Innovatie

Is de consument onnodig het slachtoffer van phishing?

0

Het bedrijfsleven en de overheid maken ons bewust van het bestaan van phishing en vertellen ons om er vooral niet in te trappen. We moeten onze gegevens geheim houden. De verantwoording wordt voor een groot deel bij de consument gelegd, maar doen het bedrijfsleven en de overheid zelf wel alles aan het voorkomen van phishingaanvallen? De gevaren, risico’s en de schade van phishing lijken groter dan gedacht en de mogelijkheden voor bestrijding zijn veel eenvoudiger dan wordt beweerd. Nieuwe mogelijkheden bieden nog betere bescherming tegen aanvallen. Zal Nederland de strijd tegen phishing aangaan?

De impact van phishing

De gevolgen van phishing zijn groot. Niet alleen de omvang van de directe schade, maar met name ook de indirecte schade. Zo tast phishing bijvoorbeeld het vertrouwen in het kanaal e-mail en het internet zelf flink aan. Dit zou de verdere opkomst van ontwikkelingen als online en mobiel bankieren in de weg kunnen gaan staan. Er zijn technieken (zie onder andere het artikel van mijn collega Martijn Groeneweg, over het veilig verzenden van e-mail) om phishingaanvallen te voorkomen of om ze in ieder geval veel lastiger te maken. Maar merken doen daar nog (te) weinig mee. De introductie van een nieuwe standaard was voor ons aanleiding om de situatie bij de grootste slachtoffers van phishing in Nederland te onderzoeken. Doen zij alles om phishing te voorkomen? In de komende weken zullen mijn collega’s en ik in een reeks artikelen onze resultaten publiceren, ieder vanuit onze eigen invalshoek en vakgebied. In dit artikel van mij een introductie tot en een blik op de impact van phishing.

Wat is phishing?

Hoewel phishing  misschien wel de bekendste vorm van fraude op het internet is, blijkt het nog altijd een van de meest effectieve manieren van oplichting van internetgebruikers. Fraudeurs sturen e-mailberichten die eruit zien als een e-mailbericht van bijvoorbeeld een bank of creditcardmaatschappij, maar ze bevatten juist verwijzingen naar websites waar wordt geprobeerd om persoonsgegevens van internetgebruikers te achterhalen. In de e-mailberichten worden verzoeken gedaan die een echte afzender nooit zou doen. Zo zijn er phishing e-mailberichten bekend waarin ontvangers wordt gevraagd om hun rekening te bevestigen met hun pincode of waarin De Belastingdienst zou vragen om gevoelige persoonlijke communicatie.

Accepteer cookies

Wanneer een ontvanger op een van de links in een dergelijk e-mail klikt, komt hij op een website die er weliswaar echt uitziet, maar dit zeker niet is. Zodra de ontvanger nietsvermoedend zijn gegevens op de website invult, worden deze naar de oplichters gestuurd, waarna de opgelichte internetgebruiker wordt doorgestuurd naar de echte website van het merk. Deze laatste stap wordt steeds professioneler opgezet, want de opgelichte internetgebruiker moet natuurlijk zo lang mogelijk nietsvermoedend blijven, omdat hij anders zijn creditcard zou kunnen blokkeren of zijn inloggegevens zou gaan wijzigen. Hiermee heb ik direct de belangrijkste tip voor phishingslachtoffers genoemd. Wanneer je het vermoeden hebt dat je jouw gegevens op een phishingwebsite hebt ingevuld, verander dan direct (voor zover mogelijk) je inloggegevens. Hierdoor kan de oplichter deze gegevens nog eens gebruiken. Gaat het om rekeningnummers of creditcardgegevens dan moet je helaas rigoureuze maatregelen nemen en deze door je bank laten blokkeren.

