Bij phishing (van fishing, hengelen) versturen criminelen grote
aantallen berichten die afkomstig lijken van een legitieme
organisatie. Doel is de ontvanger persoonlijke informatie zoals
inlogcodes te ontfutselen, of spyware te installeren op de pc.
Technisch is het een vorm van spam, ongewenste reclame, maar
phishing is niet alleen hinderlijk, maar ook gevaarlijk.
Postbank-klanten
Nederland maakte enige tijd geleden voor het eerst kennis met
grootscheepse phishing door een aanval op Postbank-klanten.
Tegelijkertijd kregen klanten van de Belgische Citibank en het
Zwitserse Postfinance-portal Yellownet ermee te maken. Phishers
lijken hun terrein te verleggen van grote internationale bedrijven
naar lokale markten, aldus Jos Nijsen, directeur Nederland van de
Amerikaanse interbeveiliger Internet Security Systems (ISS).
Tot voor kort konden internetgebruikers een phishingmail nog
herkennen. De verzenders worden echter steeds professioneler. "Het
wordt steeds moeilijker omdat de link in de mail vaak leidt naar
perfect nagemaakte websites, zoals bij de Postbank. Van het
veilinghuis eBay verscheen onlangs een mail die naar een geheel
nagemaakte site leidde en de gebruiker na het invoeren van zijn
inlogcode en wachtwoord automatisch doorzette naar de echte
eBay-site."
Het ziet er naar uit dat het aantal phishing-aanvallen in 2008
meer dan verdubbeld is tot 110 per maand. In april van dit jaar
signaleerde de door de industrie opgezette The Anti-Phishing
Working Group 79 verschillende bedrijven die het doelwit waren.
Gemiddeld waren er in de eerste vier maanden 2766 nepsites per
maand actief. Aangezien de gemiddelde levensduur van een site nog
geen zes dagen is, komen er dus dagelijks honderden nieuw nepsites
bij.
IP-adres
Anti-spam- en antivirusprogramma's vormen maar een gedeeltelijke
oplossing voor het probleem. Gewerkt wordt aan een veelbelovende
oplossing waarbij gecontroleerd wordt of het IP-adres van de
verzender overeenkomt met het adres waarvan de mail afkomstig zou
moeten zijn. "Maar op dit moment is deze techniek nog weinig
effectief", zo geeft Nijsen toe.
Er spelen bij phishing nog enkele problemen. Zo is
computerbeveiliging vaak nog steeds niet optimaal, vooral niet waar
het gaat om het versterken van zwakke plekken vooraf. Een
belangrijke rol spelen de kosten, de de pan uitrijzen. De uitgaven
aan beveiliging in het bedrijfsleven zijn de laatste paar jaar rap
toegenomen van 5 tot 10 naar 15 tot 25 procent van de totale
IT-kosten.
Zelf oppassen is daarom voorlopig het parool. Verder kunnen
bedrijven voorkomen dat hun naam te grabbel wordt gegooid door
onaantrekkelijk te zijn voor phishers. Belangrijk is klanten en
relaties steeds weer duidelijk te maken dat zij nooit via e-mail om
persoonlijke gegevens zullen vragen. En doe aangifte, is de
boodschap.
Nijsen vindt dat computercriminaliteit ook onvoldoende aandacht
krijgt van de overheid. "Toch is het een groeiend maatschappelijk
probleem." Dat er een nieuwe, moderne maffia aan het opkomen is,
blijkt ook al weer uit Amerikaanse cijfers. In de VS groeit de
hoeveelheid crimineel geld, terwijl de hoeveelheid geld die gemoeid
is met gewelddadige activiteiten van criminelen juist daalt.
|