Phishing bij de overheid in België
NAAM: STUDENTNUMMER:
Peter Schoofs 851235922
DATUM:
9 december 2014
Phishing in relation to the Belgian government
NAAM: STUDENTNUMMER: DATUM:
Peter Schoofs 851235922 9 december 2014
EERSTE BEGELEIDER / EXAMINATOR: TWEEDE BEGELEIDER:
dr.ir. H.P.E. Vranken dr.ir. A.J.F. Kok
T9232B - MASTER BUSINESS PROCESS MANAGEMENT AND IT FACULTEIT MANAGEMENT, SCIENCE AND TECHNOLOGY OPEN UNIVERSITEIT
Voorwoord
Voorwoord Graag zou ik alle mensen willen bedanken die deze masterscriptie mogelijk gemaakt hebben. Vooreest wil ik graag mijn begeleider dr. ir. Harald Vranken bedanken voor de constructieve samenwerking, zijn goede raad en zijn aanstekelijk enthousiasme. Ik wil ook graag de geïnterviewden bedanken voor de moeite die zij hebben willen nemen om mij van de nodige antwoorden te voorzien. Verder wil ik Cegeka bedanken voor de financiële tegemoetkoming en de tijd die zij mij ter beschikking hebben gesteld. Een speciale dank aan mijn vrouw Heidi en mijn kinderen Tobias en Falke voor hun geduld, hun steun en hun begrip tijdens mijn studies.
Peter Schoofs December 2014.
4/110
Inhoudstabel
Inhoudstabel Voorwoord .............................................................................................................................................. 4 Samenvatting .......................................................................................................................................... 8 1
2
Inleiding......................................................................................................................................... 11 1.1
Aanleiding tot het onderzoek ............................................................................................... 11
1.2
Probleemstelling ................................................................................................................... 11
1.2.1
Doelstelling ................................................................................................................... 11
1.2.2
Leeswijzer...................................................................................................................... 12
Onderzoeksopzet .......................................................................................................................... 13 2.1
3
Object van onderzoek ........................................................................................................... 13
2.1.1
Vraagstelling.................................................................................................................. 13
2.1.2
Afbakening .................................................................................................................... 13
2.1.3
Onderzoekspopulatie .................................................................................................... 15
2.2
Onderzoeksbenadering en –strategie ................................................................................... 16
2.3
Methode van literatuuronderzoek ....................................................................................... 17
2.4
Methode van onderzoek van het empirisch deel ................................................................. 18
2.4.1
Onderzoeksstrategie ..................................................................................................... 18
2.4.2
Bronnen......................................................................................................................... 18
2.4.3
Dataverzameling ........................................................................................................... 19
2.4.4
Steekproef - populatie .................................................................................................. 22
2.4.5
Betrouwbaarheid .......................................................................................................... 22
2.4.6
Validiteit ........................................................................................................................ 23
2.4.7
Ethiek ............................................................................................................................ 23
2.4.8
Analyse van de data ...................................................................................................... 24
Resultaten van het onderzoek ...................................................................................................... 25 3.1
Inleiding................................................................................................................................. 25
3.1.1 3.2
De term computer......................................................................................................... 25
L1/E1 - Wat is phishing? ........................................................................................................ 26
3.2.1
Oorsprong van de term phishing. ................................................................................. 26
3.2.2
De motieven voor phishing ........................................................................................... 26
3.2.3
Definitie van de term phishing ...................................................................................... 27
3.2.4
Empirische toets van de definitie van phishing ............................................................ 29
