Allerlei virussen, trojans, wormen, spam en nu ook nog phishing – de momenteel veelbesproken plaag van internet houdt eigenlijk al vele jaren huis. Oorspronkelijk stond de term voor diefstal van persoonlijke gegevens via de telefoon. Door de vooruitgang in de communicatietechnologie hebben dataspionnen vervolgens ook het internet als platform voor hun illegale activiteiten ontdekt. Tegenwoordig is "phishing" vrijwel synoniem met iedere vorm van dataroof via e-mail, ook al komen daar steeds nieuwe varianten bij, zoals nu dus "pharming". De soms zeer professioneel georganiseerde gegevensdiefstal is de inmiddels klassieke virussen als ergste plaag van het web aan het verdringen.
Enorme toename van phishing-attacks
De oorsprong van het woord is "password harvesting fishing", wat de dataspionage beeldend weergeeft als het "vissen" naar persoonlijke gegevens en paswoorden. Vergeleken met virussen en spam was phishing echter lange tijd een schijnbaar verwaarloosbaar en daarom bij de meesten onbekend probleem. Midden jaren negentig kwam het eerste grote geval van phishing aan het licht. Van veel AOL-gebruikers werd toen op grove wijze het paswoord afgetroggeld om hun inbelaccounts te kunnen gebruiken. Ondanks soortgelijke gevallen in de jaren die volgden, hebben tot 2003 maar weinig mensen van phishing gehoord. In relatief korte tijd won dit onderwerp echter duidelijk aan belang. In september 2003 ontdekte MessageLabs slechts 279 phishing-e-mails, maar in dezelfde maand van het volgende jaar was dit aantal gestegen naar twee miljoen! In totaal werden in 2004 18 miljoen phishing-e-mails onderschept, en het aantal blijft toenemen.
De methode schijnt te lonen
Niet alleen de kwantiteit is toegenomen, maar ook de criminele inspanningen die erachter schuilgaan. Phishing wordt tegenwoordig steeds meer door georganiseerde bendes en op systematische wijze uitgeoefend. De typische methode: eerst worden er kopieën gemaakt van bestaande websites van gerespecteerde ondernemingen en merken, variërend van financiële dienstverleners, banken en internetveilinghuizen tot online-reisbureaus. Vervolgens worden via – eveneens professioneel georganiseerde – methoden voor massaverspreiding honderdduizenden e-mails verstuurd die de ontvanger naar de vervalste website moeten lokken, in de hoop dat een deel van deze e-mails bestaande of potentiële klanten van deze ondernemingen zal bereiken. De bedoeling is dat de goedgelovige klanten vervolgens hun persoonlijke gegevens, wachtwoorden of creditcardgegevens prijsgeven, bijvoorbeeld bij de fictieve bestelling van producten. Net als bij spam is een zeer laag slagingspercentage van een of twee procent al voldoende om deze activiteit voor de phishers lonend te maken – aan de massale verzending zijn immers praktisch geen kosten verbonden. En in de praktijk blijkt dat het slagingspercentage vaak zelfs veel groter is. Zo schat de Anti-Phishing Working Group (APWG), die als tegenoffensief door industrie en handel is opgericht, het slagingspercentage van phishing-attacks op vijf procent. Natuurlijk worden vervalste websites direct van het web gehaald zodra ze door een oplettende klant of controleservice worden opgemerkt. Desondanks bedraagt de gemiddelde levensduur van een phishing-website volgens gegevens van de APWG 6,4 dagen, waarbij het maximum meer dan 31 dagen is. Gecombineerd met de te behalen respons is dit zeer lucratief voor de: de "directe verliezen" van banken of kredietinstellingen lopen inmiddels in de miljarden. Omdat de juridische verhouding tussen gedupeerden en ondernemingen onduidelijk is, wordt veruit het grootste deel van de schade echter gedragen door de klanten zelf. Deze wordt door Gartner geschat op ruim 50 miljard euro. Succes is dus verzekerd. En dat is belangrijk, want de phishing-community is er niet, zoals virusmakers, op uit om zoveel mogelijk schade aan te richten, maar heeft slechts oog voor één ding: geld.
