voor cybercriminelen, die tegenwoordig op veel sites staat, nemen ze over. Aan
het uiterlijk valt de veiligheid dus niet af te lezen.
Maar, zei de beheerder, gebruikers van mijn
applicatie kunnen in de URL-balk van de browser zien dat de getoonde webpagina
in ons domein zit. Maar dat werkt dus óók niet. Want voor de gemiddelde
gebruiker is dat gewoon een brug te ver. Of heb jij nog nooit gezien dat iemand
in de zoekbalk van Google ‘buienradar.nl’ intikt en vervolgens via de
zoekresultaten naar die website gaat? In plaats van ‘buienradar.nl’ (de URL)
meteen in de URL-balk (helemaal bovenin de browser) in te tikken, zodat je
meteen op de juiste plek belandt? Veel gebruikers hebben een blinde vlek voor
de URL-balk, laat staan dat ze gaan kijken wat daar staat en op basis daarvan
ook nog eens kunnen bepalen of ze op een bonafide site zijn aanbeland.
Terzijde: de hier geschetste werkwijze introduceert
een extra probleem. Cybercriminelen slagen er goed in om hun valse sites hoog
in de zoekresultaten te laten tonen. Zo kan het dus gebeuren dat je via je
zoekmachine op een valse site terechtkomt. Tip: als je de URL weet, tik die dan
in de URL-balk in, niet in Google (of een andere zoekmachine). Ga je vaker naar
een site, maak er dan een bookmark/bladwijzer voor, zodat je niet hoeft te
typen. Met bookmarks voorkom je bovendien dat je door een typfout (‘buienrader.nl’)
alsnog op een valse site terechtkomt. Criminelen bouwen namelijk graag websites
met URL’s die erg lijken op die van de echte websites. En dan hopen ze dat jij
een typfout maakt en bij hen belandt. Typosquatting heet dat. Een typo is
een typfout, en squatting betekent kraken (als in: een woning kraken).
Ondanks dit alles heb ik er bij de beheerder voor
gepleit om de huisstijl toe te passen. Ben ik dan voor schijnveiligheid?
Geenszins. Maar ik wil voorkomen dat het onterechte meldingen regent van
gebruikers die denken dat ze op een valse site zitten – de collega’s van de
ICT-servicedesk hebben het al druk genoeg, dus als ik ze een aantal false positives kan besparen, dan doe ik dat graag. Bovendien trainen wij gebruikers
in het herkennen van gevaren. Ik noem dat rode vlaggen. Hoe meer rode vlaggen,
hoe aannemelijker dat het foute boel is. Voor bijvoorbeeld phishing kan ik zo
een aantal rode vlaggen opdreunen: een onpersoonlijke aanhef (“Beste klant”),
afwijkend afzenderadres (bol.nl in plaats van bol.com) of een link naar een
afwijkend domein (bol.com.klantenservice.nl). Tip: zo’n URL moet je van rechts
naar links lezen; dus alleen als bol.com helemaal rechts staat, bezoek je het
domein van die webwinkel. Daar mag overigens nog wel iets achter staan,
beginnend met een ‘/’: bol.com/klantenservice is een pagina in het domein
bol.com. Maar bol.com.klantenservice.nl is dus niet van bol.com.
Ik ben natuurlijk even op de pagina van die interne
webapplicatie gaan kijken. En wat zie ik? In een hoekje prijkt ons
huisstijllogo! Er is water bij de wijn gedaan, in de hoop dat iedereen nu
tevreden is. En ze gaan nog een stap verder: de applicatie zal worden
aangesloten op single
sign-on, zodat bezoekers niet meer
handmatig hoeven in te loggen. Een slimme zet, want als je het gevoel hebt dat
je misschien op een valse site bent en daar dan ook nog op moet inloggen,
versterkt dat het gevoel van onveiligheid.
En in de grote boze buitenwereld …
- voerde dit security-bedrijf een jarenlang gevecht tegen Chinese staatshackers.
- onthullen de Strava-accounts van bodyguards waar wereldleiders uithangen.
- spreekt dit artikel van een quantum-hype.
- heeft een internationale politie-coalitie een infostealer-operatie opgeruimd.
- horen ontslagen medewerkers niet meer te kunnen inloggen.
- wordt ransomware alleen maar erger.
Geen opmerkingen:
Een reactie posten