Het Cyber Security Centrum van de overheid 'juicht het toe' dat steeds meer websites een beveiligde verbinding hebben. "Maar wij zien ook dat steeds meer malafide websites daar gebruik van maken, om zich voor te doen als betrouwbaar", laat een woordvoerder weten in een reactie.

Ook LetsEncrypt ziet het probleem. "Browsers zouden niet moeten aangeven dat een website veilig is als er een beveiligde verbinding kan worden gemaakt", zo laat John Aas van die organisatie weten aan de NOS. "Desalniettemin zou elke website op internet een beveiligde verbinding moeten hebben. Het is voor ons ook onmogelijk om hierop te controleren."

Proef op de som

Banken adviseren mensen om naast het slotje ook te letten op de domeinnaam, maar ook dat advies voldoet vaak niet. Veel kwaadwillenden registreren domeinnamen die lijken op de 'echte' domeinnamen.

De NOS nam de proef op de som en registreerde ongehinderd de domeinnamen 'mijn-ing.nl', 'bankierenrabobank.nl' en 'binck-bank.nl". Die lijken sterk op de echte loginpagina's 'mijn.ing.nl' en 'bankieren.rabobank.nl' en zijn netjes voorzien van een werkend certificaat.

"Voor de consument is het verschil nauwelijks te zien", zegt ook Michel van Eeten van de TU Delft. "Dat ze het verschil tussen een puntje en streepje zien, kun je ook niet van hen verwachten. Het echte probleem is dat verschillende partijen zoals banken dat slotje zijn gaan uitleggen als 'je hebt de echte site te pakken', maar dat is volslagen nonsens."