WHITEPAPER: FRAUDEWAARSCHUWING: PHISHING
Whitepaper
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012 INHOUD Inleiding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Phishing kent geen grenzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Chinese phishers steeds agressiever . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Explosieve toename van aanvallen op Shared Virtual Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Spammers blijven misbruik maken van feestdagen en gebeurtenissen . . . . . . . . . . . . . . . . . . . . . . . . . . Phishing die inspeelt op de economische crisis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Combinaties van phishing en malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Man-in-the-Middle SSL Stripping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sms- en mobiele phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . De mogelijke gevolgen van phishing voor uw bedrijf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bescherm uw business . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bewustmaking van klanten en werknemers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3 4 4 4 5 5 5 5 6 6 7
Phishers: gevaarlijke en ongrijpbare cybertegenstanders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Woordenlijst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Inleiding Phishing is een veel gebruikte methode door cybercriminelen en een van de belangrijkste bedreigingen van de afgelopen jaren. Het heeft al veel schade aangebracht bij zowel consumenten als bedrijven. Het totale aantal geregistreerde phishingaanvallen in 2011 lag 37 procent hoger dan in 2010.1 Je hoeft niet langer een geavanceerde hacker te zijn om fraude op internet te plegen. Iedereen met voldoende motivatie kan meedoen, dankzij de kant-en-klare phishingpakketten die worden aangeboden in een succesvol ecosysteem van cybercriminelen. Cybercriminelen stappen zelfs over op een nieuw businessmodel dat bekend staat als malware-as-a-service (MaaS), waarbij de makers van de zogeheten ‘exploit kits’ ook aanvullende services bieden aan hun klanten.2 De gevolgen voor bedrijven kunnen zeer ernstig zijn. Volgens het RSA Fraud Report van oktober 2011 waren phishingaanvallen in de eerste zes maanden van 2011 verantwoordelijk voor een wereldwijd verlies van 520 miljoen dollar.3 Ongeacht de vorm die de bedreiging aanneemt – een werknemer of klant die slachtoffer wordt, of een besmette website – moet phishing zeer serieus worden genomen. Organisaties moeten op de hoogte blijven van de nieuwste methoden die worden ingezet door cybercriminelen en proactief stappen ondernemen om zichzelf tegen fraude te beschermen. In deze fraudewaarschuwing worden de toename en trends van de hedendaagse phishingmethoden beschreven en de mogelijke gevolgen voor bedrijven. Ook wordt informatie gegeven over hoe bedrijven zichzelf en hun klanten kunnen beschermen met behulp van technologie. Phishing kent geen grenzen Phishing: mensen door misleiding overhalen hun vertrouwelijke gegevens zoals gebruikersnamen, wachtwoorden en creditcardgegevens te verstrekken door middel van schijnbaar betrouwbare elektronische communicatie. Een serieuze bedreiging voor consumenten en bedrijven. In de tien jaar sinds phishing voor het eerst werd gebruikt is deze vorm van fraude enorm toegenomen – sommige schattingen houden het zelfs op dagelijks acht miljoen pogingen over de hele wereld.4 In 2011 was een op de 300 e-mails die via internet werd verzonden een phishingbericht.5 De Anti-Phishing Working Group (APWG) rapporteerde dat er in de eerste helft van 2011 ten minste 112.472 unieke phishingaanvallen hadden plaatsgevonden in 200 topdomeinen.6 Hoewel dit aantal flink hoger ligt dan de 42.624 aanvallen die plaatsvonden in de tweede helft van 2010, ligt het iets lager dan het record van 126.697 uit de tweede helft van 2009, toen het Avalanche-botnet actief was. Toch zijn bij deze aanvallen 79.753 unieke domeinnamen gebruikt, het hoogste aantal sinds 2007 (zie afbeelding 1).
