ISPAM

Informatiebeveiligers willen speciale TLD voor banken

F-Secure heeft ICANN opgeroepen om een speciaal domeinnaam te introduceren voor banken en andere financiële instellingen om zo phising tegen te gaan. Wanneer ICANN een .safe (of .bank, .sure) TLD zou introduceren, dan wordt het lastiger om een vergelijkbare domeinnaam te registeren door phisers en zou dat informatiebeveiligers de mogelijkheid geven om nog betere software te maken om het publiek te beschermen.

Mikko Hyppönen, chief research officer van F-Secure verklaarde tegenover The Register:

While a .safe domain name won’t prevent phishing attacks, it will help banks and security providers to keep their customers safe.Using a secure domain name such as .safe will give customers the reassurance they need when banking online. It’s true this will mean banks have to pay a premium to be able to use the domain name, but it will reduce the number of successful phishing sites that have been tricking many customers out of their hard earned cash.

De discussie voor de introductie van een speciale TLD voor banken is niet nieuw. Zelf hoorde ik het voorstel voor het eerste tijdens Domain Pulse 2006 van Werner Staub van CORE tijdens een paneldiscussie. Het panel dat vooral uit internet governance specialisten bestond, was destijds verdeeld over het idee voor een speciale TLD voor banken. Ik ben zelf voorzichtig voorstander van een speciale TLD voor banken, al zal er wel eerst grondig onderzoek moeten worden gedaan naar alle voordelen én nadelen van een speciale TLD voor banken.

Print This Post



Gerelateerde atikelen (automatisch geselecteerd)


Abonneer op de ISPam.nl RSS Feed

5 Reacties op “Informatiebeveiligers willen speciale TLD voor banken”

Paul op 30 maart 2007 om 12:44

Ik denk toch persoonlijk dat het effect van een eigen tld om phising sites tegen te gaan zeer minimaal is.

Mensen controleren de url niet en klikken zonder na te denken omdat er in de e-mail staat dat ze dit moeten doen en deze afkomstig is van bijvoorbeeld hun bank.

Misschien kunnen dit soort sites beter gaan werken met een client certificaat. Het is natuurlijk wel nadelig dat de bank of een overheid iedere inwoner/klant een persoonlijk certificaat moet uitreiken. Zonder de private key (welke natuurlijk niet wordt verstuurd) van dit certificaat is het echter onmogelijk om een handshake met de bank te maken.

Pieter op 30 maart 2007 om 16:41

In reactie op Paul:
Tot voor kort werkte mijn bank met certificaten maar weldra wordt dit vervangen door een nieuw systeem. Hierbij dien je eerst je kaart in een toestel te steken en dan een code over te tikken van het scherm evenals je PIN-code van de kaart. De code die je zo krijgt voer je dan in op de website.

Een aparte TLD kan voor een extra veiligheid zorgen maar weet ook dat de Rabobank zowel een .be als een .nl heeft en die niet hetzelfde zijn. De Belgische overheid heeft er trouwens al voor gezorgd dat elke inwoner een eigen certificaat heeft. Dit staat namelijk doodgewoon op onze identiteitskaart. Dit certificaat kan voor tal van zaken gebruikt worden die ook buiten de overheid werken. Inloggen op je computer of je aanmelden op de website van je ziekenfonds zijn maar een klein aantal voorbeelden. Enig nadeel is dat niet iedereen een kaartlezer heeft die al snel iets van 15 euro kost in de winkel.

Arjan Bijnen op 30 maart 2007 om 16:55

@Pieter: Het systeem wat jij bedoelt is waarschijnlijk een Vasco Keysystem. Leuk beveiligingsmiddel maar ik heb er mijn twijfels bij Hetgeen wat een dergelijk kastje namelijk hardware matig doet moet ook software matig mogelijk zijn. Mensen met de kennis hierover kunnen zo het systeem kraken en de gegevens misbruiken.

Het systeem wat de Postbank gebruikt bevalt mij beter. Gewoon inloggen met een gebruikersnaam en wachtwoord en indien transacties bevestigen met een code welke je per sms naar je mobiel toegezonden krijgt. Ik denk dat de kans om het Vasco systeem te kraken groter is dan dat iemand en jou gebruikersnaam en wachtwoord weet en ook nog eens in het bezit is van je mobiele telefoon.

Het systeem van de Postbank is los van mijn eigen voorkeur al meerdere keren als veiligste getest.

Arjan Bijnen op 30 maart 2007 om 17:38

Als aanvulling op mijn bericht zojuist nog een recent artikel op nu.nl:
http://www.nu.nl/news/1026481/60/ABN_Amro_neemt_maatregelen_na_nepmails.html

Dat geeft in principe wel wat aan over de veiligheid. Voor zover bekend is dit in het verleden nog niet voorgevallen bij de Postbank.

ICTRecht Weblog » Kan een .bank domeinextensie phishing voorkomen? op 8 mei 2007 om 20:21

[...] Banken zijn de laatste tijd steeds vaker het slachtoffer van phishing. De cybercriminelen sloegen onlangs nog toe bij de ABN Amro, maar ook de Postbank is lange tijd slachtoffer geweest van zogenoemde “phishingmail”. Een nieuwe domeinextensie “.bank’ zou volgens Mikko Hyppönen (beveiligingsexpert bij antivirusbedrijf F-Secure) een einde kunnen maken aan de praktijken van de cybercriminelen, alsdus het bericht op Nu.nl. Overigens is de berichtgeving op NU.nl niet helemaal nieuw. Arnout Veenman van ISPam berichtte al eerder over de nieuwe extensie. [...]



Iets te melden? Reageer!
Uw naam *
 E-mail adres *
 Uw website
 Uw reactie *
Foutje in het artikel geslopen? Stuur een e-mail naar redactie@ispam.nl


Reageren op ISPam.nl is leuk en dat moet het ook blijven. Reageer daarom enkel op het onderwerp dat besproken wordt en niet op het artikel zelf of de auteur. Spelfouten, klachten en andere zaken die niet over het onderwerp van het artikel gaan kunnen gemeld worden via redactie@ispam.nl. Let zelf ook op de stijl en spelling van je reactie. Hou het netjes, gebruik geen schuttingtaal, speel niet onnodig op de man en hou het gezellig. Reacties die hier niet aan voldoen worden zonder pardon verwijderd en leveren in het ergste geval een IP-ban op!