Capita selecta Informatiekunde/student contributions/phishing

Uit Werkplaats
< Capita selecta Informatiekunde‎ | student contributions
Versie door Barthold Derlagen (overleg | bijdragen) op 9 jan 2010 om 11:47 (Phishing)
(wijz) ← Oudere versie | Huidige versie (wijz) | Nieuwere versie → (wijz)
Ga naar: navigatie, zoeken

Doelgroep

Informatiekundige, Docenten die computercursussen geven, Beginnende/Gemiddelde computergebruikers.

Lead

Met een nieuw communicatie medium als het internet gaat er een wereld voor je open, maar dat geldt helaas ook voor je eigen pc. Voor je het weet ben je ongewilt slachtoffer geworden van criminele activiteiten, zoals hacken, spam of phishing. Banken maar ook burgers ondervinden hier problemen van. Gelukkig is hier wat aan te doen.

Phishing

Phishing (‘vissen’), is een verzamelnaam voor digitale activiteiten die tot doel hebben bepaalde persoonlijke informatie aan mensen te ontfutselen. Deze persoonlijke informatie kan direct worden misbruikt voor het maken van grote uitgaven (in het geval van creditcardnummers) of voor wat in het Engels ‘identity theft’ wordt genoemd. [GOVCERT 2006]

Schets van het probleem

De laatste jaren worden steeds meer klanten van banken lastig gevallen met valse e-mails die namens de verschillende banken worden verstuurd. Deze e-mails worden ook wel phishing e-mails genoemd. In deze e-mails worden klanten met een goedkope smoes (vaak in slecht Nederlands) naar een "nep" website gelokt, met de vraag om hun inloggegevens in te voeren. Deze logingegevens worden vervolgens door criminelen misbruikt om bankrekeningen mee te plunderen. Omdat de gemiddelde computergebruiker net met Microsoft word kan werken en e-mails kan beantwoorden, hebben zij niet genoeg verstand om phishing e-mails en nagemaakte websites van banken te herkennen.
Voorbeeld phishing e-mail
Voorbeeld phishing website

De internetcriminelen worden ook steeds slimmer en handiger is het ontfutselen van bankgegevens waardoor er op grote schaal fraude kan worden gepleegd en de schade soms in de miljarden lopen. De banken draaien vaak op voor de gemaakte kosten, denk hierbij aan personeelskosten, juridische kosten, maar ook het geld van klanten. Daarnaast als zo'n bericht de media bereikt, zal het de naam van de bank ook niet ten goede komen en zullen klanten steeds minder vertrouwen krijgen in de bank, waardoor de bank een flinke deuk m.b.t. zijn imago kan oplopen. Klanten lopen hierdoor juist weg of melden zich niet meer aan als nieuwe klant, uiteindelijk kost zo'n phishing aanval de bank veel tijd en geld om de vertrouwen van de klanten weer terug te winnen.
Bij een phishing aanval zijn er een aantal problemen die steeds duidelijk naar voren komen:

  1. De geringe internet en computer kennis van de gebruiker (zij weten namelijk niet hoe een phishing e-mail of nep website te herkennen is)
    1. Dit is ook meteen het grootste probleem: "de onbekwaamheid van de samenleving" (The chalange of Identity Theft in Mulit-level Governance, N.Meulen, BJ.Koops, Aug 2009. [[1]])
  2. En een slechte inlogprocedure en beveiliging om te kunnen internetbankieren (voornamelijk bij banken buiten Nederland).