“RSA: October Fraud Report,” RSA, oktober 2011. “Verisign iDefense 2012 Cyber Threats and Trends,”Verisign.2012. “RSA: October Fraud Report,” RSA, oktober 2011. 4 “Counterfeiting & Spear Phishing — Growth Scams of 2009,” Trade Me, Infonews.co.nz, 2 maart 2009 5 “RSA: October Fraud Report,” RSA, oktober 2011. 6 “Global Phishing Survey 1H2011: Trends and Domain Name Use,” Anti-Phishing Working Group. 1 2 3
3
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Deze stijging is te wijten aan twee opkomende trends. Chinese phishers hebben grote aantallen domeinnamen geregistreerd en hackers zijn omvangrijke campagnes begonnen tegen servers waarop meerdere domeinen worden gehost. Overzicht 140.000
Phishing-domeinnamen
120.000 100.000
Aanvallen
80.000 60.000 40.000 20.000 0
1e helft ‘09
2e helft ‘09
1e helft ‘10
2e helft ‘10
1e helft ‘11
Afbeelding 1: phishingaanvallen en -domeinnamen vertonen een stijgende lijn*
Chinese phishers steeds agressiever Het aantal aanvallen uitgevoerd door Chinese phishers was aanzienlijk hoger in de laatste zes maanden van 2010 en de eerste zes maanden van 2011.7 Sterker nog, de Chinese phishers waren verantwoordelijk voor zeker 70 procent van alle kwaadwillende domeinnaamregistraties wereldwijd. In de eerste zes maanden van 2011 steeg het aantal phishingaanvallen uitgevoerd door Chinezen met 44 procent ten opzichte van de tweede helft van 2010.8 Explosieve toename van aanvallen op Shared Virtual Servers Hoewel hackers steeds nieuwe tactieken blijven verzinnen, is deze eigenlijk een oude (en obscure) die nieuw leven is ingeblazen. Met deze aanval breekt een phisher in op een webserver waarop grote aantallen domeinen worden gehost. Door de phishingcontent op deze server te plaatsen worden op alle websites op die server de phishingpagina’s weergegeven. Op die manier kunnen phishers duizenden websites tegelijk besmetten. De APWG identificeerde 42.448 unieke aanvallen die deze strategie toepasten, ofwel 37 procent van alle phishingaanvallen wereldwijd.9 Spammers blijven misbruik maken van feestdagen en wereldwijde evenementen In de periode vlak voor Kerstmis 2011 deden spammers zich voor als een aantal legitieme retailers, die een speciale kerstaanbieding hadden voor diverse producten. Ook waren er veel phishingactiviteiten rondom de aardbeving in Japan in 2011, de ‘Arabische lente’ en andere grote gebeurtenissen. Na de gebruikelijke aanvalsgolf voor Valentijnsdag verwachten de anti-phishingexperts een grote hoeveelheid e-mails die te maken hebben met de Olympische Spelen in Londen.10 Deze gerichte phishingaanvallen krijgen minder aandacht dan in de voorgaande jaren, maar vinden nog steeds veel vaker plaats in vakantieperioden,
Ibid. Ibid. Ibid. 10 “Symantec Intelligence Report,” Symantec, januari 2012. * Bron: APWG 7 8 9
4
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
wanneer de beveiligingsafdelingen van bedrijven hun werk met minder mensen moeten doen. Dan hebben de activiteiten van cybercriminelen meer kans van slagen. Dit lijkt echter minder het geval te zijn in de periode tussen kerst en Nieuwjaar. Een mogelijke verklaring daarvoor is dat, ondanks dat de beveiligingsteams te kampen hebben met onderbezetting, er minder werknemers aan het werk zijn, en de kans dat er een kwaadaardige bijlage wordt geopend veel kleiner is. Phishing die inspeelt op de economische crisis De hedendaagse economische situatie biedt criminelen ongekende mogelijkheden om hun slachtoffers uit te buiten. Een veelgebruikte werkwijze bestaat uit het versturen van phishing-e-mails die afkomstig lijken te zijn van een financiële instelling die kortgeleden de bank of de verstrekker van een lening of hypotheek heeft overgenomen.11 Er vinden nu eenmaal vele fusies en acquisities plaats, wat voor veel verwarring zorgt bij consumenten. Dit wordt nog eens versterkt door het gebrek aan goede communicatie met