Overslaan en naar de inhoud gaan
Achtergrond PRO
2 november 2006 leestijd 4 minuten 0 reacties

Phishing kost jaarlijks miljard dollar

Deze maand verscheen het rapport ‘The Crimeware Landscape’, opgesteld door onder meer leden van The Anti-Phishing Working Group in samenwerking met de Amerikaanse overheid. Volgens de auteurs zouden de financiële verliezen die gepaard gaan met online identiteitsdiefstal op jaarbasis inmiddels de kaap van 1 miljard dollar overschreden hebben. Het aantal sites dat crimeware distribueert groeit momenteel bijna exponentieel, meldt het rapport.
Luc van Peteghem
Luc van PeteghemMeer van deze auteur
Maatschappij
Shutterstock
Shutterstock

Volgens een ander rapport van Websense Security Labs gaan de cybercriminelen steeds driester te werk. Kort na de orkaanramp Katrina in New Orleans werden voorbeelden van Phishing teruggevonden zogenaamd afkomstig van het Rode Kruis, overigens getooid met een zogenaamd VeriSign Secure Site label. ‘Cybercriminelen blijken bijzonder goed georganiseerd te zijn’, vult Louie Gasparini, CTO van RSA Consumer Solutions, aan. Gasparini beschikt over screen-shots van sites zoals talkcash.net, waar tot voor kort volop crimeware te koop werd aangeboden – de site is inmiddels uit de lucht genomen. Gasparini laat onder meer zien hoe helers via talkcash reële rekeningnummers verkopen met de mededeling hoeveel geld daar alsnog vanaf te halen valt. Alle gegevens nodig om de diefstal te plegen worden online te koop aangeboden. Een Trojan Horse bieden cybercriminelen elkaar aan voor gemiddeld 600 dollar.

Vertrouwen
De manier waarop cybercriminelen te werk gaan, verschilt volgens Gasparini en anderen experts niet wezenlijk van de manier waarop eerbiedwaardige burgers legale transacties laten plaatsvinden op e-Bay. Gasparini: “Het is gewoon één grote rumoerige marktplaats. Ook ‘fraudsters’ houden lijsten bij van zogenaamde ‘betrouwbare’ en ‘onbetrouwbare’ aanbieders van crimeware. Het gaat om een bijzonder hechte community. Je kunt je de vraag stellen of aanbieders van crimeware wel de echte criminelen zijn. Volgens mij is het toch vooral de groep die de identiteitsdiefstal organiseert door middel van phishing die echt crimineel bezig is. Uiteindelijk wordt het vuile werk opgeknapt door diegenen die op basis van de illegaal verworven identiteitsinformatie fysiek het geld uit de muur halen en daarbij het meeste risico lopen opgepakt te worden.” Meestal opereren de laatste twee groepen overigens op basis van winstdeling, vertelt Gasparini: “Zo’n twintig procent van de opbrengst gaat naar de ‘phisher’, de rest gaat naar diegene die casht.”

Identiteitsdiefstal
Phishing, stellen beveiligingsspecialisten van RSA, wordt hét beveiligingsprobleem van de toekomst. “Dat soort fraude is een business. Geen hobby”, stellen zij. Intussen zien zij met lede ogen gebeuren dat de pakkans in het geval van e-fraude bijzonder gering. Woordvoerders van RSA, actief in de bancaire sector, schatten dat over het algemeen minder dan vijf procent van alle cybercriminelen ooit tegen de lamp loopt. Arthur Coviello, voormalig CEO van RSA Security, pleit er desondanks niet voor dat de sector alsnog meer geld tegen e-security zou aangooien. Coviello, sinds de overname van RSA Security eerder dit jaar door EMC, is momenteel executive vicepresident bij EMC. Tijdens de Europese RSA Conferentie, eerder deze maand in Nice, wierp Coviello op: “Als sector, maar ook als gebruikers moeten we de investeringen die we in e-security gedaan hebben voortaan intelligenter en efficiënter aanwenden. Wereldwijd zien we dat er al meer dan 15 miljoen gevallen van indentiteitsdiefstal hebben plaats gevonden waarbij de pakkans vrijwel nihil was.” Coviello pleit daarom voor een betere beveiliging van de data in plaats van het opvoeren van de beveiliging van het netwerk.

Afstandsbeveiliging
De oproep van Coviello is binnen de industrie niet aan dovemansoren besteed. Verschillende aanbieders komen met nieuwe slimme beveiligingsmethodes. Sandisk, producent van geheugenkaarten, brengt met de Cruzer Titanium een nieuwe USB Flash Drive op de markt die enkel geladen worden als de gebruiker zijn paswoord doorgeeft aan een centrale server. Vervolgens kan vanaf de server het down- en uploaden van documenten geregeld worden. De sticks kunnen desnoods vanaf de server monddood gemaakt worden. “Verlies van de sticks kan niet voorkomen worden, maar het gebruik ervan door derden is door de ingebouwde encryptie en de beveiliging van de stick door middel van een paswoord onmogelijk te maken”, vertelt Ron Lapedis van SanDisk.
Ook RIM, producent van de bekende PDA BlackBerry, heeft nieuwe beveiliging bedacht tegen fysiek verlies of diefstal van zijn PDA’s. De Blackberry kan door een systeembeheerder op afstand bediend worden. De instellingen die bedrijven zelf kunnen aanpassen variëren. Zo kan onder meer bepaald worden dat de volledige inhoud van de BlackBerry Pearl vanzelf gewist wordt als de batterij bijna op is, een teken dat de Pearl wellicht gestolen is. Ook kan de Pearl uitgerust worden met een smartcard reader. De Pearl wordt onklaar gemaakt als Pearl en smartcard reader, verbonden via een beveiligde Bluetooth verbinding zich te ver van elkaar bevinden of wanneer de smartcard verwijderd wordt uit de reader. De Pearl wordt dan onbruikbaar, de data op de Pearl worden onleesbaar.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in