3.2.5
Definitie financiële instellingen in Nederland ten opzicht van Belgische overheid...... 29
3.2.6
Hoe gaat een phishingaanval in zijn werk? ................................................................... 29
3.3
L2/E1 - Welke soorten van phishing bestaan er? ................................................................. 31
5/110
Inhoudstabel
3.3.1
Deceptive phishing ........................................................................................................ 31
3.3.2
Malware-based phishing ............................................................................................... 32
3.3.3
Technieken toegepast om het slachtoffer te misleiden ............................................... 33
3.3.4
Op specifieke doelgroepen gerichte vormen van phishing .......................................... 35
3.3.5 Vergelijking van de soorten van phishing aangehaald in het onderzoek van Dreijer (2012) en de soorten aangehaald in dit onderzoek. ..................................................................... 35 3.3.6
Soorten van phishing die voorkomen bij de Belgische overheid .................................. 36
3.3.7
Soorten phishing bij financiële instellingen in Nederland versus Belgische overheid.. 37
3.4
L3/E2 - Hoe vaak komt phishing voor? ................................................................................. 38
3.4.1
Cijfers van de APWG (niet-wetenschappelijke bron).................................................... 38
3.4.2
Cijfers van Symantec (niet-wetenschappelijke bron) ................................................... 41
3.4.3
Aantal phishingmeldingen tegen de Belgische overheid .............................................. 43
3.4.4 Aantal phishingmeldingen en misleidende technieken per soort bij de Belgische overheid 45 3.4.5
Trend in het aantal phishingmeldingen bij de Belgische overheid ............................... 45
3.4.6
Wijze van registratie van phishingmeldingen bij de Belgische overheid ...................... 45
3.5
L4/E3 - Wat zijn de gevolgen van phishing? ......................................................................... 47
3.5.1
Gevolgen in cijfers ......................................................................................................... 47
3.5.2
Schade ........................................................................................................................... 47
3.5.3
Phishingincidenten bij de Belgische overheid............................................................... 48
3.5.4
Impact van phishing op diensten en onderdelen van de Belgische overheid .............. 49
3.5.5
Directe gevolgen van phishing voor de Belgische overheid ......................................... 50
3.5.6
Indirecte gevolgen van phishing voor de Belgische overheid....................................... 50
3.5.7
Doelwit van de phishers: Nederlandse financiële instellingen versus Belgische overheid 53
3.6
L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? ............... 54
3.6.1
Gebruikerseducatie (sociale maatregelen) ................................................................... 54
3.6.2
Sociale maatregelen op maat van de overheid (literatuuronderzoek)......................... 55
3.6.3
Sociale anti-phishingmaatregelen bij de Belgische overheid (empirisch onderzoek) .. 55
3.6.4 Sociale maatregelen in Nederlandse financiële instellingen versus de Belgische overheid 57 3.6.5
Juridische maatregelen ................................................................................................. 58
3.6.6 Het beleid in België ten aanzien van phishing (cybercriminaliteit) en de onderbouwing van dat beleid................................................................................................................................ 58 3.6.7
Beleid van Nederlandse financiële instellingen versus Belgisch overheid ................... 60
3.6.8
Anti-phishingindicatoren (technische maatregelen) .................................................... 61
3.6.9
Technische maatregelen op maat van de overheid ...................................................... 64
6/110
Inhoudstabel
3.6.10 Technische anti-phishingmaatregelen genomen door de Belgische overheid (empirisch onderzoek) .................................................................................................................................... 64 3.6.11
Verantwoordelijkheid: NVB – Belgische overheid ........................................................ 65
3.6.12 Technische maatregelen in Nederlandse financiële instellingen versus de Belgische overheid 65 3.6.13
Uitdagingen ................................................................................................................... 66
4
Referentiemodel ........................................................................................................................... 67
5
Conclusies, aanbevelingen, product- en procesreflectie .............................................................. 68
6
5.1
Conclusies ............................................................................................................................. 68
5.2
Aanbevelingen voor verder onderzoek................................................................................. 74
5.3