klanten. Phishers gedijen goed in dergelijke situaties. Combinaties van phishing en malware Ter verhoging van de succeskans wordt bij sommige aanvallen een combinatie gebruikt van phishing en malware. Een potentieel slachtoffer ontvangt bijvoorbeeld een e-card die legitiem lijkt te zijn. Maar de link in de e-mail voor het weergeven van de kaart leidt naar een nepsite, waar een Trojan-virus op de computer van de gebruiker wordt geïnstalleerd. Een andere variant is dat het slachtoffer een melding krijgt dat software moet worden bijgewerkt voordat de kaart kan worden bekeken, maar de software die wordt geïnstalleerd is eigenlijk een keylogger. Dit soort keyloggers proberen specifieke handelingen te registeren bij specifieke organisaties zoals financiële instellingen, webwinkels en e-commercebedrijven, met als doel het verzamelen van vertrouwelijke informatie – rekeningnummers, inloggegevens en wachtwoorden. Een ander type Trojan waarmee phishers degelijke informatie stelen is een zogeheten ‘redirector’. Daarmee wordt het netwerkverkeer van de gebruiker omgeleid naar een locatie waar de gebruiker helemaal niet naartoe wilde. Man-in-the-Middle SSL Stripping Al in 2008 werd een nieuw type malware geïntroduceerd, waarmee cybercriminelen een versleutelde sessie kunnen simuleren. Dit is een variant op de standaard ‘man-in-the-middle’-aanvallen (MITM) die door criminelen worden gebruikt om achter wachtwoorden en andere vertrouwelijke informatie te komen die onbeschermd over het netwerk wordt verzonden. Sms- en mobiele phishing Phishers kunnen naast e-mail ook gebruikmaken van sms om zich voor te doen als financiële instellingen en te proberen vertrouwelijke informatie te stelen. Dit is ook wel bekend onder de naam ‘smishing’. Een veel voorkomende methode is dat de gebruiker van de mobiele telefoon wordt ingelicht dat er is ingebroken op zijn rekening of dat zijn creditcard of pinpas is gedeactiveerd. Het potentiële slachtoffer wordt gevraagd om een bepaald nummer te bellen of naar een nepsite te gaan om de kaart opnieuw te activeren. Op de site of in het geautomatiseerde telefoonsysteem wordt de persoon gevraagd om kaart- en rekeningnummers en pincodes.
“FTC Consumer Alert: Bank Failures, Mergers and Takeovers: A Phish-erman’s Special,” www.ftc.gov
11
5
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
De mogelijke gevolgen van phishing voor uw bedrijf De financiële markt mag dan het primaire doelwit zijn voor phishers, andere sectoren lopen ook risico’s. Veilingsites, betaalservices, retail- en socialenetwerksites worden ook regelmatig op de korrel genomen. De APWG ziet ook een enorme toename van het aantal aanvallen op leveranciers en fabrikanten van mobiele telefoons. Kortom, geen enkele business en geen enkel merk is veilig. Phishingaanvallen door middel van valse versies van een officiële bedrijfswebsite kunnen schadelijk zijn voor de reputatie van het bedrijf en ertoe leiden dat klanten de echte website niet meer gebruiken, uit angst het slachtoffer van fraude te worden. Maar naast de directe financiële gevolgen van fraude, lopen bedrijven waarvan de klanten het slachtoffer worden van phishing ook het risico dat: • de omzet uit online verkopen of de mate van gebruik van de site teruglopen vanwege het verminderde vertrouwen van klanten; • er een boete voor non-compliance wordt opgelegd voor de schending van vertrouwelijke gegevens. Zelfs phishing die is gericht op andere merken kan gevolgen hebben voor een bedrijf. De angst die het gevolg is van phishing kan ertoe leiden dat consumenten geen transacties meer doen met partijen die ze niet vertrouwen. Bescherm uw business Hoewel er geen enkelvoudige oplossing is, bestaan er wel technologieën die u en uw klanten kunnen beschermen. Veel van de bestaande phishingtechnieken bestaan eruit dat klanten naar een nepsite worden gestuurd, waar persoonlijke informatie wordt