Phishing
7/Feb 2014
Wie heeft die mailtjes niet wel eens gehad? De bank heeft haar computersysteem aangepast en nu moet de klant het testen. Of het IBAN moet gekoppeld worden aan het oude rekeningnummer. Maar dat kan natuurlijk alleen nadat ingelogd is.
Trucs
Allemaal trucs om het slachtoffer zo ver te krijgen om op een link te klikken en op de resulterende pagina zijn gegevens in te voeren. Die paginas variëren van simpele scripts op GDrive tot bijna perfecte kopieën van de website van de bank.
“Daar trapt toch niemand in?” Toch wel. Je wordt gewaarschuwd voor een potentieel probleem. Er staat een link in de mail, dus zal dat daarmee wel op te lossen zijn. Dat gebeurt zo vaak. Als je ergens een nieuw account aanmaakt. Als je bij een webshop iets bestelt. Als je wilt controleren waar je pakketje blijft. Er zijn zelfs nog organisaties die mail sturen met een link als een wachtwoord dreigt te verlopen.
De volgende horde die het slachtoffer moet nemen om de crimineel van de gegevens te voorzien, is de website. Als die niet genoeg overeenkomt met de originele website, stopt het slachtoffer meestal wel. Als de website een perfecte kopie is, wordt het lastiger. De URL van de website is dan nog wel anders, maar daar let bijna niemand op. “Wat ik las, klopte toch?”
Dit brengt me weer terug naar de mail. Vaak klopt de afzender. De linkt ziet er goed uit. Daar kan toch niets mis mee zijn? Jammer genoeg wel. Om te beginnen de afzender. Wat een gebruiker ziet, is niet de echte afzender. Dat deel van de mail kan simpel vervalst worden. Het is een stukje tekst voor de gebruiker en het heeft eigenlijk niets met de mail zelf te maken. Standaard mailclients bieden de mogelijkheid om dat simpel aan te passen. Als je als crimineel even wat meer moeite doet, is het zelfs eenvoudiger te vervalsen. Dat klinkt tegenstrijdig, maar zo zit mail, en eigenlijk een groot deel van internet, in elkaar.
Website
De link is ook niet wat het lijkt. Wat je ziet, is wat de schrijver van de pagina wilt dat je ziet. Wat je niet ziet, is waar de schrijver van de pagina wilt dat je naar toe gaat, als je op de link klikt. Op een webpagina zie je ook nooit de links voluit geschreven. Als dat wel het geval is, weet je nog steeds niet of dat wat gebeurt ook dat is wat je ziet en denkt dat gaat gebeuren. Gelukkig bieden de meeste browsers en mailclients hier een oplossing voor. Als je de muis boven de link laat zweven, wordt ergens op het scherm de echte link getoond. Controleer die goed.
Na deze zijsprong zijn we weer bij de website en het slachtoffer heeft dan toch maar zijn gegevens ingevuld. Wat kan er dan gebeuren? Bij bankgegevens is het duidelijk. Voor je zelf in kunt loggen bij je bank, is de rekening leeg. Bij inloggegevens voor mail e.d. is dat wat lastiger te duiden. Daar merk je als slachtoffer niet veel van. IAF merkt dat des te beter.
Misbruik
In veel gevallen heeft de crimineel binnen enkele minuten een verbinding gemaakt met onze mailserver en is hij spam aan het versturen. Tienduizenden, honderdduizenden of zelfs miljoenen spammailtjes. Allemaal afkomstig van het account van het slachtoffer. Veel van de gebruikte adressen bestaan niet (meer) en dus krijgt het slachtoffer een mailbox vol met foutmeldingen. Dat is wanneer het slachtoffer merkt dat er wat vreemds aan de hand is.
Voor IAF en de andere klanten is het echter erger. Als de mailstroom al niet verstopt is door de grote hoeveelheid mail, gaan andere organisaties maatregelen nemen om de stroom aan binnenkomende spam aan te pakken. Grote organisaties, zoals Microsoft, Google en Yahoo, zullen onze mailserver blokkeren. Dat wil zeggen dat ook normale mail naar gebruikers van die maildiensten niet meer mogelijk is. Dat is zeer lastig en het kost erg veel tijd om dat op te lossen.
Om te beginnen eisen die organisaties dat eventuele spam, die nog staat te wachten, opgeruimd wordt. Pas als de beheerders door de grote hoeveelheid mail hebben gespit en alle spam hebben verwijderd, kunnen ze vragen om de blokkade op te heffen. Sommige organisaties doen dat gelijk. Bij anderen duurt het wat langer. Vooral als een dergelijke spamrun vaker voorkomt, omdat er vaker mensen in een phish trappen, kan het voorkomen dat niet gelijk geloofd wordt dat het probleem is opgelost.
Voorkomen is beter
Wat kunnen we hieraan doen? In de eerste plaats dus goed opletten waar je je gegevens invoert. Bij twijfel niets invullen en eventueel bij de betreffende organisatie verifiëren of je twijfel gerechtvaardigd is. Als je toch wat hebt ingevuld, zorg er dan voor dat je wachtwoord zo snel mogelijk wordt gewijzigd.
Als wij een spamrun opmerken, zullen we het account zo snel mogelijk blokkeren, zodat zo min mogelijk mensen er last van hebben.
Disclaimer
Dit artikel is eerder gepubliceerd als een officiële Achterkrant voor Internet Access Facilities.