Productreflectie .................................................................................................................... 74
5.4
Procesreflectie ...................................................................................................................... 75
Referenties .................................................................................................................................... 77 6.1
Wetenschappelijke bronnen ................................................................................................. 77
6.2
Niet-wetenschappelijke bronnen ......................................................................................... 78
Bijlage A: Gevonden en geselecteerde artikelen .................................................................................. 82 Bijlage B: Definities uit de literatuur ..................................................................................................... 83 Bijlage C: Operationalisering ................................................................................................................. 84 Bijlage D: planning ................................................................................................................................ 86 Bijlage E: Vragenlijst gericht aan de Belgische overheidsinstellingen verantwoordelijk voor cyberbeveiliging .................................................................................................................................... 88 Bijlage F: Vragenlijst gericht aan de Vlaamse overheidsinstellingen verantwoordelijk voor cyberbeveiliging .................................................................................................................................... 94 Bijlage G: Vragenlijst gericht aan de cyberspecialisten van de Vlaamse politieke partijen................ 100 Bijlage H: Begeleidende e-mail ........................................................................................................... 106 Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten (beschikbaarheid cijfermateriaal).................................................................................................................................... 107 Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355 ................................................. 109 Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten (voorlichting personeel) .... 110
7/110
Samenvatting
Samenvatting De wereld is de laatste decennia sterk geëvolueerd naar een genetwerkte wereld door toedoen van de opkomst van het internet. “De wereld is een dorp” is een uitspraak die nu meer dan ooit een hoog waarheidsgehalte heeft. Mensen zijn steeds minder gebonden door hun fysieke locatie. Overheden over heel de wereld gebruiken het internet steeds meer om in contact te treden met de burgers. Loketten verdwijnen en de burgers kunnen hun administratieve interacties met de overheid online afhandelen. Het succes en de eindeloze mogelijkheden van het internet zijn ook de criminele elementen in de maatschappij niet ontgaan. De fysieke grenzen waarmee criminelen geconfronteerd werden, zijn door het internet grotendeels verdwenen. Cybercriminelen kunnen vanuit om of het even welk land cybermisdrijven plegen over heel de wereld. Phishing is één van de vele cybermisdrijven die door deze criminelen gepleegd worden. Iedere internetgebruiker is bewust of onbewust al eens geconfronteerd met phishing. Phishing blijft wereldwijd toenemen. De wereldwijde schade aangericht door phishing wordt geschat op meer dan 5,9 miljard dollar (EMC - RSA Corporation, 2014). Dit onderzoek gaat op zoek naar phishing in relatie tot de Belgische overheid. De hoofdvraag van dit onderzoek luidt: Hoe gaat de Belgische overheid om met phishing? Om een antwoord te formuleren op de hoofdvraag is een tweeledig onderzoek opgezet. In een eerste deel is vanuit wetenschappelijke literatuur een referentiekader over phishing opgebouwd. Dit referentiekader is vervolgens in het tweede deel empirisch getoetst bij de Belgische overheid. Deze toetsing bestond uit het afnemen van interviews met cybersecurityspecialisten van de Vlaamse partijen Groen, CD&V, N-VA en Open Vld en door het afnemen van een interview met een exsecurityconsultant van een cyberbeveiligingsinstelling van de Belgische (Vlaamse) overheid. Uit het literatuuronderzoek blijkt dat er drie elementen dienen te bestaan om van phishing te spreken: een vorm van communicatie, een misleidende techniek en een objectief van de phisher. Uit het literatuuronderzoek is deze definitie voor phishing afgeleid: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren. Verder blijkt uit het literatuuronderzoek dat er vier categorieën bestaan waarin phishing of de aanverwante technieken kunnen onderverdeeld worden: -
Deceptive phishing: het phishingbericht bevat een list om het slachtoffer te misleiden, maar bevat geen malware; Malware-based phishing: het phishingbericht bevat een vorm van malware die zich op het toestel van het slachtoffer nestelt;
8/110
Samenvatting
-
Op specifieke doelgroepen gerichte phishing: deze vorm maakt gebruik van de andere twee soorten, maar richt zich op een specifieke doelgroep; Misleidende technieken: dit zijn de technieken die toegepast worden in de verschillende soorten van phishingaanvallen om het slachtoffer in de val te lokken.