Phishing e-mail bericht verzonden namens ING (klik voor de volledige e-mail)

Om de phishingsite zo vertrouwd mogelijk over te laten komen, wordt er vaak gebruik gemaakt van domeinnamen die sterk op die van het aangevallen merk lijken. Deze zijn natuurlijk niet van het merk, maar worden minder snel als onveilig herkend. Denk aan domeinnamen als abmamro.nl of marktplaats.veilig.nl. Er zijn ook aanvallen bekend waarin JavaScript werd gebruikt om een andere URL in de adresbalk te tonen dan de website waar de internetgebruiker in feite op zat. Hele geniepige pogingen, omdat de merken juist naar ons communiceren om de URL van de website te controleren, voordat we gegevens invullen. Phishingaanvallen gebeuren lang niet allemaal (meer) via e-mail en op internet, maar op veel plekken in het dagelijks leven. Phishing is vooral het verzamelen van gegevens door je voor te doen als een ander en wordt daarom ook wel password harvesting of brand spoofing genoemd.

De geschiedenis van phishing

De term phishing komt van het Engelse werkwoord voor vissen, to fish, en beschrijft uitstekend wat het doet;  het hengelen naar persoonsgegevens van internetgebruikers. Op zich is dit al reden genoeg om de term te gebruiken, maar doordat de HTML comment tag die midden jaren ’90 werd gebruikt om phishing in chat rooms te verbloemen sterk op een vis leek (<><) paste dit woord echt helemaal bij het onderwerp. Omdat hackers al sinds de late jaren ’60 de neiging hebben om de letter f te vervangen door ph wordt phishing ook op een dergelijke wijze geschreven. Het vervangen van deze letter wordt in de hackerswereld gezien als een eerbetoon aan de eerste vorm van hacken, phreaking, het woord dat werd gebruikt voor het hacken van telefoniesystemen. Om deze reden worden ook veel nicknames en namen van organisaties uit de hackerswereld met ph geschreven.

Vermoedelijk is de term phishing voor het eerst gebruikt in de jaren ’70, maar het wordt echt algemeen gebruikt sinds 1996. In januari van dat jaar werd de term phishing genoemd in de alt.2600 hackernieuwsgroep, bij aanvallen op accounts van America Online (AOL). Het internet begon op dat moment het grote publiek te bereiken en, nadat AOL het algoritme had aangepast, konden er niet langer accounts met gegenereerde creditcardnummers worden aangemaakt. Hackers schakelden daarom over naar het stelen van wachtwoorden van gebruikers met legitieme AOL-accounts. Deze gehackte accounts noemde men phishs en werden op dat moment zelfs gebruikt als valuta voor hackers onderling. Zo werden er bijvoorbeeld 10 werkende AOL phishs geruild voor een hackingtool of ander stuk code.

Phishing blijft zich ontwikkelen

Phishing gebeurde oorspronkelijk vooral vanuit e-mailberichten, maar het kent inmiddels vele varianten (en blijft zich in rap tempo doorontwikkelen). Waar het in de beginperiode met de AOL-accounts nog ging om vrij “onschuldige” vergrijpen, verschuift het steeds meer naar de georganiseerde criminaliteit met identiteitsfraude en aanvallen op het (mobiele) betalingsverkeer tot gevolg. In augustus 2003 zijn zelfs alle grote banken in de VS, UK en Australië wel minimaal één keer getroffen door een phishingaanval.

Spearphishing, clonephishing & whaling

Er komen ook steeds meer geniepigere vormen van phishing, zoals malware dat vermomd als spelletje op je computer wordt geïnstalleerd. Vervolgens worden met een keyboardlogger alle toetsaanslagen opgeslagen en naar de oplichter doorgestuurd. Veel van deze nieuwe ontwikkelingen krijgen ook een eigen naam. Zo kennen we inmiddels spearphising; de gerichte vorm van phishing waarbij bijvoorbeeld alleen ING-klanten worden aangeschreven, clonephishing; waarbij een daadwerkelijk door een merk verzonden e-mailbericht opnieuw wordt gebruikt en whaling; waarbij de aanvallen worden gericht op personen in hooggeplaatste functies.

