Arnout Van de Meulebroucke
De phishing paradox: Waarom een app niet voldoende is om phishing te leren (her)kennen
Vorige maand spraken we, in het kader van de European Cybersecurity Month, met enkele experten in cybercriminaliteit. Het gaf een verhelderend inzicht in hoe er nog steeds een verschil is tussen hoe we denken en spreken over zaken als phishing, en hoe het er ‘in de echte wereld’ daadwerkelijk aan toegaat.
Zo spraken we onder meer met politiecommissaris Stijn De Ridder, en Catherine Van de Heyning, professor European Law en substituut-procureur, beiden met specialisatie in cybercriminaliteit. We leerden hier drie grote lessen uit.
De phishing paradox: Waarom een app niet voldoende is om phishing te leren (her)kennen
1: De phishingparadox
Vorige week lanceerde het Center for Cybersecurity Belgium (CCB) haar nieuwe app. Deze bundelt nieuws en informatie over, onder meer, phishingcampagnes die op dat moment de ronde doen en veel slachtoffers maken. Een mooi initiatief dat evenwel niet de benodigde impact zal hebben.
Zelf spreek ik graag over de ‘Phishing Paradox‘: iedereen weet ondertussen, in grote lijnen, wat phishing is en waarom het een gevaar vormt voor onze portefeuille. We merken echter dagelijks dat er nog steeds een groot verschil zit tussen kennen en herkennen. Zelfs doorwinterde IT-administrators trappen nog regelmatig in de phishingvallen die wij, op ethische wijze, voor hen uitzetten.
De Ridder stelde eveneens vast dat de overgrote meerderheid van aangiftes bij politiediensten nog altijd draaien rond eenvoudige frauduleuze mails. Spear phishing krijgt traditioneel een groter succesratio toebedeeld, maar in absolute getallen worden ze nog steeds overvleugeld door traditionele, eenvoudige phishingberichten.
2: Het zal nog een stuk erger worden
Er zijn twee opvallende conclusies te trekken uit onze gesprekken die het ergste doen vermoeden. De eerste is dat traditionele misdaad – denk aan inbraken, overvallen,… – al van voor de coronapandemie afneemt. Net als de doorsnee burger lijken ook hackers het gemak en comfort van thuiswerk te hebben ontdekt. Bovendien is cybercriminaliteit als businessmodel erg schaalbaar en, uiteraard, lucratief.
Bovendien blijkt het niet zo eenvoudig om de top van de misdaadpiramide te vatten. Er komen zoveel verschillende partijen kijken bij een vervolging dat er nog steeds heel wat hackers mee weg komen. Politiediensten moeten immers samenwerken met rechtbanken, banken, webshops, telecomproviders,… De complexiteit van het thema moedigt nog elke dag nieuwe phishers aan om de ambacht op te nemen.
Ten tweede sprak Van de Heyning over een onaangenaam bijproduct van de huidige cryptorace. De geldezels van weleer worden stilaan vervangen door bitcoin mules. Bitcoin (en andere cryptovaluta) maken het nog moeilijker om de weg van het geld te volgen dan bij de conventionele geldstromen al het geval is. Anonimiteit haast gegarandeerd.
Daarnaast zijn de schakels in die cryptoketting niet langer uitsluitend van slechte wil. De bitcoin mules zijn steeds vaker goedbedoelende particulieren die menen voor een legitiem bedrijf te werken. Zij werden aangeworven om bitcoinverhandelingen uit te voeren en staan plots oog in oog met politiediensten. De topmensen klissen wordt zo alweer moeilijker.
3: Een app met informatie alleen zal ons niet redden
De CCB bedoelt het goed, maar een informatieve app alleen zal het verschil niet maken. Naast een beperkt aantal installaties beland je immers weer in de phishingparadox: kennen en herkennen zijn verschillende dingen.
Van de Heyning stelt voor om zeer gerichte campagnes op te zetten om iedere laag van de bevolking te bereiken. Zo moeten we oudere burgers op een heel andere manier benaderen dan jongeren. (Maar laat ons niet vergeten dat het vaak jongeren zijn die gevaarlijke gewoontes binnenbrengen bij bedrijven.) Ze heeft een sterk argument: voor ouderen moet je bijvoorbeeld duidelijk maken welke informatie jouw bank je nooit zal vragen per mail, terwijl jongeren misschien meer gebaad zijn bij een algemene voorlichting in mediawijsheid en het herkennen van fake news.
We moeten evenwel nog een stap verder gaan: breng zoveel mogelijk mensen in contact met realistische nabootsingen van phishing. Laat mensen, op een veilige en gecontroleerde manier, in contact komen met cybersecuritygevaren. Nog te weinig mensen weten waar ze voor moeten opletten, hoe ze gevaren moeten herkennen of wat ze moeten doen als ze in de val zijn gelopen. Ervaring uit de eerste hand kan voor velen de katalysator zijn die écht het verschil maakt.
Phishing is altijd slechts het begin
Nog te veel mensen lijken niet te beseffen dat een klik op een malafide link nooit het einddoel is voor een hacker. Integendeel: dan begint het pas. Phishing leidt tot ransomware, virussen, diefstal en reputatieverlies in het geval van bedrijven. Bovendien kan je als slachtoffer eveneens medeplichtig worden aan een misdaad wanneer gevoelige data wordt gestolen. Als blijkt dat die data slecht werden beveiligd of dat je die als bedrijf zelfs niet hoefde te verzamelen, zit je plots met een veel groter probleem.
Aangezien gehackte mensen hun bedreigingen meebrengen naar het werk -en aangezien iedereen opnieuw meer moet thuiswerken, met alle gevolgen vandien – is het misschien geen slecht idee om dergelijke bewustmaking te laten starten vanuit de werkgever. Op die manier verliest het topic ‘phishing’ haar vrijblijvendheid en krijg je een gemotiveerde partner om mensen écht te gaan beschermen.
Fout opgemerkt of meer nieuws? Meld het hier