‘Betaalslotje’ Marktplaats zorgt voor verwarring

Als je via internet wilt betalen, moet je op het slotje in de statusbalk van je browser letten, zo drukken beveiligingsdeskundigen onervaren internetkopers vaak op het hart. Het slotje geeft aan dat er gebruik wordt gemaakt van een beveiligde verbinding.

Ook de populaire verkoopsite Marktplaats.nl maakt gebruik van een beveiligde verbinding en van een slotje. Dat slotje verschijnt echter niet – zoals gebruikelijk – onderin de browser, maar in het betaalframe. Het slotje is dan ook geen echt slotje maar een afbeelding (‘securelock.gif’), zo ontdekte Martijn Brinkers, een bezoeker van Marktplaats.

Terwijl je bij een ‘echt’ slotje kunt zien van wat voor beveiliging er gebruikgemaakt wordt, is dat bij het gif-bestand van Marktplaats niet mogelijk. “Uit de eigenschappen van het betaalframe blijkt wel dat het frame beveiligd is met secure socket layer (SSL). Er valt echter niet te zien welke certificaten er zijn gebruikt”, aldus Brinkers.

“Dit is natuurlijk fout. Naïeve webgebruikers moeten leren dat ze op het slotje rechtsonder moeten letten. Door ze nu weer te ‘leren’ dat een willekeurig slotje op een webpagina ook goed is, ondermijn je het hele idee van SSL”, aldus Brinkers.

“De aanwezigheid van een slotje is geen garantie voor een veilige verbinding”, meent Robin Schuil van Marktplaats daarentegen. “Het is oppervlakkig om te denken dat de veiligheid met het slotje komt.”

De reden dat het slotje als gif-bestand in het frame staat, is volgens Schuil dat Marktplaats in het verleden af en toe vragen kreeg over het ontbreken van het slotje onderin de browser. “Het is een tijdelijke oplossing, omdat Internet Explorer het slotje niet in de statusbalk toont.”

Oplichting

Volgens Brinkers ligt het gevaar van oplichting op de loer. “Marktplaats maakt gebruik van zogeheten ‘mixed content’. Dat betekent dat er beveiligde en niet-beveiligde onderdelen door elkaar heen worden gebruikt”, legt Brinkers uit. Het gebruik van mixed content is volgens hem onverstandig. “Het is sterk af te raden, omdat niet duidelijk is welk deel nou veilig is en welk deel niet.”

Oplichters kunnen eenvoudig het betaalframe van Marktplaats vervangen door een eigen frame. Daarmee zouden ze de (creditcard)gegevens van bezoekers kunnen onderscheppen.

Om de Marktplaats-bezoekers naar de vervalste betaalpagina te lokken, is wel de nodige inventiviteit vereist. Onmogelijk is het echter niet. “Je zou bijvoorbeeld een mailtje kunnen sturen naar iemand die net een advertentie heeft geplaatst, met de boodschap dat de betaling is mislukt en opnieuw moet worden uitgevoerd”, aldus Brinkers.

Volgens Schuil is het geschetste scenario louter ’theoretisch’. “Als je dit zou willen doen, moet je de hele site nabouwen. Dat kun je bij elke site doen. Als we zien dat zoiets gebeurt, komen we meteen in actie.”

“We hebben dit nog nooit meegemaakt, zo uitzonderlijk is het. Hier kunnen nooit veel mensen het slachtoffer van worden”, aldus Schuil. “Je moet kijken waar het e-mailbericht vandaan komt en naar welke site je wordt gestuurd.”