Hoe kunnen we ‘phishing’ bestrijden?
Het implementeren van authenticatie om phishing tegen te gaan is een stap in de goede richting. Het is echter geen complete oplossing. Volgens de Antiphishing Workgroup zijn er voordelen, maar ook een aantal nadelen en tekortkomingen in de huidige authenticatievoorstellen (zie www.antiphishing.org/Proposed Solutions to Address the Threat of Email Spoofing Scams White Paper.pdf). De authenticatie van de website - door middel van fysieke middelen zoals smartcard en dergelijke - zorgt ervoor dat indien de persoonlijke gegevens (gebruikersnaam, wachtwoord) zijn gestolen, de dief er geen misbruik van kan maken. Voor een transactie heeft hij namelijk die smartcard nodig. De belangrijkste nadelen zijn de hoge kosten die ermee gemoeid zijn, en de tijd die het kost om dit te implementeren. Er zullen nog vele slachtoffers vallen alvorens deze methode algemeen geïmplementeerd is. Een belangrijke rol is ook weggelegd voor de leveranciers van antispamsoftware. Als zij erin slagen het merendeel van de phishing-e-mails als spam te filteren, wordt het aantal slachtoffers drastisch beperkt. Nadeel hiervan is wel dat phishing-e-mails vaak zo slim opgezet zijn dat ze niet als spam herkend worden. De spamfilters zullen nog intelligenter moeten worden om dit aan te pakken. Een volgende optie is niet om de bron (de phishing-e-mail) aan te pakken, maar de bestemming. Het probleem van phishing is natuurlijk dat mensen denken dat ze op de website www.mijnbank.nl zijn, maar in werkelijkheid zijn ze op www.iksteeljegeld.nl. De website www.iksteeljegeld.nl lijkt ook precies op de website van hun bank, dus mensen zijn snel om de tuin geleid. Er zijn ook al diverse programmaatjes (spyware) in omloop die de bestemming van je website stiekem wijzigen, dus ook al typ je handmatig mijnbank.nl in, dan nog word je naar de verkeerde site omgeleid. Via een lijst van goede en slechte websites kan gecontroleerd worden of mensen wel op de juiste website zijn. Met een dynamische, zwarte lijst wordt voorkomen dat persoonlijke gegevens naar criminelen worden doorgestuurd. En als er daarnaast ook nog gebruikgemaakt wordt van witte lijsten, waarin vastgelegd wordt dat de combinatie van deze gebruikersnaam en dit wachtwoord alleen maar op die ene website gebruikt mag worden, dan zijn we er bijna. Dit vereist wel dat mensen niet meer één gebruikersnaam en wachtwoordcombinatie kunnen gebruiken voor alle websites, maar voor elke financiële website een andere. Maar dat lijkt me zeker niet onwenselijk. Concluderend kunnen we stellen dat er tot op heden niet één methode is die 100 procent waterdicht is. Educatie van gebruikers zal voorlopig het belangrijkste zijn. Meer dan 5 procent van de ontvangers van een phishing-e-mail klikt op de link, blijkt uit onderzoek. Als dat teruggebracht kan worden naar 0 procent, dan is het grootste probleem verholpen. Als dat erin resulteert dat phishingfraude niet meer financieel aantrekkelijk is voor de criminelen, zal het aantal phishingpogingen snel afnemen. Steve Thomas is oprichter van Webroot Software. Webroot Software ontwikkelt software-oplossingen ter bescherming van de privacy van computergebruikers.Bijdragen in de rubriek Opinie staan los van de redactionele opvattingen van AG. De redactie behoudt zich het recht voor artikelen te redigeren en in te korten. Bijdragen voor de rubriek kunnen worden gestuurd aan: ag@wkths.nl onder vermelding van ‘opinie’.