Zo herkent u valse websites

DigiCert Blog
dean-coclin
03-24-2021
LEESTIJD 4 MIN.

In dit tijdperk van digitale transformatie is weten hoe u een valse website herkent niet alleen handig, maar zelfs een absolute noodzaak wanneer u zichzelf online wilt beschermen. Door te weten hoe u een valse website herkent, beschermt u uw persoonlijke en zakelijke identiteit, uw financiële gegevens en de logins voor e-mail en sociale media.

Het aantal corona-scams en identiteitsdiefstallen stijgt. De overheid waarschuwt al voor fraude met betrekking tot het coronavirus, die plaatsvindt via telefoongesprekken, appjes, berichten op sociale media en op websites. Ook tijdens de overgang naar het nieuwe normaal vinden dit soort activiteiten plaats, en waarschijnlijk zullen het er alleen maar méér worden. Als u weet hoe u kunt controleren of een website authentiek is, kunt u zich nu en in de toekomst beschermen tegen scams via valse websites.

Zo verifieert u een website

Controleer of de URL goed is gespeld

Een van de belangrijkste indicaties dat een website vals is, is een verkeerd gespelde URL. Oplichters veranderen bijvoorbeeld de naam enigszins, in bijvoorbeeld amaz0n.com, of wijzigen de domeinextensie van bijvoorbeeld amazon.com in amazon.org.

Zoek naar websitezegels

Een websitezegel geeft aan dat de site authentiek is. Meestal kunt u op een zegel klikken om meer informatie weer te geven over de website en hoe die is geverifieerd. Als er niks gebeurt wanneer u op een zegel klikt, is het waarschijnlijk een illegale kopie.

1 the DigiCert site seal
Afbeelding 1: het DigiCert-websitezegel

 

Zoek naar een hangslot

Het hangslot op een website geeft aan dat de site is beveiligd met een TLS/SSL-certificaat dat gebruikersgegevens versleutelt. Het hangslot bevindt zich links in de adresbalk. Er zijn drie typen TLS-certificaten waarbij een hangslot wordt weergegeven: Domain Validation, Organization Validation en Extended Validation.

  • Domain Validation-certificaat: geeft aan dat het eigendom van het domein is geverifieerd. DV-certificaten geven echter geen informatie over de identificatie van de organisatie. Daarom worden DV-certificaten niet aanbevolen voor commercieel gebruik.
  • Organization Validation-certificaat: geeft aan dat organisaties zijn geauthenticeerd door de certificeringsinstantie in officiële handelsregisters. Dit is het type certificaat dat wordt aanbevolen voor commerciële of openbare websites.
  • Extended Validation-certificaat: voegt extra validatiestappen toe en biedt de krachtigste authenticatie om uw merk en gebruikers te beschermen. Certificeringsinstanties kunnen vragen om bepaalde documenten en persoonlijk contact om te garanderen dat EV-certificaten legitieme bedrijfsinformatie bevatten. Ze worden door de grootste organisaties ter wereld gebruikt om vertrouwen te wekken bij gebruikers, door te garanderen dat de website authentiek is en het eigendom is van de entiteit waarmee gebruikers verwachten hun transactie uit te voeren.

Wanneer een website geen hangslot heeft, wordt in de meeste browsers een waarschuwing weergegeven dat de site 'niet veilig' is. In het verleden was het voldoende om te kijken of er een hangslot werd weergegeven, maar nu er steeds meer online oplichting plaatsvindt, is het verstandig om verder te kijken om een website te verifiëren.

Afbeelding 2: Zo ziet een veilige en een onveilige website eruit in Chrome op een computer.

 

Veilige site versus scamsite

Het hangslot geeft aan dat de informatie op de website is versleuteld en door browsers als veilig wordt beschouwd. Helaas betekent dit tegenwoordig niet dat een veilige site een goede website is om iets te kopen of om informatie mee te delen. Het feit dat een website een hangslot heeft, betekent niet dat het geen valse website is. Uit onderzoek blijkt dat tegenwoordig op de helft van alle valse phishing-websites een hangslot wordt weergegeven.

Oplichters gebruiken meestal DV-certificaten, eenvoudige TLS-certificaten die door sommige certificeringsinstanties gratis worden uitgegeven. Daarmee hoeven ze alleen maar aan te tonen dat ze eigenaar zijn van de site om een hangslot te kunnen weergeven. Met DV-certificaten hoeven ze niet aan te tonen dat hun bedrijf legitiem is. Soms gebruiken oplichters ook een OV- of EV-certificaat, maar die zijn moeilijker te verkrijgen omdat ze een vermelding in het handelsregister vereisen, er met een geldige creditcard moet worden betaald en er vragen van de certificeringsinstantie moeten worden beantwoord. Dat weerhoudt criminelen er meestal van om deze certificaten te kiezen.

Valse websites met een TLS-certificaat worden meestal opgespoord, maar kunnen tot die tijd wel degelijk schade aanrichten.

Kijk verder dan het hangslot

Kijk verder dan het hangslot door erop te klikken en meer informatie weer te geven. Voor het hoogste niveau van authenticatie wordt 'Uitgegeven aan: [bedrijfsnaam]' weergegeven onder 'Certificaat (Geldig)'. Helaas werkt deze functionaliteit momenteel uitsluitend in de browser op een computer. Maar ongeacht of u uw browser op een mobiel apparaat of computer gebruikt, blijft het uitgangspunt hetzelfde: kijk verder dan alleen het hangslot om te controleren of de site veilig is.

Controleer de site met een websitechecker

Als u twijfelt, gebruik dan een websitechecker om te controleren of de site veilig is. Door zo'n controle weet u of de site kwetsbaarheden heeft, of er encryptie wordt gebruikt en welke mate van verificatie er wordt toegepast.

Andere manieren om een website te verifiëren

Naast het zoeken naar een hangslot en websitezegel en het controleren van de URL met een websitechecker, zijn er nog meer zaken die de betrouwbaarheid van een site kunnen aantonen:

  • een privacybeleid
  • een retourbeleid
  • contactgegevens voor het bedrijf, zoals een telefoonnummer en adres
  • correcte spelling en grammatica
  • online recensies (zoek bijvoorbeeld op 'recensies voor [naam website]' om online feedback te vinden)

In het algemeen geldt: iets wat te mooi lijkt om waar te zijn, is het meestal ook.

Wat moet u doen als u een valse website ontdekt

Als u zich op een valse website bevindt, deel dan nooit enige vertrouwelijke informatie zoals financiële gegevens, een loginnaam of wachtwoord, verificatiecodes, logingegevens van Facebook of zelfs maar uw naam en contactgegevens. Vul bij twijfel niets in. Klik ook nooit op links in e-mails van onbekenden, online berichten of rechtstreekse berichten via sociale media. Wanneer u weet of een website vals is of niet, weet u ook of u wel of niet iets moet kopen op een site.

Meld een valse website bij Google Safe Browsing en verlaat de site onmiddellijk.

UP NEXT
pki

3 Surprising Uses of PKI in Big Companies and How to Ensure They Are all Secure

5 Min

Featured Stories

How artificial intelligence is reshaping digital trust

12-18-2024

Announcing the new open-source DCV library from DigiCert

12-05-2024

How to spot a fraudulent website