Uit het empirisch onderzoek blijkt dat de Belgische overheid geconfronteerd wordt met de drie soorten van phishing en met een aantal misleidende technieken. De meest voorkomende zijn emailphishing, spear-phishing, telefoonphishing in combinatie met een aantal misleidende technieken. Uit cijfers van de Anti-Phishing Working Group blijkt dat phishing blijft toenemen, ook voor overheden. De cijfers voor België (CERT.be, 2014) geven ook een stijgende trend aan. Uit het empirisch onderzoek blijkt dat sommige phishingaanvallen tegen de Belgische overheid gericht waren op geldgewin (cyberincidenten van Rijksdienst voor Kinderbijslag en de Belgische fiscus) terwijl andere gericht waren op het stelen van informatie (cyberincident bij het ministerie van Buitenlandse Zaken). Daarnaast heeft de Belgische overheid ook last van ‘state-sponsored’-aanvallen, waarbij phishing gebruikt wordt als middel om binnen te dringen en confidentiële informatie te stelen (cyberincident Belgacom International Carrier Services). Europees onderzoek geeft aan dat de burgers hun internetgedrag aanpassen door toedoen van cyberincidenten. Het vertrouwen in de Belgische overheid om de online gegevens van de burgers te beschermen blijkt ten opzichte van andere Europese landen nog mee te vallen. De Belgen hebben zelfs meer vertrouwen in hun overheid dan in gewone websites om hun online gegevens te beschermen. Het literatuuronderzoek geeft aan dat er twee types van anti-phishingmaatregelen genomen kunnen worden: -
Sociale maatregelen: de gebruikers sensibiliseren om de phishingval te doorzien en er niet meer in te trappen; Technische maatregelen: op technologie gebaseerde anti-phishingsystemen die automatisch of met behulp van de gebruiker de phishingaanvallen blokkeren.
Het empirisch onderzoek toont aan dat het merendeel van de Belgische overheidsadministraties ervoor zorgt dat haar werknemers ingelicht zijn over de mogelijke gevaren van phishing en cybermisdrijven. De Belgische overheid heeft ook reeds een sensibiliseringsbericht verstuurd via de openbare omroep. Uit een enquête van Eurostat (TNS Opinion & Social, 2012) blijkt dat de Belgische burger zich gemiddeld geïnformeerd voelt over de gevaren van cybercriminaliteit. De Belgische overheidsadministraties zetten ook technische maatregelen in om phishing tegen te gaan, de ene administratie al wat professioneler dan de andere. Een opvallende vaststelling van het onderzoek was de niet-bestaande antwoordbereidheid bij de Belgische cybersecurityinstellingen. Deze instellingen beschouwen de manier waarop zij omgaan met cybercriminaliteit (phishing) als hun interne keuken. Zelfs wanneer federale parlementsleden schriftelijke vragen indienen om meer inzicht te krijgen in de werkwijze van de cyberbeveiligingsinstellingen van de Belgische overheid, dan nog is er sprake van een grote terughoudendheid om informatie vrij te geven. Uit de vergelijking tussen de manier waarop Nederlandse financiële instellingen met phishing omgaan en de manier waarop de Belgische overheid met phishing omgaat komen vier verschillen naar voren.