Het is dan ook niet verwonderlijk dat de branche voor financiële dienstverlening het meest geteisterd wordt door phishing. In de afgelopen 18 maanden werden over de hele wereld vele grote banken door phishing-incidenten getroffen. In Duitsland is de Postbank onlangs nog opnieuw het doelwit geweest van een phishing-attack. In deze zaak waarschuwden de e-mails potentiële klanten ironisch genoeg juist voor oplichtingsgevaar. Ze moesten daarom op een vervalste website de veiligheid van hun rekening verhogen – natuurlijk met opgave van hun transactienummer. De vervalste Postbank-site werd korte tijd later geblokkeerd, maar het risico van steeds weer nieuwe phishing-pogingen blijft bestaan. MessageLabs onderschept momenteel tussen de twee en vijf miljoen phishing-e-mails per dag, die dagelijks naar 80 tot 100 frauduleuze websites verwijzen. De nieuwste doelgroepen van phishing-attacks zijn naast klanten van online-banking ook gebruikers van betalingsdiensten zoals PayPal en e-commerce-platforms zoals eBay. Onlangs dook ook een vervalste site op voor het online bestellen van vliegtickets. Iedere commerciële organisatie die klanttransacties afwikkelt via internet, is een potentieel doelwit. De consequenties voor de getroffen ondernemingen variëren van verontrusting bij de klant, imagoschade en productiviteitsverlies tot juridische conflicten.
Phisherman´s Friend – de vooruitgang van de techniek
Waarom zijn de phishers nog altijd zoveel mensen te slim af? De toegepaste techniek wordt steeds uitgekiender. De vaak perfect vervalste e-mails van bedrijven zijn in de dagelijkse informatiestroom nog maar moeilijk te onderscheiden van de legale elektronische correspondentie. Nog maar enkele jaren geleden was het technische niveau van vervalste e-mails minimaal. De online-spionnen gingen met simpel opgestelde berichten en onrealistische commerciële aanbiedingen op jacht naar klanten en gegevens. Er werden slechts weinig pogingen ondernomen om klantenportals op een hoog niveau te klonen. Tegenwoordig daarentegen is de technologische vooruitgang aan de verkeerde kant van de wet niet meer te overzien. Phishers zijn er – net als spammers – toe overgegaan de controle over netwerken van breedband-PC's over te nemen en deze als "botnets" voor de hosting van vervalste websites te gebruiken. Zo blijft niet alleen de werkelijke identiteit van de websites langer verborgen, maar door gebruik te maken van een verdeeld netwerk van gekaapte computers kunnen ook grote phishing-attacks met een massale verspreiding worden uitgevoerd.
Ook de tactiek is veranderd. Tot dusver werden de ontvangers ertoe aangezet een link aan te klikken in de phishing-e-mail die naar de geïmiteerde website leidt. Voor de nieuwste phishing-attacks worden nieuwe louche technieken gebruikt die minder interventie van de kant van de gebruiker vergen. Zo verspreiden phishers in massamails trojans, wormen en spyware-programma's die gebruikmaken van de veiligheidsgaten in het besturingssysteem en zich op vaste schijven nestelen. Daar registreren de onzichtbare spionnen toetsaanslagen, bezochte internetadressen of wachtwoorden. De buitgemaakte gegevens worden vervolgens naar verborgen datacenters gestuurd voor "verdere verwerking". Ook de "technieken" om mensen een loer te draaien worden steeds verfijnder. Phishers doen naïeve ontvangers bijvoorbeeld het aanbod om een bedrag op hun rekening te storten wanneer zij meedoen aan een online-enquête. Om het geld te krijgen, moet men echter wel zijn kaartnummer en PIN-code invoeren. Bedriegers geven zich ook wel uit voor potentiële werkgevers en vragen naar persoonlijke gegevens, bijvoorbeeld de bankrelatie. In hun vreugde over het uitzicht op een baan nemen de sollicitanten vaak niet de nodige voorzichtigheid in acht. En ten slotte: hoe vollediger een profiel van gestolen persoonsgegevens wordt, des te beter dit kan worden doorverkocht. Ook de handel in gestolen identiteiten is een lucratieve business.
Phishing + domain-spoofing = pharming
Alsof dit nog niet erg genoeg was, tekent zich nu een nieuwe bedreiging af, "pharming" genaamd. Hiervoor nemen de dataspionnen hun toevlucht tot een in hackerskringen bekende methode, de zogenaamde "domain spoofing". Daarbij wordt het internetadres van een website op geraffineerde wijze vervalst doordat de adresresolutie op internet wordt gemanipuleerd. Met behulp van de adresresolutie wordt via het URL-adres dat een gebruiker in het invoervenster van een browser invoert, normaal gesproken het op getallen gebaseerde IP-adres achterhaald. Deze taak wordt uitgevoerd door de DNS-servers (Domain Name System), die daarvoor omvangrijke tabellen met URL-namen en de bijbehorende IP-adressen beheren. Bij pharming worden de DNS-servers door een methode genaamd "DNS cache poisoning" zodanig gemanipuleerd dat via de URL-namen niet meer de echte IP-adressen worden achterhaald, maar de IP-adressen van de vervalste webservers, waar de gebruiker dan ten slotte ook belandt.
