InfoNu.nl > Pc en Internet > Onderhoud > Paper Phishing: Internetcriminaliteit

Paper Phishing: Internetcriminaliteit

De internetcriminaliteit is tegenwoordig gedoemd tot een opmars van formaat. Hierbij worden niet alleen particulieren, maar ook ondernemingen mee geconfronteerd. Deze opmars is te danken aan de miniem aanwezige, tevens slecht omschreven, wetgeving in verband met de internetmisdaad.

Paper phishing


Inleiding

De internetcriminaliteit is tegenwoordig gedoemd tot een opmars van formaat. Hierbij worden niet alleen particulieren, maar ook ondernemingen mee geconfronteerd. Deze opmars is te danken aan de miniem aanwezige, tevens slecht omschreven, wetgeving in verband met de internetmisdaad.

In deze paper zal ik echter maar één onderdeel in de internetcriminaliteit bespreken, namelijk phishing. Een term die sinds 1996 het levenslicht heeft gezien en alsmaar meer voor onheil op het internet zorgt.

Wat is phishing?

Phishing betekent het verkrijgen van informatie van een persoon, zoals wachtwoorden van bankaccounts, pincodes, internetaccounts en andere gevoelige informatie op een dubieuze manier. Om dit te doen stelt de dader zich in de meeste gevallen op als een vertrouwenspersoon, om het slachtoffer te misleiden.

Hoe het woord is ontstaan heeft twee aanneembare omschrijvingen. Enerzijds is het, volgens Wikipedia1, een samenvoegsel van de woorden ‘Password Harvesting Fishing’. De andere omschrijving is dat de ph geen speciale betekenis heeft, aangezien hackers de f wel vaker hiermee vervangen, als knipoog naar de eerste vorm van hacking (Phone Phreaking2).

Geschiedenis

Vroeger werden vooral internetaccounts gestolen, om via deze weg malafide praktijken (andere computers hacken, spam3 versturen, …) te vervullen. En dit werd op verschillende manieren geprobeerd (via chatboxen, emails, …).
Deze internetaccounts werden vaak verhandeld met andere hackers in ruil voor bijvoorbeeld een hackprogramma.
De term phishing kwam het eerst aan bod in een nieuwsgroep in januari 1996, in het volgende bericht:

It used to be that you could make a fake account on AOL so long as you had a credit cardgenerator. However, AOL became smart. Now they verify every card with a bank after it istyped in. Does anyone know of a way to get an account other than phishing?—mk590, "AOL for free?" alt.2600, January 28, 1996

Nu wordt er vooral gevist naar gevoelige bankinformatie, met alle gevolgen van dien. Dit gebeurd vooral aan de hand van vervalste e-mails en websites.

Met andere woorden kunnen we besluiten dat de naam dezelfde is gebleven, maar wat er gestolen wordt ruimer is geworden, de manier waarop de gegevens afhandig worden gemaakt is echter beperkter.

Types

Algemeen

Phishing e-mails gebruiken verschillende manieren om gebruikers te doen toehappen. Het is onmogelijk om ze hier allemaal te vermelden, maar ik zal toch proberen enkele categoriëen op te sommen en uit te leggen. Hier moet overigens opgemerkt worden dat phishing een beetje het patroon van virussen volgt: één groep ontwikkelt een nieuw type, en andere groepen hergebruiken het en proberen het eventueel te verbeteren. Uiteindelijk wordt het zelfs voor ervaren computergebruikers moeilijk om een verschil op te merken tussen een echte en een vervalste website, zonder in de broncode ervan te duiken. De website-gebruikers informeren is niet altijd voldoende. Natuurlijk is het belangrijk om niet te reageren op dergelijke emails, en zeker geen vertrouwelijke gegevens op het internet in te vullen.

Gelijkaardige url

Zoals eerder vermeld wordt er dikwijls een deel van de naam van de echte website gebruikt voor de vervalste versie. Zo kan bijvoorbeeld www.fortis.com.tk voor de onervaren gebruiker er authentiek uitzien, terwijl zowat iedereen dit .tk-domein geregistreerd kan hebben. Ook kunnen bepaalde tekens in een URL vervangen worden door gelijkaardige tekens, zoals de l door een I (goole.be => googIe.be) of de o door een 0. Een andere variant misbruikt de specificatie voor een URL. Het is immers toegelaten om voor de hostname een ‘userinfo’ gedeelte toe te voegen, bijvoorbeeld als volgt: http://www.google.com@phishingsite.com

Deze url leidt de bezoeker naar de website phishingsite.com, waar er geprobeerd wordt toegang te krijgen als gebruiker ‘http://www.google.com’, zelden zal de server een foutboodschap genereren als deze naam niet bestaat. Hoe langer het eerste gedeelte (voor de @), hoe meer kans dat het niet opvalt. Als er tenslotte een volledig willekeurige naam gebruikt wordt voor de website, zoals 123456abcdef.nl, lijkt het alsof het gaat over een gebruikerID of andere data op de website www.google.com die meegezonden wordt. Vooral mensen met oudere of minder bekende browsers lopen gevaar: bepaalde browsers zoals FireFox en Opera waarschuwen tegenwoordig wanneer dit geprobeerd wordt en de webpagina normaal geen authenticatie vereist. Internet Explorer heeft het op een minder gebruiksvriendelijke manier opgelost, en weigert gewoon de pagina weer te geven wegens een syntaxfout. Hierdoor wordt deze methode in grote maten ongedaan gemaakt.