verzameld. Technologieën zoals Secure Sockets Layer (SSL) en Extended Validation (EV) SSL zijn onmisbaar in de strijd tegen phishing en andere vormen van cybercriminaliteit, doordat ze vertrouwelijke gegevens versleutelen en klanten helpen bij de authenticatie van uw website. De best practices voor beveiliging bestaan uit het inzetten van de hoogst mogelijke encryptie- en authenticatieniveaus ter bescherming tegen cyberfraude en voor het in stand houden van het vertrouwen in uw merk. SSL is de wereldwijde standaard voor beveiliging op internet en wordt gebruikt voor het versleutelen en beschermen van informatie die via het web wordt verzonden, met behulp van het alomtegenwoordige HTTPS-protocol. SSL beschermt gegevens die in beweging zijn en die zouden kunnen worden onderschept en gecompromitteerd bij onversleutelde verzending. Ondersteuning voor SSL is aanwezig in alle bekende besturingssystemen, webbrowsers, internetapplicaties en serverhardware. Om te voorkomen dat phishingaanvallen kunnen slagen en om te zorgen voor vertrouwen bij klanten, hebben bedrijven een manier nodig om die klanten te laten zien dat ze een legitieme business zijn. Extended Validation (EV) SSL-certificaten zijn daarvoor de oplossing. Deze bieden het hoogst mogelijke authenticatieniveau voor SSL-certificaten en geven de online gebruiker tastbaar bewijs dat de site inderdaad legitiem is. Dankzij EV SSL kunnen bezoekers van een website eenvoudig zien dat de site betrouwbaar is, doordat webbrowsers met een goede beveiliging een groene adresbalk weergeven met de naam van de organisatie die de eigenaar is van het SSL-certificaat en de naam van de certificaatinstantie die het heeft uitgegeven. In afbeelding 2 is de groene adresbalk in Internet Explorer te zien.
6
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Afbeelding 2. De groene adresbalk bij gebruik van een EV SSL-certificaat
Deze groene balk is het signaal dat de transactie versleuteld is en dat de organisatie is geauthenticeerd volgens de meest rigoureuze industriestandaarden. Phishers kunnen dan niet langer misbruik maken van bezoekers die niet in de gaten hebben dat er geen echte SSL-sessie is gestart. Cybercriminelen worden steeds beter in het namaken van legitieme websites, maar zonder het EV SSLcertificaat kunnen ze de naam ervan niet in de adresbalk weergeven, omdat die informatie niet voor hen toegankelijk is. En ze kunnen niet beschikken over de EV SSL-certificaten van het legitieme bedrijf, omdat die uitermate streng beveiligd zijn. Bewustmaking van klanten en werknemers Naast het implementeren van EV SSL-technologie moeten bedrijven hun klanten en werknemers doorlopend informatie geven over veilige handelswijzen op internet en het vermijden van cyberfraude. Leer ze hoe ze een phishingpoging kunnen herkennen, door bijvoorbeeld te letten op: • • • • •
spelfouten (die minder voorkomen naarmate de phishers geavanceerder te werk gaan) algemene aanhef in plaats van persoonlijke waarschuwing waarschuwingen over de status van een rekening verzoeken om persoonlijke gegevens valse domeinnamen en links
Laat uw werknemers en klanten ook zien hoe ze kunnen zien dat een website legitiem en veilig is voordat ze overgaan tot het verschaffen van persoonlijke of vertrouwelijke gegevens, door: • te controleren of de groene adresbalk wordt weergegeven • te controleren of de URL begint met ‘HTTPS’ • te klikken op het hangslotje om te controleren of de informatie in het certificaat overeenkomt met die van de website Bewustmaking is zeer belangrijk voor het genereren van vertrouwen, dat nodig is om de angst voor phishing te overwinnen. Door uw klanten te laten weten hoe zij zich ervan kunnen verzekeren dat ze op uw website veilig zijn, zorgt u ervoor dat de omzet stijgt, kunt u uw aanbod verbreden en/of profiteren van operationele besparingen door meer transacties online uit te voeren.