Accepteer cookies

Ook vindt phishing steeds meer offline plaats, bijvoorbeeld telefonisch. Waarbij met name de opkomst van VOIP wordt gebruikt om consumenten geautomatiseerd te bellen en te vragen naar accountgegevens en/of hun pincode. Een ander voorbeeld is het gebruik van valse draadloze netwerken (evil twins) in de openbare ruimte, waarbij de wachtwoordgegevens van de gebruikers van dat netwerk worden opgeslagen.

Dat phishing steeds meer verschuift naar de georganiseerde criminaliteit betekent niet dat het gevaar alleen daar vandaan komt. Het opzetten van een phishingwebsite is zelfs zo eenvoudig dat vrijwel iedereen door het simpelweg kopiëren van de broncode van een website in staat is om er een op te zetten. En mocht je er echt niet uitkomen, dan kun je via Google een aantal handleidingen vinden, biedt YouTube de nodige how-to-phish video’s aan en als je een beetje doorzoekt kun je ook kant-en-klare man-in-the-middle phishing kits vinden, waarmee je eenvoudig via een applicatie met simpele user-interface websites kunt dupliceren.

Zijn consumenten eigenlijk wel het slachtoffer?

De consument wordt vaak gezien als het grootste slachtoffer van phishing, maar in feite zijn deze momenteel geen “volwaardig” slachtoffer. Banken gaan namelijk heel coulant om met slachtoffers van internetfraude. Er zijn uitzonderingen, maar bij een meerderheid van de huidige phishingaanvallen heeft de consument het opgelichte bedrag teruggekregen. De echte slachtoffers zijn daarom met name de merken als wie de oplichters zich voordoen. Niet alleen de directe schade (zoals het vervangen van de bankpas en het vergoeden van de schade van de consument) kan aardig oplopen, maar wat te denken van de impact op het imago van deze merken? “Vertrouwen komt te voet en gaat te paard” luidt het spreekwoord. En als je jarenlang hebt geïnvesteerd in het opbouwen van een goed merk, kan een oplichter dit rap doen afbreken.

Eigenlijk is iedereen die actief is op en met het internet het slachtoffer van phishing, want het heeft veel (ook onbewuste) invloed op het vertrouwen in bijvoorbeeld het betalen op internet en e-mail als communicatiemiddel en kanaal. Er zijn consumenten die hebben aangeven gestopt te zijn met internetbankieren en weer ouderwets geld over maken via de acceptgiro of consumenten die geen internetaankopen meer doen. Dit kost banken en winkeliers veel meer om te verwerken en past natuurlijk niet in de huidige groei-, maar ook besparingsplannen. Een phishingpoging zien we daarom vooral als een aanval tegen een merk.

Phishingaanvallen zijn vaak gericht op grote merken, die een hoop vertrouwen hebben onder consumenten. Wel verschuift dit steeds meer naar eigenlijk alle vertrouwde merken in verschillende branches. Zo zijn ook aanvallen bekend op sociale netwerken, verzekeraars, in de reisbranche, maar ook steeds meer webshops, online games en zelfs De Belastingdienst en de overheid. Dit zal zich blijven ontwikkelen en eigenlijk loopt dus elke online onderneming risico.

Over het algemeen is sowieso al de trend dat steeds meer criminaliteit verschuift van de buitenwereld naar het internet, omdat daders daar veel lastiger op te sporen zijn. Het politieapparaat is nog niet volledig ingericht op onze nieuwe digitale werkelijkheid. En waar je bij skimming het risico loopt om door een videocamera of voorbijganger met telefoon te worden vastgelegd, kun je op internet vrij anoniem te werk gaan.

De schade van phishing: € 549 miljoen per maand

Door de toenemende bewustwording trappen steeds minder internetgebruikers in de vallen die door oplichters worden gezet, maar voor phishing geldt de wet van de grote getallen. Hoewel de schade varieert van het ontkennen van het bestaan tot zeer substantiële bedragen, komen we met een simpele rekensom al een heel eind. Er worden momenteel zo’n 6,1 miljard phishing e-mailberichten per maand verzonden. Wanneer je dat aantal afzet tegen het totaal aantal e-mailberichten van 300 miljard per dag, lijkt dit niet veel, maar wanneer we uitgaan van een percentage van 0,01 van de pogingen die slaagt (wat nog vrij laag is, in onderzoeken varieert het aantal van 0,5% tot soms wel 70% op social media) zijn dat 610.000 geslaagde phishingpogingen per maand. Met een gemiddelde schade van € 900,- per geslaagde phish, betekent dit een omzet van € 549 miljoen per maand. Daarmee zou je iedere Nederlander elke maand € 33,- extra kunnen geven of kun je Beyoncé inhuren als jurylid voor je tv-programma.