Bij een andere methode van pharming verandert het hostsbestand, dat op Windows-computers eveneens de vertaling van URL- in IP-adres kan uitvoeren. Dit bestand bevat een tabel met de meest gebruikte IP-adressen. Als dit bestand wordt overschreven krijgt de gebruiker bij het oproepen van een gewenste site altijd automatisch een vervalste site te zien. Daarvoor moet echter eerst een schadelijk programma op de computer van de gebruiker worden gezet om de veranderingen uit te voeren.
Een ander gevaar van pharming vormen de proxyservers. Veel gebruikers maken gebruik van proxyservers om hun eigen IP-adres te verbergen. In het ergste geval kan het adres van een dergelijke proxyserver worden aangevallen en ziet de gebruiker een vervalste banksite, hoewel zijn systeem correct functioneert.
Pharming-aanvallen zijn bijzonder gevaarlijk, omdat de gebruikers hierbij zelfs na handmatige invoer van een adres of gebruik van bookmarks niet op de eigenlijk gewenste website, maar op de gemanipuleerde server van de oplichter terechtkomen. De bereidheid om persoonlijke gegevens prijs te geven is hierbij vele malen groter dan bij een soortgelijk verzoek via phishing-mails.
Maatregelen tegen phishing en pharming
Er zijn geen dure onderzoeken nodig om te kunnen voorspellen dat de aanvallen de komende tijd verder zullen toenemen. De ontwikkeling op het gebied van virussen en spam laat zien wat ons te wachten staat. Weliswaar zijn technische oplossingen, die voortdurend verder worden ontwikkeld, tegenwoordig in staat om meer dan 90 procent van alle risico's op voorhand uit te filteren. Als medewerkers zich echter nonchalant gedragen in het gebruik van elektronische communicatie, helpen ook antivirusoplossingen of firewalls niet meer. Ondernemingen moeten hun medewerkers daarom duidelijke gedragsregels geven om de voorlichting over actuele bedreigingen niet aan het toeval over te laten. Om de schade door eventueel misbruik van de eigen websites tot een minimum te beperken, moeten ondernemingen die actief zijn in de e-commerce, zorgen dat al hun klanten zich bewust zijn van het mogelijke risico van phishing-attacks en richtlijnen geven over welke informatie op welke wijze door hen wordt opgevraagd.
Voor ons allen is de belangrijkste veiligheidsmaatregel uiteindelijk toch dat wij steeds waakzaam zijn als ongevraagde e-mails in onze mailbox belanden. Het is doorgaans niet verstandig om ongevraagd toegezonden bijlagen bij e-mails te openen, omdat deze vaak besmet zijn met virussen of andere schadelijke programma's. Phishing-mails zijn vaak herkenbaar aan taal- en formaatfouten. De meeste bevatten bovendien een URL en de onderwerpregel heeft vaak op enigerlei wijze betrekking op de persoonlijke rekening.
Naast deze zinvolle "opvoedkundige" maatregelen zijn technologieën die verdachte activiteiten herkennen en tegengaan, onontbeerlijk. De effectiefste aanpak is de proactieve controle op het niveau van de internet-gateway. Slechts op dit punt, waar het volledige e-mailverkeer wordt gefilterd, is het mogelijk ongewone trafficpatronen, verdachte e-mailafzenders, mogelijke veiligheidslekken en nieuwe kwaadaardige programmacodes te analyseren. Zo kunnen bedrijven zich effectief beschermen tegen de steeds wisselende bedreigingen, die een wereldwijde plaag zijn geworden. Ook pharming kan slechts worden tegengehouden met proactieve veiligheidssystemen die wijzigingen van het IP-adres herkennen en verhinderen. Daarom is het aan te raden een beveiligingsoplossing met reactieve en proactieve beschermingssystemen te gebruiken. Bovendien moeten regelmatig actuele updates en patches van besturingssystemen en toepassingen worden geïnstalleerd, zodat niet geprofiteerd kan worden van zwakke plekken. Bedrijven die voor deze omslachtige taak geen intern personeel willen vrijmaken of deze gevaren niet tot hun eigen netwerk willen laten doordringen, doen er goed aan hun e-mailverkeer via de infrastructuur van een aanbieder van managed e-mail security services te laten verlopen. Daardoor wordt gegarandeerd dat de beveiligingsmaatregelen altijd up-to-date zijn – en daarop komt het uiteindelijk aan in de voortdurende wedloop tussen goed en kwaad.