Banken zijn de laatste tijd steeds vaker het slachtoffer van phishing. De cybercriminelen sloegen onlangs nog toe bij ABN Amro, maar ook de Postbank is lange tijd slachtoffer geweest van zogenoemde “phishingmail”?. Een nieuwe domeinextensie “.bank’ zou volgens Mikko Hyppönen (beveiligingsexpert bij antivirusbedrijf F-Secure) een einde kunnen maken aan de praktijken van de cybercriminelen, alsdus het bericht op Nu.nl. Overigens is de berichtgeving op NU.nl niet helemaal nieuw. Arnout Veenman van ISPam berichtte al eerder over de nieuwe extensie.
Het “.bank”? domein zou uitsluiteind aan erkende banken mogen worden toegewezen. Daarnaast moet het domein zo’n 50.000 dollar gaan kosten. Dit zou een volgens Hyppönen een drempel voor de cybercriminelen kunnen zijn. Nu is het nog maar de vraag of het bedrag überhaupt als drempel dient, aangezien er met de phishingaanvallen bij ABN Amro al tienduizenden euro’s zijn gestolen.
Heeft de “.bank”? domeinextensie wel zin?
Het uitgifteproces van de domeinnamen moet goed geregeld zijn. Het zou moeten gaan om een onafhankelijke derde partij, die alleen erkende banken aansluit.
Waarschijnlijk kan zelfs bij een goed uitgifteproces nog misbruik worden gemaakt van de “.bank”? extensie. Denk hierbij aan het feit dat cybercriminelen een eigen domein naam server (DNS) kunnen opzetten. Een commercieel bedrijf als UnifiedRoot maakt al diverse extensies mogelijk, bijvoorbeeld “.ictrecht”?. Waarom zouden cybercriminelen dat niet kunnen?
Niet alleen banken hebben te maken met het phishing-probleem. Daarom zou je voor allerlei bedrijven een aparte domeinextensie moeten gaan hanteren.
Misschien is het EV SSL certificaat een betere of aanvullende oplossing voor de banken en andere bedrijven die te maken hebben met het phishing-probleem.
Het uitgifteproces van het EV SSL certificaat is in tegenstelling tot het gewone SSL certificaat streng. Bij de uitgifte worden onder andere de bedrijfsgegevens gecontroleerd, het mag alleen om een BV of NV gaan en er wordt telefonisch contact opgenomen met het bedrijf (download vereisten uitgifteproces).
Als gebruik wordt gemaakt van het EV SSL certificaat laat Internet Explorer 7 een groene adresbalk zien. Op deze wijze garandeert het bedrijf op gecontroleerde en voor de bezoeker herkenbare manier de identiteit van de website.
Tevens zullen Firefox en Opera aan de ontwikkelingen van EV SSL meewerken.
Zie www.cabforum.org voor meer informatie.
DigiNotar zal de eerste Nederlandse websites voorzien van een EV SSL certificaat.
