Bij phishing (van fishing, hengelen) versturen criminelen grote aantallen berichten die afkomstig lijken van een legitieme organisatie. Doel is de ontvanger persoonlijke informatie zoals inlogcodes te ontfutselen, of spyware te installeren op de pc. Technisch is het een vorm van spam, ongewenste reclame, maar phishing is niet alleen hinderlijk, maar ook gevaarlijk.

Postbank-klanten

Nederland maakte enige tijd geleden voor het eerst kennis met grootscheepse phishing door een aanval op Postbank-klanten.

Tegelijkertijd kregen klanten van de Belgische Citibank en het Zwitserse Postfinance-portal Yellownet ermee te maken. Phishers lijken hun terrein te verleggen van grote internationale bedrijven naar lokale markten, aldus Jos Nijsen, directeur Nederland van de Amerikaanse interbeveiliger Internet Security Systems (ISS).

Tot voor kort konden internetgebruikers een phishingmail nog herkennen. De verzenders worden echter steeds professioneler. "Het wordt steeds moeilijker omdat de link in de mail vaak leidt naar perfect nagemaakte websites, zoals bij de Postbank. Van het veilinghuis eBay verscheen onlangs een mail die naar een geheel nagemaakte site leidde en de gebruiker na het invoeren van zijn inlogcode en wachtwoord automatisch doorzette naar de echte eBay-site."

Het ziet er naar uit dat het aantal phishing-aanvallen in 2008 meer dan verdubbeld is tot 110 per maand. In april van dit jaar signaleerde de door de industrie opgezette The Anti-Phishing Working Group 79 verschillende bedrijven die het doelwit waren. Gemiddeld waren er in de eerste vier maanden 2766 nepsites per maand actief. Aangezien de gemiddelde levensduur van een site nog geen zes dagen is, komen er dus dagelijks honderden nieuw nepsites bij.

IP-adres

Anti-spam- en antivirusprogramma's vormen maar een gedeeltelijke oplossing voor het probleem. Gewerkt wordt aan een veelbelovende oplossing waarbij gecontroleerd wordt of het IP-adres van de verzender overeenkomt met het adres waarvan de mail afkomstig zou moeten zijn. "Maar op dit moment is deze techniek nog weinig effectief", zo geeft Nijsen toe.

Er spelen bij phishing nog enkele problemen. Zo is computerbeveiliging vaak nog steeds niet optimaal, vooral niet waar het gaat om het versterken van zwakke plekken vooraf. Een belangrijke rol spelen de kosten, de de pan uitrijzen. De uitgaven aan beveiliging in het bedrijfsleven zijn de laatste paar jaar rap toegenomen van 5 tot 10 naar 15 tot 25 procent van de totale IT-kosten.

Zelf oppassen is daarom voorlopig het parool. Verder kunnen bedrijven voorkomen dat hun naam te grabbel wordt gegooid door onaantrekkelijk te zijn voor phishers. Belangrijk is klanten en relaties steeds weer duidelijk te maken dat zij nooit via e-mail om persoonlijke gegevens zullen vragen. En doe aangifte, is de boodschap.

Nijsen vindt dat computercriminaliteit ook onvoldoende aandacht krijgt van de overheid. "Toch is het een groeiend maatschappelijk probleem." Dat er een nieuwe, moderne maffia aan het opkomen is, blijkt ook al weer uit Amerikaanse cijfers. In de VS groeit de hoeveelheid crimineel geld, terwijl de hoeveelheid geld die gemoeid is met gewelddadige activiteiten van criminelen juist daalt.