Steeds meer webwinkeliers worden geconfronteerd met het fenomeen phishing en DDoS. Uit recent onderzoek van SIDN, de beheerder van het .nl-domein, blijkt dat ruim 30% van alle webwinkeliers in Nederland phishing en DDoS als zeer bedreigend ervaart. Een groot deel daarvan heeft zelfs al eens te maken gehad met dit soort praktijken. “Ook al ben je geen techneut, nadenken over veiligheid hoort bij je vak,” vindt Michiel Henneke van SIDN.

Internetgebruikers worden steeds vaker misleid met e-mails en websites die sterk lijken op uitingen van bekende en betrouwbare bedrijven. Door de toegenomen beveiliging bij financiële instellingen verschuift momenteel de aandacht van internetfraudeurs naar de e-commerce sector. Uit cijfers blijkt dat maar liefst 32,4% van de aanvallen gericht is op webshops, en ‘slechts’ 25,7% op banken. Met de toenemende digitalisering van de commerciële sector vormt phishing een reëel gevaar voor online klanten en de online reputatie van webshops.

Domeinnaambewakingsservice (DBS)
Om de kans op phishing te verkleinen is het volgens Henneke goed als webwinkelier om je medewerkers te trainen. “Leg in een aantal duidelijke richtlijnen vast hoe medewerkers moeten omgaan met verdachte, inkomende mail. Dat kan met behulp van een vragenlijst, maar ook door bijvoorbeeld een quiz te organiseren. Of nog een stap verder: stuur zelf een ‘verdachte mail’ en kijk hoe medewerkers hier mee om gaan. Ook relaties of klanten kunnen slachtoffer worden van phishing door misbruik van jouw merknaam. Om dat te voorkomen hebben we de domeinnaambewakingsservice (DBS) in het leven geroepen. Het is een tool die controleert of er domeinnamen worden geregistreerd die sterk lijken op jouw merk- of handelsnaam met bijvoorbeeld een spelfout in de naam. Dan kun je er vergif op innemen dat er iets niet in de haak is. Ook zijn er tools voorhanden die zelfs een logo herkennen en vervolgens alarm slaan. We moedigen webwinkeliers aan direct actie te ondernemen. In veel gevallen hoeft de rechter er niet eens aan te pas te komen om dit soort lieden aan te pakken.”

Internet.nl
Om de betrouwbaarheid te garanderen, is het volgens Henneke belangrijk dat de gegevens van de domeinnaam matchen met de gegevens van de eigenaar. “Deze gegevens kunnen eenvoudig worden opgevraagd. Als bij het zoeken op een domeinnaam een compleet andere naam naar voren komt, roept dat vragen op. De twijfel slaat toe of een webshop wel oké is. Zorg ervoor dat de gegevens bij de domeinnaam passen bij de inhoud van de webshop. Wees er ook zeker van dat de webshop technisch in orde is en voldoet aan de laatste wet- en regelgeving. Het is schokkend om te zien, hoe vaak dat niet geregeld is. Veel webshops beschikken nog altijd niet over een SSL-certificaat en ook het verplichte privacy statement bij het opvragen van persoonsgegevens ontbreekt vaak.”

Henneke adviseert daarom bij hosting niet alleen naar prijs en volume te kijken, maar ook kritisch te zijn op beveiliging. Via internet.nl kun je testen in hoeverre je webshop voldoet aan bepaalde ‘open standaarden’ qua beveiliging. We raden iedere webwinkelier aan deze test te doen. De test wordt overigens gesubsidieerd door de overheid.”

Als een webwinkelier zelf niet voldoende technisch onderlegd is, raadt Henneke aan om leveranciers het hemd van het lijf te vragen. “Vraag bijvoorbeeld de hostingpartij naar de inspanningen die hij doet om de veiligheid te garanderen en vraag de webdeveloper of de updates ook automatisch worden doorgevoerd. Berucht zijn bijvoorbeeld de oudere versies van WordPress die kwetsbaar zijn. Er zijn tools voorhanden die je automatisch attenderen op het moment dat er een nieuwe update beschikbaar is. Patchman is daar een goed voorbeeld van en is bovendien een Nederlands product. De belangrijkste boodschap die wij webwinkeliers willen meegeven is ‘ook al ben je geen techneut, nadenken over techniek en veiligheid hoort bij je vak’. En ben je zelf geen expert, neem een specialist in de arm en laat je adviseren. De kans is groot dat je vroeg of laat gehackt wordt. Het gaat erom dat je dan voorbereid bent.”


Deze bijdrage verscheen eerder op http://www.online-retailer.nl/technologie/sidn-waarschuw-en-veiligheid/