D1G1D
Onlangs zag ik een phishing-sms met een link naar DigiD. De valse URL bleek DigiD.EU te zijn. Die staat nu te koop. Zodra je de naam DigiD hebt bedacht, registreer je niet alleen die domeinnaam, maar ook alle vrijwel identieke varianten ter voorkoming van misbruik. Dus digid.eu zou helemaal niet te koop moeten zijn.
Alle varianten van DigiD waarbij een of alle i’s zijn vervangen door de letter l of het getal 1 zijn momenteel beschikbaar. Die zou je moeten reserveren, of gewoon geen i in je domeinnaam stoppen. Denk ook aan veelgemaakte tikfouten, en reserveer ook die domeinnamen: gogle.com werkt even goed als google.com.
Dat reserveren is geen overbodige luxe vertelde een security-expert me: bij wijze van test hadden ze hun eigen personeel een mail gestuurd om vertrouwelijke informatie te delen via een link waarbij een letter vervangen was door een daarop gelijkende. Bijna de helft van de medewerkers heeft gevoelige gegevens afgegeven. Mensen lezen niet, maar denken te weten wat er staat. Ook de mededeling van DigiD dat zij je nooit mailen met een link komt niet door. Ze mailen je namelijk wel! Als beveiligingsmaatregel sturen ze e-mails in vier gevallen: bij aanvraag, activering, wijzigingen van mailadres of wachtwoord, en bij het bijna verlopen. In de andere gevallen kan het een familielid zijn die hetzelfde e-mailadres gebruikt voor een andere DigiD. Deze uitleg is de perfecte handleiding voor de phisher om plausibele e-mails te dichten waar natuurlijk wel een link in staat. ‘Uw DigiD is bijna verlopen, via deze link voorkomt u dat uw toeslagen gestopt worden’. Of bij een spearphishing attack laat je een e-mail ogenschijnlijk van een familielid komen, net als bij WhatsApp-fraude.
Het is een ontwerpfout om de gebruiker te dwingen allerlei technische zaken te controleren van links naar sites, van redenen van mail tot het maken van ingewikkelde wachtwoorden, bijhouden wanneer dat ingewikkelde wachtwoord te veranderen, en niet in een phisher te trappen. Je moet dat ‘weg-engineeren’ als dat mogelijk is, en gelijksoortige domeinnamen en die met veel gemaakte tikfouten opkopen.
We zouden tevens een hoop opschieten als het duo username/password vervangen wordt door iets veiligers. In ieder geval keurt de EU dat duo niet goed voor gebruik in het buitenland (https://www.government.nl/topics/online-access-to-public-services-in-the-european-union-eidas/everything-you-need-to-know-about-eidas): ‘The most common type of login key is a username combined with a password. However, this combination on its own does not meet the security requirements, because these details are easy for hackers to get hold of. Easily hackable login keys will not be approved by the EU for use in other EU member states’.
Maar blijkbaar wel voor gebruik in het eigen land. In een Rekenkamerrapport stond dat in 2016 nog 90 procent van alle identificaties via dit duo verliep omdat tweefactorbeveiliging met een sms-code optioneel was. Nog mooier zou het zijn om cryptografische technieken te gebruiken zodat het gebruik van usernames en passwords helemaal tot het verleden behoren.
Chris Verhoef is hoogleraar informatica aan de Vrije Universiteit in Amsterdam
Dit artikel staat ook in iBestuur magazine 36
Een LinkedIn-connectie sloeg onlangs de spijker op zijn kop toen hij zei “Tja, we hebben ons in de infosec industrie heel erg druk bezig gehouden met de klant te authenticeren, met wachtwoorden, 2FA, pinpassen, e.d. en helemaal niet met hoe de klant de dienst kan authenticeren.”
We zouden het ons al een stuk makkelijker maken als alle officiële overheidswebsites eenduidig te herkennen zijn. Bijvoorbeeld met een eenduidige extensie *.gov.nl of door gewoon één domein/platform http://www.overheid.nl te gebruiken en al al het andere uit te faseren. Beide oplossingsrichtingen maken het voor de burger een stuk eenvoudiger om te controleren of hij met de overheid aan het communiceren is.
Kijk bijvoorbeeld naar de USA met *.gov — Official websites use .gov
A .gov website belongs to an official government organization in the United States. (zie bovenaan http://www.uscis.gov/ of http://www.usa.gov )
Of de Europese Unie, met *.europa.eu — All official European Union website addresses are in the europa.eu domain. (zie bovenaan ec.europa.eu/ of eeas.europa.eu/ )
Ik ben trouwens benieuwd naar andere oplossingsrichtingen :-)
‘Reserveren’ van een domeinnaam?
‘Eigendom’ van een domeinnaam kost nog geen tientje per jaar.
@Gelhard : dat voorstel deden we 25 jaar geleden al.
De digibete politiek en ambtenarij wist het toen beter, en meent het nog steeds beter te weten.