Het maken van een typefout tijdens het invoeren van een emailadres kan desastreuze gevolgen hebben. Volgens onderzoekers van beveiligingsbedrijf Godai Group zijn maar liefst 151 bedrijven uit de lijst van 500 grootste bedrijven gevoelig voor zogenaamde typosquatting-aanvallen.

Het principe werkt als volgt: grote bedrijven hebben vaak verschillende soorten internet- en emailadressen voor verschillende landen waarin zij actief zijn. Zo kan een hoofdadres www.bedrijf.com zijn, maar is de Nederlandse site gevestigd op nl.bedrijf.com. Emails naar Nederlandse werknemers gaan dan ook vaak naar adressen als voorbeeld@nl.bedrijf.com.

Typosquatting (letterlijk vertaald: typefoutkraken) maakt gebruik van het feit dat mensen deze adressen vaak verkeerd typen. Een kwaadwillend persoon kan bijvoorbeeld het domein nlbedrijf.com registreren en daardoor ook het emailadres voorbeeld@nlbedrijf.com. Iedereen die een mail naar het juiste emailadres wil sturen, maar de punt vergeet, verstuurt dus per ongeluk de mail mogelijk naar een hacker of ander kwaadwillend persoon.

Het is de onderzoekers van Godai Group op deze manier gelukt om in zes maanden tijd 120.000 emails (ongeveer 20GB aan data) te onderscheppen. Hierbij zaten een groot aantal waarin over gevoelige informatie werd gesproken. Zo werd in 225 mails het woord 'UserID' (gebruikersnaam) genoemd, terwijl in 495 mails het woord Login (idem) voorkomt.

De onderzoekers en Flying Internet services adviseren bedrijven om zoveel mogelijk domeinen te registeren die lijken op het oorspronkelijke domein. Op deze manier wordt het voor hackers lastiger om emails te onderscheppen.

De Kamer van Koophandel is, na het eerder door haar aangespannen en gewonnen kort geding, ook in de bodemprocedure tegen Kantoor voor Klanten door de rechtbank Rotterdam in het gelijk gesteld. De rechtszaak was aangespannen naar aanleiding van een grootscheepse acquisitiefraude.

Voor de Kamer van Koophandel was de rechtszaak vooral een principiële kwestie tegen een plaag die Nederlandse ondernemers al jaren teistert. Tot nu toe was het nauwelijks mogelijk om de natuurlijke personen achter de fraude aansprakelijk te stellen omdat zij zich verscholen achter BV's en andere rechtspersonen. Hierdoor ontliepen de daders veelal hun straf en kon de schade niet worden verhaald.

De overwinning op Kantoor voor Klanten is een unicum in de Nederlandse rechtspraak omdat de daders hoofdelijk aansprakelijk zijn gesteld voor álle veroorzaakte schade en juridische kosten. Deze zijn opgelopen tot bijna een half miljoen euro. De Kamer van Koophandel hoopt dat mensen die rijk willen worden over de rug van ondernemers zich nu realiseren dat zij voortaan ook als privépersoon aansprakelijk kunnen worden gesteld voor de schade.

Achtergrond

Eind 2008 zijn op naam van Kantoor voor Klanten, die zichzelf gemakshalve had afgekort tot KvK, ongeveer 350.000 facturen verstuurd aan ondernemers in Nederland. Daarin werd gevraagd om betaling van 149 euro. In totaal wilde Kantoor voor Klanten 1,4 miljoen ondernemers een dergelijke factuur sturen. De factuur leek sterk op de jaarlijkse factuur van de Kamer van Koophandel onder andere door gebruik van een gelijkend logo en opmaak. Kantoor voor Klanten stuurde deze factuur – naar eigen zeggen – voor opname in een bedrijvengids. Daarnaast lanceerden zij een website genaamd www.kvkhandelsregister.nl. Door veel inspanning van de Kamer van Koophandel en met hulp van derden is voorkomen dat ondernemers massaal tot betaling van de facturen aan Kantoor voor Klanten zijn overgegaan. Dit o.m. door snel de bankrekening waarop moest worden betaald, te blokkeren (zodat betaling onmogelijk was) en door reeds betaalde bedragen door de bank te laten terugstorten.