Zelfgemaakte adresbalk

Bij een ander type wordt er een zelfgemaakte adresbalk op het scherm weergegeven. Hiervoor wordt gebruikgemaakt van javascript4 om de look&feel5van de browser van de bezoeker te imiteren. Wanneer de gebruiker op de website van de phisher terecht komt via een link in de e-mail, is het een koud kunstje om in de eigen adresbalk de url van het echte bedrijf weer te geven. Als er een andere website ingetikt wordt laadt de browser deze gewoon, zodat het verschil niet merkbaar is. Een tweede probleem is dat wanneer er andere website bezocht worden via de speciale adresbalk, gegevens zoals kredietkaartinformatie doorgestuurd kunnen worden naar de maker. Dit type komt al voor sinds 2004.

‘Man in the middle’

Dit type van aanval houdt in dat de software van de phisher tussen de gebruiker en het bedrijf (waarvan de website is) staat. In het geval van de zelfgemaakte adresbalken is dit al zo. Een ander voorbeeld: de software van de phisher staat tussen de bank en de gebruiker in. Hierdoor wordt het bijvoorbeeld erg gemakkelijk om tijdens het inloggen gebruikersnaam en wachtwoord te bewaren, maar de gebruiker toch correct te laten inloggen. Ook kunnen overschrijvingen gemakkelijk gewijzigd worden zodat ze op een andere rekening terechtkomen, of nog eenvoudiger: de gebruiker kan afgesloten worden en de software kan zijn eigen instructies naar de bank sturen.

Een andere interpretering van dit begrip kan zijn dat de phisher automatisch software laat installeren op de computer van de gebruiker (bijvoorbeeld keyloggers6), aan de hand van een java programma dat in de background draait zodat de gebruiker er niets van opmerkt.

Phishing vermijden

Hier kan men twee alternatieven onderscheiden. Enerzijds is er de kant van de gebruiker van de websites, anderzijds is er de kant van websitemakers.

De gebruikers zouden onverwachte mails van bedrijven moeten wantrouwen waarin ze hun gegevens moeten (her)invullen. Als je toch de drang zou hebben om je gegevens in te vullen, open dan een nieuwe pagina in je webbrowser en surf rechtstreeks naar de website in plaats van een link in een e-mail te gebruiken. Hou tevens je anti-virus up to date om mogelijk schadelijke software te onderscheppen.

Aan de kant van de websitemakers is beveiliging via hardware (bijvoorbeeld met een kaartlezer in het geval van een bank (cfr. Dexia en Fortis)) het meest bruikbaar om phishing tegen te gaan. Ook een systeem van tokens – wachtwoorden die maar één keer geldig zijn en dus onmiddellijk waardeloos worden – kan helpen. Websites die statische wachtwoorden gebruiken zijn uiteraard het kwetsbaarst. Een andere mogelijkheid is het watermerken van bepaalde afbeeldingen op je website. Dit is al een heel stuk moeilijker om je website na te maken, en biedt in heel wat gevallen een betrouwbare oplossing.

Een scripttaal met object-georiënteerde mogelijkheden.
De UI van een programma met typische kenmerken van de eigenaar ervan.
Een programma dat de ingetikte toetsen vanop je toetsenbord registreert.

Juridisch aspect

Er wordt bij phising een hele resem aan wetten overschreden. Ik zal deze hier zo volledig mogelijk toe lichten.

Basis: art. 8 Europees Verdrag van de Rechten van de Mens, par.1:
"Eenieder heeft recht op eerbiediging van zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling."

Europese richtlijnen
  1. Verordening Nr. 108/81 van het Europees Parlement en de Raad van 28/01/1981 over de bescherming van personen in verband met de automatische verwerking van persoonsgegevens (Straatsburg, 1981)
  2. Europese Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
  3. Europese Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector
  4. Let wel: deze richtlijn wordt vervangen door ER 2002/58/EG
  5. Europese Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt ("richtlijn inzake elektronische handel")
  6. Verordening (EG) Nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens
  7. Conventie Nr. 185 van de Raad van Europa van 23/11/2001 over de cybercriminaliteit
  8. Europese Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)

Belgische wetten

De wetgeving op het vlak van de bescherming van de privacy, de computercriminaliteit en de wetgeving betreffende telecommunicatie is verspreid over meerdere ministeries en is bijgevolg ook geregeld in meerdere wetteksten.
  1. Wet inzake de hervorming van sommige economische overheidsbedrijven - 21 maart 1991
  2. Gezien het feit dat de volgende wetten telkens wijzigingen aanbrengen aan - of refereren naar - deze wet, verdient zij veel aandacht.
  3. Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van privé-gegevens - 8 december 1992
  4. Deze Wet is de basiswet voor de bescherming van de persoonsgebonden gegevens met betrekking tot de verwerking ervan. Het toepassingsgebied van deze Wet is zeer breed, hetgeen haar eigenlijk zeer complex maakt.
  5. Wet ter bescherming van de persoonlijke levenssfeer tegen het afluisteren, kennisnemen en openen van privé-communicatie en -telecommunicatie - 30 juni 1994