Tot nu toe vergoeden de banken de gemaakte kosten bij een phishing aanval, echter de experts vragen zich af hoe lang banken de slachtoffers blijven vergoeden als ze hun gedrag niet gaan aanpassen, aangezien de schade door cybercrime steeds groter wordt. "De getroffen instellingen zien de verliezen als onderdeel van het zaken doen. Als de verliezen groeien, zie je misschien een gedragsverandering en word je verantwoordelijk voor je eigen rekening," aldus Ian Wilms, hoofd van de Association of Police Boards.[security.nl]

  1. Wat hier uit te leren valt is dat het tijd wordt om gebruikers bewuster te maken van phishing aanvallen en ze om te leren gaan met deze nieuwe soort van criminaliteit. Wanneer de banken niet meer voor de kosten willen opdraaien en de gebruikers hun gedrag niet zullen aanpassen, zullen ze dit uiteindelijk keihard voelen in hun eigen portemonnee.
  2. Daarnaast gaan beveiligingsexperts steeds verder in het beveiligen van het internetbankieren, waar de gebruiker uiteindelijk in de toekomst het slachtoffer van kan zijn. Denk hierbij aan de omslachtige manier om alleen al in te loggen om te kunnen internetbankieren. Echter deze manier van beveiligen zorgt er wel voor dat de Nederlandse rekening houders in vergelijking met Amerikaanse en Engelse rekeninghouders beter beveiligd zijn.

Wiens verantwoordelijkheid?

Tot nu toe nemen de banken steeds de verantwoordelijkheid voor de gemaakte kosten bij een phishing aanval. Dit om vaak het voorval in de doofpot te stoppen om zo geen of minder imago schade op te lopen. Wereldwijd kosten phishing aanvallen de banken jaarlijks miljarden euro's. Zoals eerder beschreven, vragen experts zich af,"hoe lang zullen de banken deze kosten nog blijven dragen?". Daarnaast kan je afvragen is het ook fair dat de banken opdraaien voor deze kosten? De gebruiker maakt tenslotte de fout om hun gegevens middels goedkope smoesjes vrij te geven. Of is het toch de fout van de bank ? Is de beveiliging wel goed genoeg? Is er voldoende voorlichting vanuit de bank naar de klanten over veilig Internetbankieren? Is er juridisch iets vastgelegd hierover? Dit soort vragen spelen allemaal een rol bij de vraag van wie is er de eindverantwoordelijke. Bij mogelijke rechtspraken in de toekomst tussen Bank vs. Gebruiker (m.b.t. phishing en wie is de schuldige) zal over dit vraagstuk misschien meer duidelijkheid komen.

Bekende oplossingen

  • Het gebruik van tan-codes (via sms of calculator, voor het inloggen/bevestigen van een actie)
  • Het gebruik van e-dentifiers, digipass, random readers (voor het inloggen op de Internetbankier website en het uitvoeren van bijvoorbeeld transacties)
  • Standaard voor het verrichten van Internet betalingen iDEAL
  • Spam filters (het tegenhouden van spam e-mails, deze houdt ook phishing mails tegen)
  • Wachtwoord hashing
  • Informatie veilig Internetbankieren (op de websites van banken staat vaak een handleiding hoe je veilig kunt Internetbankieren en waar je op moet letten, maar ook op sites van de overheid)

Mogelijke nieuwe oplossingen

Nieuwsartikelen

Techzine:
http://www.techzine.nl/nieuws/7030/phishing-aanvallen-verplaatsen-zich-naar-webwinkel.html
"....In 2004 leden banken ongeveer 12 miljoen pond verlies door phishing aanvallen en trojans. "

Dag:
http://www.dag.nl/overige/amerikanen-verliezen-miljard-phishing-110609
"...Amerikaanse internetgebruikers zijn dit jaar 3,2 miljard dollar kwijtgeraakt door phishing-aanvallen. In totaal werden 3,6 miljoen Amerikanen het slachtoffer van deze misleidende e-mails die gebruikers gevoelige informatie ontfutselen."

