Security professionals – en als ik heel eerlijk ben, ikzelf ook – beschouwen het eigenlijk niet eens meer als een echte cyberbedreiging: phishing. Phishing is een eenvoudige vorm van fraude, er komt nauwelijks informatica bij kijken, en is daarom bijna het analyseren niet waard. De slachtoffers van phishing worden door IT-professionals laatdunkend aangeduid als ‘Picnic’ (Problem in chair, not in computer), want tja, wie trapt daar nou in?
Als wij op deze manier denken aan phishing, denken wij aan klassieke phishing: een e-mail die zogenaamd afkomstig is van de bank en waarin wordt gesteld dat er een bepaald probleem is, dat de gebruiker (snel!) moet oplossen door op deze link te klikken en zijn gegevens in te voeren. Postbus 51 zet zich, samen met de Nederlandse Vereniging van Banken al jaren in om mensen bewust te maken van het gevaar van phishing. Daarnaast waarschuwen de banken zelf regelmatig op hun eigen website voor phishing, vaak in een scherm dat je als gebruiker actief moet wegklikken nadat je hebt aangegeven dat je de tekst hebt gelezen en begrepen. Je zou redelijkerwijs kunnen verwachten dat iedere Nederlander die aan internetbankieren doet, ook wel eens heeft gehoord over phishing-trucs. In die zin is het ook niet zo vreemd dat banken steeds vaker van mening zijn dat schade die geleden is door phishing niet meer per definitie voor hun rekening hoeft te zijn.
Maar is het wel zo simpel? Eerlijkheid gebiedt mij om toe te geven dat phishers, net als andere cybercriminelen, de afgelopen jaren niet hebben stilgezeten. De ene innovatie volgt de andere op in dit veld van cybercrime. Zo deden de afgelopen twee jaar de telefonische phishers hun intrede. Deze gingen zeer sluw te werk: in plaats van pincodes of inloggegevens te vragen (‘Die mag u nooit aan iemand geven, dus daar zou ik u nooit naar vragen.’), vragen ze om TAN-codes (‘Om te controleren of uw randomreader nog wel goed functioneert.’) om hun illegale transacties mee te bevestigen. En omdat mensen nooit met zoveel woorden gewaarschuwd zijn voor telefonische phishing, trappen ze daar natuurlijk toch gemakkelijker in.
Het aantal succesvolle telefonische phishingpogingen daalde na veel media-aandacht hiervoor alweer snel. Omdat het uiteraard een kostbare zaak is om een persoon dagenlang telefoontjes te laten plegen naar nietsvermoedende mensen, is die investering alleen de moeite waard als de opbrengst hoog is. Als die terugloopt, dan houdt deze dure vorm van oplichting al snel op. En dan moet er weer iets nieuws bedacht worden.
Een relatief nieuwe vorm van phishing die het SecurityLab van G Data onlangs tegen kwam is uitgebreider. Hiervoor worden eerst op succesvolle wijze de toegangsgegevens tot een e-mailaccount gestolen (vermoedelijk door een computer in een internetcafé te besmetten met keyloggers en andere spyware). Vervolgens worden alle contacten die binnen het e-mailaccount kunnen worden gevonden aangeschreven uit naam van de rechtmatige eigenaar van het e-mailadres. In de e-mail wordt verwezen naar een belangrijk document, te vinden in Google Docs. Een link leidt de ontvanger naar dit zogenaamde document. De site waar de ontvanger terechtkomt is niet de echte inlogpagina voor Google Docs, maar een nep-versie daarvan. De hoop is dat slachtoffers daar zo veel mogelijk gegevens achterlaten, waarmee de oplichters, naast Google-accounts, nog meer accounts kunnen misbruiken.
Deze specifieke zaak had toch nog wel wat scherpe randjes. Zo werden de Duitse slachtoffers plotseling in het Engels aangesproken door hun Duitse vriend, wat toch wat vreemd is. Bovendien was de toon van de phishingmail erg formeel, zakelijk zelfs, wat je niet direct zou verwachten van een vriend. Een aantal van de vrienden van het slachtoffer rook dan ook onraad, en waarschuwden hem telefonisch. Maar zodra de phishers inzien dat deze zaken wantrouwen opwekken, zullen zij ongetwijfeld manieren verzinnen om op natuurlijkere wijze te communiceren met hun slachtoffers. Als dat gerealiseerd is, kan iemand die geen slachtoffer wil worden van phishing nooit meer een e-mail van een vriend vertrouwen. Als het zover is, hoe stellig kunnen wij, zogenaamde security-experts, dan nog volhouden dat phishing gewoon een kwestie is van ‘eigen schuld, dikke bult’?
Lees het hele verhaal over de omschreven phishingscam op http://blog.gdatasoftware.com/blog/article/email-account-hacked-phishing-messages-sent-traces-obliterated.html
Jan van Haver, country manager Benelux & UK bij G Data Software