7
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Phishers: gevaarlijke en ongrijpbare cybertegenstanders Phishing zal zich blijven ontwikkelen tot nieuwe varianten en proberen misbruik te maken van menselijke gevoelens zoals medeleven, vertrouwen of nieuwsgierigheid. Het beschermen van uw merk en bedrijf tegen phishing vereist constante waakzaamheid, maar dit levert meer op dan alleen het voorkomen van verliezen door fraude. Door te zorgen voor bewustmaking en bescherming van uw klanten met het hoogst mogelijke beschermingsniveau, dat wordt geboden door EV SSL-certificaten, kunt u ervan verzekerd zijn dat zij meer vertrouwen hebben in uw online services. En door een vooraanstaande rol te spelen op het gebied van online beveiliging, wordt uw bedrijf een aantrekkelijke partij om zaken mee te doen, met als resultaat een hogere omzet. Lees het Symantec Monthly Intelligence Report voor up-to-date informatie over wereldwijde phishingtrends. Woordenlijst Certificaatinstantie. Een certificaatinstantie is een vertrouwde organisatie die digitale certificaten uitgeeft, zoals Secure Sockets Layer (SSL)-certificaten, nadat de informatie in de certificaten is geverifieerd. Encryptie. Encryptie is het proces van het versleutelen van een bericht, zodat alleen de bedoelde ontvanger toegang heeft tot de informatie erin. Met Secure Sockets Layer (SSL)-technologie kan een privécommunicatiekanaal worden opgezet, waarbij gegevens worden versleuteld tijdens de online verzending, zodat vertrouwelijke gegevens zijn beschermd tegen elektronisch afluisteren. Extended Validation (EV) SSL-certificaat. Deze certificaten vereisen een zeer strenge verificatie van Secure Sockets Layer (SSL)-certificaten, vastgesteld door het CA/Browser Forum. In Microsoft® Internet Explorer 7 en andere populaire browsers met een sterke beveiliging zorgen websites die zijn beveiligd met Extended Validation SSL-certificaten ervoor dat de adresbalk van de browser groen wordt. HTTPS. Webpagina’s waarvan het adres begint met ‘https’ in plaats van ‘http’ bieden beveiligde verzending van informatie door middel van het protocol voor beveiligde http. HTTPS is een van de beveiligingsmaatregelen om te controleren bij het verzenden of delen van vertrouwelijke informatie zoals creditcardnummers, persoonlijke gegevens of bedrijfsinformatie. Secure Sockets Layer (SSL)-technologie. SSL en zijn opvolger, Transport Layer Security (TLS), maken gebruik van cryptografie om online transacties te beveiligen. SSL gebruikt twee sleutels om gegevens te versleutelen en ontsleutelen; een openbare sleutel die algemeen bekend is en een privé- of geheime sleutel die alleen bekend is bij de ontvanger van het bericht. SSL-certificaat. Een Secure Sockets Layer (SSL)-certificaat bevat een digitale handtekening waarmee een openbare sleutel wordt gekoppeld aan een identiteit. Met SSL-certificaten wordt encryptie van vertrouwelijke informatie tijdens online transacties mogelijk. Certificaten die zijn gevalideerd kunnen ook worden gebruikt als bewijs van de identiteit van de certificaathouder.
8
Fraudewaarschuwing: phishing, de nieuwste tactieken en de mogelijke impact op uw business in 2012
Meer informatie Ga naar onze website http://go.symantec.com/ssl-certificates Wilt u met een productspecialist spreken? Bel 0800 56 29 24 of +41 22 54 50 288 en kies optie 2 en vervolgens 1 in het keuzemenu Over Symantec Symantec is een vooraanstaande wereldwijde leverancier van oplossingen op het gebied van beveiliging, opslag en systeembeheer. Daarmee helpen we consumenten en bedrijven bij het beveiligen en beheren van hun IT-omgeving. Onze software en services beschermen klanten tegen meer risico’s op meer punten, op een complete en efficiënte manier. Dat zorgt voor vertrouwen in alle omgevingen waar informatie wordt gebruikt of opgeslagen. Symantec BV Orteliuslaan 850 3528 BB UTRECHT Nederland www.symantec.nl
Copyright © 2012 Symantec Corporation. Alle rechten voorbehouden. Symantec, het Symantec-logo en het Checkmark-logo zijn handelsmerken of geregistreerde handelsmerken van Symantec Corporation of gelieerde ondernemingen in de Verenigde Staten en andere landen. VeriSign en aanverwante merken zijn handelsmerken of geregistreerde handelsmerken van VeriSign, Inc. of haar gelieerde ondernemingen of dochterondernemingen in de Verenigde Staten en andere landen, die onder licentie door Symantec Corporation worden gebruikt. Andere namen zijn mogelijk handelsmerken van de betreffende eigenaren.