In Amerika wordt de directe schade van phishing geschat op zo’n $ 3,6 miljard per jaar. In Nederland bedroeg de directe schade van phishing over de eerste helft van 2011 € 11 miljoen, dat betekende een verdubbeling ten opzichte van 2010. In de tweede helft van 2011 werd deze factor van 2 zelfs 3,5x zo groot, waarmee het totaalbedrag over 2011 op € 35 miljoen schade kwam te liggen. Naast het vergoeden van de schade, maken de getroffen merken veel kosten voor bijvoorbeeld het vervangen van creditcards, het contact met de klanten en het onderzoeken van de gevolgen binnen de organisatie. De impact van de imagoschade is lastiger te berekenen, maar een goede indicatie daarvan kun je krijgen door de exposure van de gebeurtenis en de (gemiddelde) kosten om dezelfde exposure via een campagne te genereren bij elkaar te nemen.  Nu zijn de kosten voor een e-mailcampagne niet zo hoog, maar de exposure die bedrijven zoals bijvoorbeeld ING krijgen met vermeldingen in tv-programma’s als Editie NL en het NOS Journaal lopen natuurlijk in de tientallen miljoenen.

Dat phishing echt nadelige gevolgen heeft voor het imago, blijkt uit het feit dat 42% van de respondenten in een onderzoek van Cloudmark heeft aangegeven dat het ontvangen van een phishinge-mail hun vertrouwen in het merk schaadt. En ondanks dat phishing steeds meer aandacht en dus awareness krijgt, zal de omvang van het probleem niet snel afnemen omdat slechts 7% van de internetgebruikers die de SonicWALL Phishing IQ Test heeft gemaakt alle phishing e-mailberichten kon herkennen. Dit betekent dus dat 93% van de internetgebruikers zich nog steeds zou kunnen laten misleiden door een goed opgezette aanval.

Het voorkomen van phishing

De strijd tegen phishing is vooral aan het begin van dit decennium echt op gang gekomen en wordt op verschillende fronten gestreden. De verandering van wet- en regelgeving is een belangrijk onderdeel in de aanpak, maar deze is net zoals bij alle andere online criminaliteit nog niet helemaal aangepast op onze nieuwe samenleving. De aanpak zal dus vooral vanuit het bedrijfsleven en de branches zelf moeten komen en hoewel we hebben kunnen concluderen dat de aanvallen met name gericht zijn op merken, leggen deze merken juist een groot deel van de verantwoordelijkheid bij de consumenten. Zij moeten ervoor zorgen dat ze er niet intrappen.

Spamfilters, firewalls, browsers, besturingssystemen en virusscanners zijn tegenwoordig beter uitgerust om internetgebruikers te beschermen, ook tegen phishing. Maar deze worden door veel internetgebruikers niet allemaal of soms zelfs helemaal niet gebruikt. Wanneer ze wel worden gebruikt zijn ze vaak ook nog eens niet up-to-date, waardoor de consument nog steeds niet voldoende beschermd is. Merken richten zich daarom vooral op het trainen van de internetgebruikers. Ze worden uitgelegd hoe ze hun eigen systeem (beter) kunnen beveiligen en via welke manieren ze zeker kunnen stellen dat een e-mail van het merk afkomstig is. Dit doet elk merk op zijn eigen manier want er is (nog) geen waterdichte methode of standaard.