Nu.nl:
http://www.nu.nl/internet/1331617/phishing-schaadt-aanzien-van-banken.html
"...Vier van de tien internetgebruikers verliest zijn vertrouwen in banken door 'phishingmails', waarin cybercriminelen met nagemaakte e-mailberichten proberen wachtwoorden van rekeninghouders te achterhalen."

http://www.nu.nl/internet/945399/online-identiteitsdiefstal-kost-miljarden.html
"...Volgens de onderzoekers kosten de praktijken vele miljarden per jaar: in de Verenigde Staten zouden consumenten en bedrijven jaarlijks vijftig miljard dollar kwijtraken. Zo'n tien miljoen Amerikanen worden jaarlijks slachtoffer van identiteitsdiefstal. In Australië en het Verenigd Koninkrijk schatten de autoriteiten de schade op ruim drie miljard per jaar. "

Security.nl:
http://www.security.nl/artikel/18779/Banken_verzwijgen_cybercrime_uit_angst_voor_imago.html
"...Volgens functionarissen zouden banken en financiële instellingen cybercrime-incidenten verzwijgen uit angst voor negatieve publiciteit....
Vorig jaar(2008) rapporteerden de banken een schadepost van 35 miljoen dollar door fraude, maar politie denkt dat dit hoogstens 10% van alle incidenten is. Het zou in werkelijkheid minimaal om 500 miljoen dollar gaan....
...Toch vragen experts zich af hoe lang banken slachtoffers blijven vergoeden en hun gedrag niet gaan aanpassen, aangezien de schade door cybercrime steeds groter wordt...."

Wetenschappelijke Artikelen

Dhamija, R., Tygar, J.D., and Hearst, M. 2006. Why phishing works. In Proceedings of the SIGCHI Conference on Human Factors in Computing Systems (Montreal, Quebec, Canada, April 22 - 28, 2006). CHI '06.

Abstract

To build systems shielding users from fraudulent (or phishing) websites, designers need to know which attack strategies work and why. This paper provides the first empirical evidence about which malicious strategies are successful at deceiving general users. We first analyzed a large set of captured phishing attacks and developed a set of hypotheses about why these strategies might work. We then assessed these hypotheses with a usability study in which 22 participants were shown 20 web sites and asked to determine which ones were fraudulent. We found that 23% of the participants did not look at browser-based cues such as the address bar, status bar and the security indicators, leading to incorrect choices 40% of the time. We also found that some visual deception attacks can fool even the most sophisticated users. These results illustrate that standard security indicators are not effective for a substantial fraction of users, and suggest that alternative approaches are needed.

Relevantie

In het artikel "Why phishing works" wordt er onderzocht waarom computergebruikers juist slachtoffer worden van phishing emails. Hieruit blijkt dat gebruikers vaak verkeerde keuzes maken, omdat ze niet goed letten op de url omschrijving, slecht taal gebruik, status bar of het negeren van beveiliging waarschuwingen, maar ook omdat phishing sites steeds beter worden, waardoor onechtheden steeds moeilijker zijn waar te nemen. Dit zorgde er bijvoorbeeld alleen in Amerika al voor dat banken in 2003, 1.2 biljoen dollar schade leden (Litan, A. Phishing Attack Victims Likely Targets for Identity Theft. Gartner Research (2004).) Met dit onderzoek willen de onderzoekers juist aantonen dat gebruikers makkelijk voor de gek te houden zijn, waardoor banken vervolgens grote schades leiden. De onderzoekers zijn daarom ook steeds opzoek naar nieuwe methodes, waar phishing aanvallen mee herkend kunnen worden(en tegengehouden), waardoor banken uiteindelijk minder schades leiden.

Wat doen wij als Informatiekundige eraan

Hoe zien wij informatiekundige

Wij zien afgestudeerde informatiekundige van de Radboud Universiteit, als personen die basis kennis hebben van informatica, waardoor ze technische problemen kunnen analyseren en hiervoor oplossingen voor kunnen bedenken. Maar ook als personen die met vakken als Law in Cyberspace en ICT & Samenleving, basis kennis hebben van de samenleving en de wetten die erin gelden. Hiermee zouden ze in samenspraak met gespecialiseerd juristen en mensen uit het bedrijfsleven naar geschikte oplossingen tegen phishing kunnen zoeken en deze middels voorlichtingen, artikels en presentaties kunnen verspreiden.