9/110
Samenvatting
Ten eerste fungeert de NVB (Nederlandse Vereniging van Banken) als een centraal coördinatiecentrum voor de bestrijding van phishing (cybercriminaliteit), daar waar de Belgische overheid nog geen cybersecuritycentrum heeft1. Ten tweede beperkt het motief van phishers bij de Nederlandse financiële instellingen zich tot geldgewin. De motieven van phishingaanvallen tegen de Belgische overheid bestaan uit geldgewin en hoofdzakelijk uit diefstal van informatie. Ten derde krijgt de Belgische overheid ook te maken met ‘state-sponsored’-phishingaanvallen. Tot slot kan gesteld worden dat de Nederlandse financiële instellingen een stuk professioneler omgaan met phishingbestrijding dan de Belgische overheid. Uit de resultaten van het onderzoek kan geconcludeerd worden dat de Belgische overheid veel moeite heeft met phishing. Ondanks initiatieven om cybercriminaliteit hoog op de agenda te krijgen, ondanks initiatieven om een visie uit te werken en om een centraal superviserend cybersecuritycentrum op te richten is er in de praktijk niets aan de precaire cybersecuritysituatie in België veranderd. Uit het empirisch onderzoek blijkt dat noodkreten van cybersecurityspecialisten bij de overheid, die teruggaan tot 2007, allemaal in dovemansoren zijn gevallen. Iedere overheidsdienst probeert naar best vermogen phishing het hoofd te bieden. Het probleem wordt niet erkend en daardoor zijn er niet voldoende mensen en budgetten voorzien. Uit een hele reeks incidenten blijkt dat het probleem phishing (cybercriminaliteit) wel degelijk bestaat en veel schade berokkent aan de overheid en aan het land. Er is gelukkig een aantal lichtpunten in het onderzoek naar boven gekomen. Een aantal Vlaamse partijen heeft blijk gegeven van een duidelijke visie over hoe er in de toekomst dient omgegaan te worden met phishing (cybercriminaliteit). In het voorlopige regeerakkoord van de op handen zijnde nieuwe Belgische regering is de bestrijding van cybercriminaliteit één van de topprioriteiten.
1 Nederland beschikt wel over een cybersecurity centrum: het NCSC (Nationaal Cyber Security Centrum). Het NCSC heeft als taak om cybersecurity aangelegenheden in Nederland te coördineren.
10/110
Inleiding
1 Inleiding 1.1 Aanleiding tot het onderzoek Sinds het einde van de 20e eeuw is de informatisering van de maatschappij steeds meer toegenomen. Dit fenomeen brengt heel wat voordelen met zich mee. Mensen kunnen met één druk op een knop informatie van over heel de wereld op het scherm laten verschijnen binnen een tijdspanne van enkele seconden. De geïnformatiseerde maatschappij heeft zelfs virtuele werelden doen ontstaan waarin mensen handelingen kunnen uitvoeren via hun virtuele persoonlijkheid. Maar naast de voordelen zijn er ook nadelen verbonden aan het informatiseringsfenomeen. Demchak (1999) stelt dat net de eigenschappen die ervoor zorgen dat het web zoveel troeven biedt, met name ‘immediacy’ (het onmiddellijke, realtime karakter), ‘anonymity’ (anonimiteit) en ‘critical interdepence’ (kritieke afhankelijkheid tussen de verschillende netwerken), de deur opzetten voor onvoorziene, ontwrichtende gebeurtenissen. Demchak (1999) geeft aan dat er twee types van storingen kunnen optreden in de geïnformatiseerde maatschappij: systeem-falen veroorzaakt door de gecompliceerdheid van de genetwerkte wereld en problemen veroorzaakt door intentionele handelingen. Deze intentionele handelingen die leiden tot fouten en verstoringen worden meestal uitgevoerd door hackers en worden aangeduid met de term cybercriminaliteit (Wall, 2008). Organisaties die het slachtoffer worden van cybercriminaliteit wapenen zich met behulp van technologische oplossingen tegen deze bedreiging. Hierdoor richten hackers zich op de zwakste schakel in de beveiligingsketen: de mens. Social engineering is het manipuleren van mensen om een bepaalde handeling uit te voeren of om een bepaalde vorm van gedrag aan te nemen. Binnen de context van cybercriminaliteit wordt ermee bedoeld, mensen aanmoedigen en misleiden om persoonlijke informatie vrij te geven (Al-Msloum & Al-Johani, 2013). Deze informatie wordt dan misbruikt om logische objecten te stelen: data, geheimen, geld … . Dit onderzoek richt zich naar één vorm van social engineering met name phishing. Phishing komt meer en meer voor en de phishingboodschappen worden steeds beter waardoor hun verleidingskracht steeds sterker wordt. In de geïnformatiseerde maatschappij wordt iedereen geconfronteerd met phishing en wordt het steeds belangrijker dat mensen zich bewust zijn van dit gevaar. In dit onderzoek wordt in kaart gebracht wat er verstaan wordt onder phishing, welke soorten van phishing er bestaan, hoe vaak phishing voorkomt en welke maatregelen mogelijk zijn om phishing te bestrijden. Er wordt vervolgens onderzocht hoe de Belgische overheid omgaat met het fenomeen phishing. De resultaten van het empirisch onderzoek worden ten slotte vergeleken met de resultaten van het onderzoek van Dreijer (2012) over phishing bij Nederlandse financiële instellingen.
