Marc Vael

Een Belgische firewall is echt geen oplossing tegen phishingfraude

Marc Vael Lid van het sounding board comité cybersecurity bij Guberna en voorzitter bij SAI, het Studiecentrum voor Automatische Informatieverwerking.

Onlangs las ik een intrigerend artikel in de Belgische media. Peter De Decker, lid van de Belgische Kamer van Volksvertegenwoordigers, opperde het idee om een “Big Belgian Firewall” te installeren als oplossing in de strijd tegen phishingfraude. Hierdoor zou de Belgische overheid “in staat zijn om de toegang tot nagemaakte webpagina’s te blokkeren en zo achteloze Belgische internet gebruikers beschermen”. Intrigerend en leuk om te scoren in de media, maar helaas zal het bij een idee blijven.

Onlangs las ik een intrigerend artikel in de Belgische media. Peter De Decker, lid van de Belgische Kamer van Volksvertegenwoordigers, opperde het idee om een “Big Belgian Firewall” te installeren als oplossing in de strijd tegen phishingfraude. Hierdoor zou de Belgische overheid “in staat zijn om de toegang tot nagemaakte webpagina’s te blokkeren en zo achteloze Belgische internet gebruikers beschermen”. Intrigerend en leuk om te scoren in de media, maar helaas zal het bij een idee blijven.

A. Is phishing een nieuw fenomeen? Neen, niet echt. Het eerste geval van phishing dateert uit 1996. Het internet is een weerspiegeling van de echte maatschappij met enorm veel positieve kanten zoals informatiedeling, opzoekmogelijkheden, eBusiness enz., maar het internet heeft en zal altijd ook een aantal negatieve kanten hebben zoals virus en spyware verspreiding, privacy inbreuken, internetcriminaliteit, ongewenste informatieverspreiding (zoals een handleiding voor het vervaardigen van explosieven of het printen van een wapen op een 3D printer) enz. Zoals Miss Texas Teen USA het reeds in 1998 bevattelijk zei: “There are a lot of weirdos on the Internet”.

B. Is phishing een Belgisch probleem? Neen, niet echt. Timothy May zei al in 1996: “National borders aren’t even speed bumps on the information superhighway.” Het is daarom zeer merkwaardig dat Peter De Decker een nationale reflex hanteert voor een internationaal fenomeen en terloops de Europese context vergeet: met name European Network and Information Security Agency afgekort ENISA dat de Europese referentie is rond informatieveiligheid. Als Belgisch lid van de Permanente Stuurgroep bij ENISA kan ik melden dat ENISA degelijk onderzoek doet en concrete adviezen levert aan overheden om de informatieveiligheid binnen Europa te bevorderen, dus ook rond phishing.

C. Is phishing vandaag de belangrijkste uitdaging in termen van informatiebescherming? Neen, niet echt. Recente studies (Sophos Security Threats 2013 en UK Gov 2013 security studie) plaatsen smartphone aanvallen (voornamelijk Android) als topbedreiging, gevolgd door BYOD (bring your own device) problemen, sociale media misbruiken en cloud security problemen. Phishing staat verder op de meeste lijsten.

D. Is phishing vandaag op te lossen met technologie? Neen, niet echt. De aard van deze vorm van internetfraude is zeer sterk gebaseerd op menselijke interactie: internetgebruikers worden via e-mail, telefoon, instant messaging, sms of sociale media, gelokt naar een valse website, die een kopie is van de echte website met het verzoek om zogenaamd “de inloggegevens te controleren”. Internetgebruikers gaan dan — nietsvermoedend — inloggen met hun inlognaam en wachtwoord of hun kredietkaart-nummer of andere persoonlijke gegevens. Hierdoor krijgt de internetfraudeur de beschikking over allerlei interessante (meestal financiële) gegevens om deze te verkopen of zelf te misbruiken. Kortom, technologie wordt bij phishing gebruikt als medium, maar phishing is zeer moeilijk te achterhalen, laat staan te verhinderen via technologie alleen. Als ervaren informatieveiligheidsexpert kan ik dit samen met vele collega’s bevestigen. Vele organisaties en financiële instellingen (samenwerkend in koepelorganisatie FEBELFIN) in België en Europa maken gebruik van duidelijke bewustzijnscampagnes (zoals het succesvolle filmpje “Amazing mind reader reveals his ‘gift'”) en van een Extended Validation Certificate, waardoor in moderne internetbrowsers het eerste gedeelte van de adresbalk dan wordt weergegeven met een groene achtergrond, zodat de internetgebruiker duidelijk weet dat hij of zij op de echte pagina zit.