Gmail waarschuwt voor e-mailberichten die vermoedelijk eerder gebruikt zijn bij phishing

Merken als PayPal en eBay trainen hun gebruikers door aan te geven dat ze altijd de gebruikersnaam in e-mail bericht zullen vermelden en dat ze nooit bijlagen mee zullen sturen. In Nederland trainen ook veel merken, zoals bijvoorbeeld ABN AMRO en ING, hun gebruikers. ING probeert bovendien ook nog eens via updates aan te geven, wanneer er op hen gerichte phishinge-mails in omloop zijn, een goede service. Daarnaast wordt er door de merken vooral ingegaan op het controleren van het domein in de adresbalk van de browser en het bevestigen of er gebruik wordt gemaakt van een SSL verbinding. Maar ook hier zou dus eventueel mee gesjoemeld kunnen zijn. Veel merken bieden ook de mogelijkheid aan om bij twijfel e-mailberichten aan hen door te sturen via spoof@paypal.com of valse-email@ing.nl, zodat zij kunnen bevestigen of de e-mail legitiem is of niet. Dit is ook een goed initiatief, maar natuurlijk veel te tijdrovend. Tevens doen ze dit natuurlijk ook om zelf inzicht te krijgen.

Technische maatregelen nemen!

Merken zien voor zichzelf verder vooral de taak om zich voor te bereiden op een aanval. In het geval van een aanval is met name de communicatie naar de gebruikers erg belangrijk. Ze zorgen er daarom voor dat er een  team beschikbaar is en dat ze boilerplates hebben opgesteld voor in- en externe communicatie. Maar ze kunnen ook aan de technische kant maatregelen nemen. Er zijn diverse authenticatie- en verificatietechnieken voor e-mail beschikbaar, zoals DKIM, Sender ID en SPF, waarmee ontvangende e-mailservers kunnen verifiëren of een ontvangen e-mail bericht inderdaad door een domein van het merk is verzonden.

Uit ons onderzoek blijkt dat merken in Nederland deze technieken nog nauwelijks toepassen. De verantwoordelijkheid komt dus echt bij de consument te liggen. Bovendien worden consumenten ook nog eens bang gemaakt door verschillende instanties, die aangeven dat je bankzaken alleen via een beperkt account moet gaan doen of die zelfs aangeven om spamfilters zo in te stellen dat alle e-mails van banken worden verwijderd, omdat een bank nooit belangrijke zaken alleen via e-mail zal communiceren. Is dat een situatie waar we naar toe willen?

Het is het probleem van bedrijven en merken

Bedrijven en merken trainen internetgebruikers niet alleen uit eigen naam, maar ook de brancheorganisaties en overheid doen mee met initiatieven als veiligbankieren.nl en voorheen 3xkloppen.nl. Dit soort initiatieven zijn goed voor het bewustzijn, maar het probleem wordt bij de internetgebruikers gelegd. Gelukkig is de slogan Nepmail, daar trapt u niet in inmiddels vervangen door Bankgegevens en inlogcodes, hou ze geheim!. Toch is het wel erg makkelijk om alleen maar de consument aan te spreken, terwijl de bedrijven zelf niet alles doen om phishing te voorkomen.

Accepteer cookies

Een aantal anti-phishingorganisaties vrezen dat phishing via e-mail berichten langzaam zal worden vervangen voor de (moeilijkere traceerbare) variant via malware. Dit is een logische beredenering, maar dit vraagt wel veel meer technische kennis dan het opzetten van een phishing aanval via een e-mailbericht met website. Zoals eerder geconstateerd, kan vrijwel iedereen dit organiseren en is het dus zaak voor bedrijven om te voorkomen dat deze deur open blijft staan, omdat de kans heel klein is dat hij uit zichzelf dicht zal gaan.

Inmiddels zijn er naast de verschillende authenticatie- en verificatietechnieken ook diverse andere initiatieven geweest, zoals bijvoorbeeld Iconix, waarmee het eenvoudiger zou worden voor internetgebruikers om te zien of een e-mail legitiem is. Deze werden altijd sceptisch ontvangen en zijn nooit heel breed door de merk omarmd. De allergrootste merken, zoals bijvoorbeeld Facebook en Amazon, gingen daarom over tot het maken van afspraken met e-mail providers om e-mailberichten die niet van hen afkomstig zijn op de ontvangende servers direct te laten verwijderen. Voor e-mailproviders is het toenemende aantal ongewenste berichten juist een groot probleem en dit is natuurlijk een mooie mogelijkheid om daar wat aan te doen. Maar ze kunnen natuurlijk niet met iedereen dergelijke afspraken aangaan. Of misschien toch wel? Het initiatief voor een nieuwe standaard was geboren.