1.2 Probleemstelling 1.2.1 Doelstelling De doelstelling van het onderzoek is in kaart te brengen wat phishing betekent voor de Belgische overheid. Heeft de Belgische overheid last van phishingaanvallen en hoe vaak doen dergelijke aanvallen zich voor? Wat zijn de gevolgen van deze aanvallen voor de Belgische overheid? Op welke manier is de Belgische overheid georganiseerd om phishing te bestrijden; wie is verantwoordelijk voor welke aspect van cyberbeveiliging? Welke beleid voert de Belgische overheid en waarop is dat beleid gebaseerd (op studies, op vroegere ervaringen, een bepaalde visie)? Welke sociale (vormen van gebruikerseducatie) en technische maatregelen worden door de Belgische overheid genomen tegen phishing? Hoe effectief zijn de door de Belgische overheid genomen anti-phishingmaatregelen? De antwoorden op deze vragen worden vergeleken met de antwoorden die Dreijer (2012) heeft gekregen in zijn onderzoek naar phishing bij Nederlandse financiële instellingen.
11/110
Inleiding
1.2.2 Leeswijzer In de inleiding (hoofdstuk 1) is kort aangeraakt waar het onderzoek om draait. ‘Hoofdstuk 2: Onderzoeksopzet‘ beschrijft de wijze waarop het literatuuronderzoek en het empirisch onderzoek zijn uitgevoerd. ‘Hoofdstuk 3: Resultaten van het onderzoek‘ beschrijft vraag per vraag de resultaten van het onderzoek en maakt ook een vergelijking tussen de antwoorden van dit onderzoek met de resultaten van het onderzoek van Dreijer. ‘Hoofdstuk 4: Referentiemodel‘ geeft het referentiemodel weer dat is gedestilleerd uit het literatuuronderzoek en waarop de vragen van het empirisch onderzoek zijn gebaseerd. ‘Hoofdstuk 5: Conclusies, aanbevelingen, product- en procesreflectie‘ beschrijft de conclusies van het onderzoek, mogelijke pistes voor verder onderzoek en geeft een persoonlijke noot van de auteur in een product- en procesreflectie. ‘Hoofdstuk 6: Referenties‘ geeft het overzicht van de gebruikte bronnen opgedeeld in wetenschappelijke en niet-wetenschappelijke bronnen. In de bijlagen is additionele informatie opgenomen die minder geschikt is om in het onderzoeksverslag op te nemen omdat het de leesbaarheid niet bevordert (bijvoorbeeld de vragenlijsten gebruikt in het onderzoek), maar die toch een wezenlijk deel van het onderzoek uitmaken.
12/110
Onderzoeksopzet
2 Onderzoeksopzet In dit hoofdstuk wordt het onderzoekskader toegelicht.
2.1 Object van onderzoek 2.1.1 Vraagstelling Uit de doelstelling van het onderzoek (zie paragraaf 1.2.1) volgt de hoofdvraag: Hoe gaat de Belgische overheid om met phishing? Uit de hoofdvraag zijn deelvragen afgeleid die enerzijds met een literatuuronderzoek zijn beantwoord en anderzijds via empirisch onderzoek. Het theoretisch deel van het onderzoek is uitgevoerd aan de hand van vijf onderstaande onderzoeksvragen. Deze vragen zijn, gebruikmakend van literatuur, vanuit twee perspectieven beantwoord: het fenomeen phishing in zijn algemeenheid en phishing in relatie tot overheden. -
L1 - Wat is phishing? L2 - Welke soorten van phishing bestaan er? L3 - Hoe vaak komt phishing voor? L4 - Wat zijn de gevolgen van phishing? L5 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden?