Onze bijdragen

Wat wij als informatiekundige kunnen bijdragen is onder andere ervoor zorgen dat er goede voorlichting over phishing komt naar computergebruikers. Met voorlichting bedoelen we het informeren over de gevolgen van phishing (misbruik van persoonlijke informatie, geld stellen, etc.) en hoe je phishing kan detecteren. (waar je op moet letten als je e-mails binnen krijgt een website opent, etc.) Deze informatie zou beschikbaar gemaakt moeten worden op de websites van de banken en bepaalde overheidsinstellingen met betrekking tot ICT. Het zou ook een pre zijn als dit onderwerp sterker terug zou komen in cursussen en opleidingen met betrekking tot computergebruik.

Een ander punt waar wij aan zouden kunnen bijdragen is het zorgen voor betere web-browsers. Het is van belang dat web-browsers beter beveiligd worden tegen phishing, dit houdt in dat er gecheckt moet wordt of alle gegevens van de website te vertrouwen zijn. Het is natuurlijk van belang dat websites van banken gebruik maken van beveiligde methodes voor de website zoals SSL, Certificaten, HTTPs, en andere methodes.

Op het gebied van authenicatie kunnen we ook een bijdrage leveren hier zou aan nieuwe methodes en technieken gedacht kunnen worden voor het inloggen op websites bijvoorbeeld doormiddel van vingerafdruk of oogscan (deze moet 1 keer persoonlijk bij de bank moeten worden vastgelegd). Dit zou ervoor zorgen dat de phishing e-mails over het vragen naar wachtwoorden verleden tijd zou zijn (natuurlijk zouden er dan andere varianten komen, maar het vragen om vingerafdruk of oogscan zal dan minder echt overkomen).

Ook zouden wij graag duidelijker willen maken wie eruit eindelijk verantwoordelijk is, wanneer iemand slachtoffer is geworden van een phishing aanval. Momenteel nemen de banken de kosten voor hun rekeningen. Door een onderzoek te starten, samen met mensen uit het bedrijfsleven (financiële sector) en gespecialiseerd ICT juristen zouden we op deze vraag een antwoord willen geven.

Nieuwe methodes, theorieën en gereedschappen

  • Nieuwe en duidelijke wetgevingen m.b.t. wie is de eindverantwoordelijke.
  • Meer vervolgingen m.b.t. cybercrime.
  • Betere webbrowsers die de gebruikers tegen internet criminaliteit beschermen.
  • Betere samenwerking tussen verschillende instellingen nationaal en internationaal, die cybercrime tegen gaan.
  • Betere voorlichtingen m.b.t. cybercrime activiteiten (computer cursussen, handleidingen)
  • Meer wetenschappelijke onderzoek, waardoor technische tegenmaatregelen eerder genomen kunnen worden en nieuwe wetgevingen sneller doorgevoerd kunnen worden.
  • Meer instanties opstarten die mensen helpen wanneer ze slachtoffer zijn geworden van identiteitsfraude (phishing aanvallen).

Relevantie met gastcollege's

Blok A "Bart Jacobs" Cybercrime:
Tijdens dit college werd er gesproken over criminaliteit in de cyberwereld. Phishing valt hier o.a. onder.

Blok C "Andreas Groessler" System Dynamics Modelling and Simulation:
Dit onderdeel vinden we van belang omdat achter het "idee/systeem" van Internet bankieren zouden ze een system dynamic model gemaakt kunnen hebben (of misschien is dit ook wel gedaan). Aan de hand van z'n model hadden ze kunnen zien dat als meerdere mensen er gebruik van maken (en het promoten van internet bankieren) dat dan de kans op problemen groter wordt.