DMARC: vanuit de branche, voor de branche

De afspraken van merken met e-mailproviders hebben geleid tot een nieuwe technische specificatie vanuit de markt, genaamd DMARC. DMARC is niet helemaal nieuw, want de initiatiefnemers werken er al 18 maanden aan, maar sinds begin dit jaar is DMARC ook publiekelijk toegankelijk geworden. DMARC staat voor Domain-based Message Authentication, Reporting & Conformance en is een initiatief van verzenders (zoals Facebook en LinkedIn), ontvangers (zoals AOL, Gmail en Hotmail) en intermediairs (zoals Cloudmark en ReturnPath). Het doel van deze nieuwe specificatie is om e-mailauthenticatie verder te standaardiseren en ongewenste e-mailberichten te voorkomen.

De DMARC specificatie is een DNS oplossing, waarmee een ontvangende server kan nagaan of de inhoud van een bericht na de verzending ervan niet is aangepast en of het verzendende IP adres/domein wel mag verzenden namens het merk. Dit lijkt veel op de eerdere authenticatie- en verificatietechnieken (en bouwt daar in feite ook gewoon op door), maar deze nieuwe specificatie is vooral uniek doordat er instelbaar is (aangeven voor gedeeltelijk of geheel niet doorlaten) wat er moet gebeuren met  e-mailberichten die niet aan deze voorwaarden voldoen. Dit kan worden gedaan in verschillende gradaties, waardoor DMARC gefaseerd in iedere organisatie kan worden geïmplementeerd.

Gmail waarschuwt voor e-mail berichten waar de verificatie en/of authenticatie is gefaald

Inzicht in directe en indirecte schade

De andere unieke mogelijkheid van DMARC is de terugkoppeling van e-mailproviders aan eigenaren van domeinen over de ontvangen en de geblokkeerde e-mailberichten. Hiermee krijgen merken niet alleen inzicht in waar de phishing e-mailberichten vandaan komen, maar ook inzicht in de aantallen daarvan. Deze feiten ontbraken voorheen, maar zijn natuurlijk essentieel in de berekening van de directe en indirecte schade en het verhalen van deze schade op de verzenders van phishingberichten.

DMARC is niet zozeer gericht op een betere deliverability, maar is vooral een standaard voor het voorkomen van spoofing en phishing. Merken kunnen, zodra ze DMARC operationeel hebben, garanderen en communiceren dat e-mailberichten van hen alleen afkomstig zijn via een bepaald domein en dat ieder e-mailbericht met een ander domein nooit van hen afkomstig kan zijn. E-mailberichten die niet van het merk afkomstig zijn, maar wel het genoemde domein gebruiken, zullen bij de strikte instelling van DMARC nooit bij de internetgebruiker kunnen uitkomen.

Vertrouwen in e-mail herstellen

De introductie van deze standaard is een goede ontwikkeling voor het vergroten van het vertrouwen in het kanaal e-mail, wat de laatste jaren toch een paar flinke klappen heeft gekregen. Omdat mijn collega’s en ik sterk geloven in e-mail, willen we  graag een lobby starten voor de invoering van DMARC en het beschermen van de gebruikers van alle merken in Nederland. De standaard is nog niet definitief vastgesteld, maar het is in potentie een zeer succesvol initiatief.

Om een goed beeld te schetsen van de huidige stand van zaken, hebben we onderzoek gedaan onder de Nederlandse merken, die momenteel het vaakst getroffen worden door phishingaanvallen. De resultaten zullen wij in de komende weken hier op Frankwatching publiceren. Wat denken jullie? Doen Nederlandse bedrijven voldoende om phishing van de gegevens van hun gebruikers te voorkomen?