Op basis van de onderzoeksresultaten van het literatuuronderzoek is een referentiemodel (zie hoofdstuk 4) over phishing uitgewerkt dat gebruikt is als uitgangspunt voor de volgende vier empirische onderzoeksvragen: -
E1 - Welke soorten van phishing komen bij de Belgische overheid voor? E2 - Hoe vaak komt phishing voor bij de Belgische overheid? E3 - Wat zijn de gevolgen van phishing voor de Belgische overheid? E4 - Welke organisatorische, technische en sociale maatregelen worden door de Belgische overheid genomen?
2.1.2 Afbakening In het literatuuronderzoek is er naast de sociale en technische maatregelen voor de volledigheid ook gekeken naar de juridische maatregelen die overheden kunnen nemen tegen phishing. De juridische maatregelen behoren niet tot de scope van het empirisch onderzoek. Dit neemt niet weg dat soms gebruik gemaakt wordt van wetsvoorstellen en wetteksten om bepaalde antwoorden van respondenten te onderbouwen. De interviews zijn afgenomen op het ogenblik dat de Belgische regering een regering in lopende zaken was. De onderhandelingen voor een nieuwe federale regering liepen toen nog. Dit is de reden dat er in bepaalde antwoorden in voorwaardelijke wijs gesproken wordt over het nieuwe regeerakkoord en de nieuwe federale regering. Om respondentbias door cultuur- en taalverschil te vermijden (Saunders, Lewis, Thornhill, Booij, & Verckens, 2011) is de opzet van het empirisch onderzoek beperkt tot het federale en het Vlaamse niveau (zie ook Figuur 1 en Tabel 1). Gegevens van het Waalse gewest, de Franse gemeenschap en de Duitstalige gemeenschap zijn enkel gebruikt in dit onderzoek als ze voor het behandelen van cybercrime onder een federale overheidsinstelling ressorteren. Taal is een gevoelig onderwerp in België en om iedere overheid met het nodige respect te benaderen zouden de vragen in de hoofdtaal van dat gewest of die gemeenschap dienen gesteld te worden, waardoor de kans op
13/110
Onderzoeksopzet
interpretatieverschillen zou vergroot worden. Om dezelfde reden zijn enkel de cyberspecialisten van de Vlaamse partijen opgenomen in het empirisch onderzoek. Lagere overheden (gemeenten en provincies) en overheidsgesubsidieerde organisaties (universiteiten, bibliotheken, onderzoekscentra) zijn niet expliciet mee in scope genomen. Deze instanties zijn niet geïnterviewd. De cybersecurity die door de federale overheid is ingericht, biedt wel een paraplu waaronder deze organisaties kunnen schuilen. DE STAATSSTRUCTUUR VAN BELGIË. De Belgische overheid is op zich een complex gegeven omdat er verschillende entiteiten (zie Figuur 1 en Tabel 1) zijn ontstaan na het doorvoeren van zes staatshervormingen die plaatsvonden tussen 1970 en 2014 (Belgische_Federale_Overheidsdiensten, 2012). De bevoegdheden van iedere instantie worden kort weergegeven in Tabel 1.
Figuur 1: Overzicht van de Belgische overheden (Belgische_Federale_Overheidsdiensten, 2012)
Overheidsinstantie / term Federale overheid
Gemeenschap2
Definitie / bevoegdheid Binnen de federale overheid wordt de wetgevende macht uitgeoefend door enerzijds het federaal parlement, dat is samengesteld uit twee vergaderingen (de Kamer van volksvertegenwoordigers en de Senaat), en anderzijds de koning. De koning oefent geen persoonlijke macht uit. Zijn ministers (de federale regering) dragen de volle verantwoordelijkheid door de wetsontwerpen, die door het parlement werden aangenomen, en de Koninklijke besluiten mede te ondertekenen. Een gemeenschap gaat uit van de taal. De Vlaamse Gemeenschap oefent haar bevoegdheden uit in de Vlaamse provincies en in Brussel; de Franse Gemeenschap in de Waalse provincies, met uitzondering van de Duitstalige gemeenten, en in Brussel; de Duitstalige Gemeenschap in de gemeenten van de provincie Luik die het Duitse taalgebied vormen.