In FireFox 4, is het slotje verdwenen. Dit slotje, ook wel padlock genaamd, was zichtbaar wanneer een "beveiligde" web site werd bezocht.

Het slotje gaf aan dat de verbinding tussen uw PC en de web site, via een versleutelde verbinding tot stand was gekomen. Alle gegevens die u op de web site, door middel van een formulier invoert, wordt eerst versleuteld, en dan pas over het Internet verstuurd.

Het slotje gaf echter geen enkele informatie over wie er achter de web site zat. In de praktijk bleek dat steeds meer criminele organisaties op deze wijze gegevens verzamelde, om vervolgens fraude te plegen.

Om een einde te maken aan dit valse veiligheids gevoel, zal het slotje uit alle browsers gaan verdwijnen.

Hoe weet u nu dat een web site is te vertrouwen?

Via de website-identiteitsknop kunt u te weten komen of de website die u bekijkt is versleuteld, of deze geverifieerd is, wie de eigenaar is en wie de website heeft geverifieerd. De knop kan u helpen kwaadwillende websites te vermijden die u proberen belangrijke gegevens te laten verstrekken.

De website-identiteitsknop bevindt zich in de locatiebalk, links van het internetadres.

Tijdens het bekijken van een website zal de website-identiteitsknop in het grijs, blauw of groen worden weergegeven. Op deze knop drukken zal beveiligingsinformatie over de website weergeven, met een overeenkomstig grijs, blauw of groen “Paspoort-agent”-pictogram.

Grijs - geen identiteitsinformatie

Als de website-identiteitsknop grijs is, geeft dit aan dat de website helemaal geen identiteitsinformatie verschaft. Ook is de verbinding tussen Firefox en de server niet of slechts gedeeltelijk versleuteld, en dient deze niet te worden beschouwd als veilig ten opzichte van mogelijke afluisteraars.

De meeste websites zullen de grijze knop bevatten, omdat ze niets te maken hebben met het over en weer doorgeven van gevoelige informatie, en hiervoor niet noodzakelijkerwijs geverifieerde identiteiten of versleutelde verbindingen nodig zijn. Voor websites die geen persoonlijke informatie vereisen is het ontbreken van identiteitsinformatie geen probleem.

Noot: als u bepaalde gevoelige informatie (zoals persoonlijke gegevens, bankgegevens, creditcardgegevens, sofinummers etc.) verzendt, zou de website-identiteitsknop niet grijs mogen zijn.

Blauw - basale identiteitsinformatie

Als de website-identiteitsknop blauw is, geeft dit aan dat het domein van de website is geverifieerd en dat de verbinding tussen Firefox en de server is versleuteld en als zodanig is beschermd tegen afluisteraars.

Wanneer een domein is geverifieerd, betekent dit dat de mensen die de website beheren een certificaat hebben gekocht waarmee wordt bewezen dat zij eigenaar van het domein zijn en dat dit niet wordt nagebootst. Zo bevat bijvoorbeeld de website TD Canada Trust een dergelijk certificaat en een beveiligde verbinding, waardoor de website-identiteitsknop in het blauw wordt weergegeven. Wanneer u op de website-identiteitsknop klikt, vertelt deze u dat de website easywebcpo.td.com is geverifieerd als onderdeel van td.com, zoals gecertificeerd door Verisign Inc. Ook vertelt de knop dat de verbinding is versleuteld, waardoor niemand de verbinding kan afluisteren en op deze manier uw aanmeldingsgegevens voor bankieren kan stelen.

Er wordt echter niet geverifieerd wie de werkelijke eigenaar van het betreffende domein is. Er is geen garantie dat td.com daadwerkelijk toebehoort aan de Toronto Dominion Bank. De enige gegarandeerde feiten zijn dat het domein een geldig domein is, en dat de verbinding ermee is versleuteld.

Als u de identiteit van een website nog steeds wantrouwt wanneer de website-identiteitsknop blauw is, kunt u meer informatie over de website bekijken door op de knop Meer informatie… in het website-identificatievenster te klikken. Dit zal het paneel Beveiliging van het venster Pagina-info openen, waarin u het identiteitscertificaat van de website kunt bekijken, kunt zien of u de website vaker hebt bezocht, en kunt zien of u cookies of wachtwoorden voor de website hebt opgeslagen.