E. Mag een overheid optreden tegen phishing en andere internet criminaliteit? Uiteraard, een overheid kan vandaag al websites blokkeren of de technische infrastructuur in beslag nemen en doet dat ook indien mogelijk. Denken we maar aan de uitschakeling van MegaUpload, illegale software / film /muziek downloadsites of kinderporno-websites. In België levert de Federal Computer Crime Unit (FCCU) met als boegbeeld Luc Beirens dagelijks een strijd tegen internet criminaliteit, weliswaar met zeer ongelijke (lees beperkte) middelen, maar toch. Helaas bevinden 99,9% alle phishing websites zich niet op het Belgische (en zelfs niet op het Europese) grondgebied wat voor juridische uitdagingen zorgt en bovendien is het Internet robuuster in design om zich zomaar door een (Belgische of Europese) overheid te laten “filteren”. In 1993 zei John Gilmore, mede-oprichter van de Electronic Frontier Foundation: “het internet interpreteert censuur/filtering als schadelijk en navigeert er simpelweg omheen”. Immers, het hele concept van het internet is gebaseerd op een aantal technieken die in 1969 werden samengevoegd en ervoor zorgen dat (ook slechte) informatie op het internet steeds bereikbaar blijft. Op het internet kan eenieder een netwerk filtering op Belgisch (of Europees) niveau eenvoudig omzeilen: je DNS server aanpassen en je hebt terug volledige en onbeperkte toegang tot het internet.

F. Is het de taak van een overheid om het internet te zuiveren van “slechte” websites? Hierover bestaan verschillende meningen, maar wat absoluut niet kan is dat een overheid een vals gevoel van veiligheid geeft aan internetgebruikers dat het internet veilig is omdat de overheid zogezegd alle “slechte” sites ontoegankelijk heeft gemaakt. De blokkering van phishing sites is trouwens onbegonnen werk gezien de enorme hoeveelheid en aangroei van dergelijke websites. Niemand zal problemen hebben met de blokkering van frauduleuze phishing websites. Maar welke overheidsinstantie zal hiervoor bevoegd en competent zijn en met welke budgetten en welke mankracht/expertise om de nodige beleidsnormen, procedures, infrastructuur en tools op te zetten en concrete beslissingen te nemen? Bovendien, wat als er dan toch frauduleuze websites door een “Big Belgian Firewall” glippen en financiële schade aanrichten bij internetgebruikers, zal de overheid dan haar verantwoordelijk opnemen en de internetgebruikers schadeloos stellen? Momenteel bestaat in België een online meldingspunt waar internetgebruikers misdrijven in verband met België op of via het internet kan melden, dus ook phishing. Vraag is hoeveel internetgebruikers dit momenteel (nog) weten?

Dus wat is dan de beste remedie tegen phishing vandaag? Naar mijn mening nog altijd de internetgebruiker zelf. Iedereen moet altijd alert zijn (zowel in de fysieke wereld als in de cyberwereld) en nooit ingaan op bizarre verzoeken via gelijk welk kanaal (email, telefoon, instant messaging, sms, sociale media, enz.), gelijk waar (op straat, op een beurs of aan uw eigen deur) waarbij gevraagd wordt om uw persoonlijke (en financiële) gegevens te geven (zoals bankrekeningnummers, wachtwoorden, pincodes, kredietkaartgegevens, enz.). Daarnaast moeten internetgebruikers weten waar ze terecht kunnen om dergelijke websites te melden. Laten we ons gekend gezond boerenverstand gebruiken en de schaarse overheidsmiddelen efficiënt en effectief inzetten.

De overheid heeft hier bij phishing in eerste instantie de taak om internetgebruikers op te leiden en te begeleiden. Naast het regelmatig communiceren van het online meldingspunt is een mogelijke suggestie hier de ECDL (European Computer Driving License).

Voorkomen is inderdaad altijd beter dan genezen, maar geen enkele technologie kan 100% bescherming bieden tegen internet criminaliteit en zeker niet tegen phishing. Of zoals de wereldbekende security expert Bruce Schneier zegt: “als u denkt dat technologie uw informatieveiligheidsproblemen kan oplossen, dan begrijpt u uw problemen niet en dan begrijpt u technologie niet.”

Laat me toe om te eindigen met een positieve noot: op zijn minst heeft het artikel van 8 mei 2013 de problematiek van informatieveiligheid in de nationale pers gebracht en dat helpt op zijn minst in het kader van de bewustwording bij internetgebruikers.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content