Deze wet bevestigt het recht op privacy zoals bepaald in de Wet van 8 december 1992 maar haalt ook de modaliteiten aan wanneer dit recht mag ingeperkt en desnoods geschonden mag worden. Daarom wordt ze vaak benoemd als 'de Wet op de afluisterpraktijken'. Deze modaliteiten bevatten ook een lijst wetsartikels waarvoor de inperking of schending kan ingeroepen worden, waaronder artikel 114 van de Wet van 21 maart 1991 Ook deze Wet wijzigt een reeks artikels in - of voegt artikels toe aan - reeds bestaande wetten, waaronder eveneens de Wet van 21 maart 1991.

Wet inzake informaticacriminaliteit - 28 november 2000
Deze Wet regelt alle mogelijke gevallen van criminaliteit waarbij gebruik gemaakt wordt van informaticamiddelen.
België heeft, voor zover we hebben kunnen nagaan, geen aparte regelgeving voor criminaliteit die specifiek aan het internet gebonden is. Deze wet wijzigt een hele reeks artikels in - of voegt artikels toe aan - reeds bestaande wetten, waaronder de Wet van 21 maart 1991.

Besluit

Het internet is een massamedium, en dat is dan ook wat oplichters zoeken. Des te meer een site bezoekers heeft, des te meer er onervaren, en dus kwetsbare, gebruikers zullen tussen zitten. En het zijn vooral deze gebruikers die het doelwit worden van phising, aangezien ze niet over de nodige ervaring en kennis beschikken om malafide e-mails, of websites, te onderscheiden van betrouwbare.

Eén van de enige mogelijkheden om geen slachtoffer te worden van phishing is sceptischer te worden tegenover e-mails of sites die naar je persoonlijke gegevens vragen. Zelfs al gaat het om een vertrouwde website, professionele hackers zullen er niet van terug schikken om een database te hacken om zo toch aan je persoonlijke gegevens te geraken. Hoe minder je van jezelf op internet plaatst, des te beter voor je eigen veiligheid.
© 2007 - 2017 Rutger, het auteursrecht (tenzij anders vermeld) van dit artikel ligt bij de infoteur. Zonder toestemming van de infoteur is vermenigvuldiging verboden.
Gerelateerde artikelen
Phishing: wat is het en hoe kun je het voorkomen?Phishing: wat is het en hoe kun je het voorkomen?Phishing wordt uitgesproken en soms zelfs gespeld als ‘fishing’. Fishing betekent letterlijk vissen, er wordt dan ook na…
Risico phishing-aanvallen op internetRisico phishing-aanvallen op internetPhishing-aanvallen op internet vormen een toenemend risico. Wie op het internet koopt, kent de verkoper niet persoonlijk…
Veilig internetbankieren: phishing en malwareDe meeste mensen zijn tegenwoordig bekend met en gewend geraakt aan internetbankieren. Het heeft zo zijn voordelen: dire…
E-mail schrijvenE-mail heeft een groot aantal voordelen, maar er zijn ook vormen van misbruik, zoals spam, phishing en flaming. De regel…
Voorkom Phishing van uw persoonlijke bankgegevensVoorkom Phishing van uw persoonlijke bankgegevensPhishing, skimming, ransomware, keyloggers zijn manieren voor het stelen van uw persoonlijke bankgegevens en andere gege…
Bronnen en referenties
  • http://nl.wikipedia.org/wiki/Phishing
  • http://www.idtheftcenter.org/facts.shtml
  • http://europa.eu.int/comm/justice_home/ejn/index_nl.htm
  • http://www.antiphishing.org
  • http://www.phishtank.com
  • http://datacenter.cit.nih.gov/interface/interface231/phishing.html
  • http://en.wikipedia.org/wiki/Phishing
  • http://www.bitpipe.com/tlist/Phishing.html
  • http://www.ftc.gov/bcp/conline/pubs/alerts/phishingalrt.htm
  • http://www.sophos.com/spaminfo/bestpractice/phishing.html
  • http://www.webopedia.com/TERM/p/phishing.html
  • http://www.wordspy.com/words/phishing.asp

Reageer op het artikel "Paper Phishing: Internetcriminaliteit"

Plaats als eerste een reactie, vraag of opmerking bij dit artikel. Reacties moeten voldoen aan de huisregels van InfoNu.
Meld mij aan voor de tweewekelijkse InfoNu nieuwsbrief
Ik ga akkoord met de privacyverklaring en ben bekend met de inhoud hiervan
Infoteur: Rutger
Gepubliceerd: 15-11-2007
Rubriek: Pc en Internet
Subrubriek: Onderhoud
Bronnen en referenties: 12
Schrijf mee!