Groen - volledige identiteitsinformatie

Als de website-identiteitsknop groen is, geeft dit aan dat de website volledig geverifieerde identiteitsinformatie over de eigenaar ervan verschaft, en dat de verbinding is versleuteld.

Als een website de website-identiteitsknop groen laat verschijnen, betekent dit dat deze een nieuw Extended Validation (EV)-certificaat gebruikt. Een EV-certificaat is een speciaal type websitecertificaat dat een significant rigoureuzer proces voor identiteitsverificatie vereist dan andere typen certificaten. Waar de blauwe website-identiteitsknop aangeeft dat een website een beveiligde verbinding gebruikt, geeft de groene knop aan dat de verbinding is beveiligd en dat de eigenaars van het domein zijn wie u verwacht dat ze zijn.

Via het EV-certificaat verzekert de website-identiteitsknop u bijvoorbeeld dat paypal.com toebehoort aan Paypal Inc. De website-identiteitsknop wordt niet alleen groen op de website van Paypal, deze vouwt zich ook uit en geeft de naam van de eigenaar in de knop zelf weer. Het website-identiteitsvenster bevat verdere informatie.

Populaire internetbedrijven als Facebook en Google maken hun eigen wetten en regels waar consumenten vaak de dupe van zijn. Soms worden voorwaarden zomaar compleet omgegooid.

V - Mag Gmail meekijken in mijn persoonlijke e-mail?

A - Alle e-mail via Gmail wordt door Google gedatamined op bruikbare commerciële informatie en toegevoegd aan uw persoonlijk profiel.

Dat meldt RTL Nieuws na een onderzoek naar de voorwaarden van 21 internetbedrijven. Voor het onderzoek werden lezers van Bright gevraagd de voorwaarden te lezen en onduidelijke zaken te markeren.

Juristen concludeerden na afloop dat de bedrijven slecht omgaan met de privacy, voorwaarden zomaar wijzigen en de garantie op hun diensten vaak te wensen overlaat. Zo mogen gegevens vaak zo doorverkocht worden en is er geen garantie dat Hotmail alle mailberichten bewaart. Het is moeilijk om met wetgeving op te treden, omdat de ontwikkelingen op internet vaak te snel gaan.

Met name Amerikaanse bedrijven scoren onvoldoendes op het gebied van hun voorwaarden. Zo scoren Apple en Google een 4. Facebook moet het zelfs doen met een 3. Twitter en Hyves doen het veel beter: zij krijgen een 7.

Gegevens doorverkopen.

Ruim de helft van die bedrijven krijgt een onvoldoende. Zo blijkt uit het onderzoek dat veel bedrijven gegevens mogen doorverkopen aan derden en dat er geen enkele garantie is dat je mail bij Hotmail bewaard blijft.

Consumentenrechten.

Vooral Amerikaanse bedrijven krijgen een onvoldoende voor hun voorwaarden. Wetgeving is er bijna niet omdat de ontwikkelingen op het internet sneller gaan dan de wetgever kan bijhouden.

Ondoorgrondelijk.

Voor het onderzoek werden lezers van Bright gevraagd de voorwaarden te lezen en onduidelijke zaken te markeren. Juristen concludeerden daarna dat de bedrijven slecht omgaan met de privacy, voorwaarden zomaar wijzigen en de garantie op hun diensten veel te wensen overlaat.

Wispelturig.

Veel bedrijven blijken hun voorwaarden regelmatig helemaal om te gooien. In 2005 stond in de privacyvoorwaarden van Facebook dat "Geen enkele persoonlijke informatie zal worden gedeeld met gebruikers die niet tot tenminste één van de groepen behoort die u heeft aangewezen in uw privacy-instellingen".

In december 2009 zegt hetzelfde artikel: "Bepaalde informatie waaronder uw naam [...] worden beschouwd als publieke informatie en vallen niet onder uw privacy-instellingen."

Lees het hele onderzoek (.pdf)

De meest opvallende voorwaarden in 14 vragen.