2
In Vlaanderen zijn de gemeenschaps- en gewestelijke instellingen samengesmolten. In Vlaanderen heeft men dus één parlement en één regering.
14/110
Onderzoeksopzet
Overheidsinstantie / term Gewest
Definitie / bevoegdheid Er zijn drie gewesten. De benaming van de drie gewestelijke instellingen is ontleend aan de naam die hun grondgebied draagt. Vandaar dat we spreken (van noord naar zuid) van het Vlaamse Gewest, het Brussels Hoofdstedelijk Gewest en het Waalse Gewest. De gewesten hebben wetgevende en uitvoerende organen, die men het gewestparlement en de gewestregering noemt. Deze worden om de 5 jaren rechtstreeks verkozen.
Tabel 1: Definities van de verschillende overheidsniveaus (Belgische_Federale_Overheidsdiensten, 2012)
2.1.3 Onderzoekspopulatie De onderzoekspopulatie bestaat uit twee groepen. De eerste groep zijn de mandatarissen die verantwoordelijk zijn voor de verschillende overheidsinstellingen die bevoegd zijn voor cyberbeveiliging in België (zie Tabel 2). Een tweede groep wordt gevormd door de specialisten cybercriminaliteit van de verschillende Vlaamse politieke partijen (zie Tabel 3). Afhankelijk van de samenstelling van de regering, bestaat deze groep uit mensen die het beleid mee bepalen (de specialisten van de partijen die deelnemen aan de regering) of uit mensen die een controlerende functie uitoefenen op de verschillende instanties vanuit het parlement (de oppositie). Instelling NVO
FedICT BelNET
CERT
BIPT
FCCU
3
Kerntaken De Nationale Veiligheidsoverheid (NVO) is de collegiale overheid die bevoegd is voor de afgifte of de intrekking van veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. De NVO is bovendien verantwoordelijk voor het beheer en het toezicht op de goede beveiliging van de geclassificeerde informatie in België. De NVO is samengesteld uit vertegenwoordigers van verschillende federale overheden. Het voorzitterschap wordt bekleed door de FOD3 Buitenlandse Zaken, waar ook het secretariaat is ondergebracht. (Nationale Veiligheidsoverheid (NVO), 2012). Federale Overheidsdienst (FOD) Informatie- en Communicatietechnologie (FedICT) Belnet is een dienst van de federale overheid, opgericht in 1993, en behoort tot het Federale Wetenschapsbeleid. Er werken ruim 60 medewerkers in een dynamische high tech omgeving aan: Het Belnet-netwerk: het Belgische onderzoeksnetwerk voor universiteiten, hogescholen, onderzoekscentra en overheidsdiensten. Het BNIX-platform: het Belgische internetknooppunt dat data-uitwisseling aan hoge snelheid mogelijk maakt tussen onder meer internetserviceproviders en internetcontentproviders (Belnet, 2014). CERT.be (Computer Emergency Response Team) is het federale cyber emergency team, dat als neutrale specialist in internet– en netwerkveiligheid bedrijven of organisaties kan helpen met het: coördineren bij cyberbeveiligingsincidenten, adviseren om een oplossing te vinden wanneer er zich cyberbeveiligingsincidenten voordoen, bijstaan om deze beveiligingsincidenten te voorkomen. CERT.be behoort tot BelNET (Cert.be, 2014). Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT). Het BIPT is de federale overheid die de volgende functies uitoefent: Het is de regulator van de elektronische-communicatiemarkt. Het is de regulator van de postmarkt. Het beheert het elektromagnetische spectrum van de radiofrequenties. Het is een mediaregulator in Brussel-Hoofdstad. (Belgisch Instituut voor postdiensten en telecommunicatie: over ons, 2014) De Federal Computer Crime Unit (FCCU) maakt deel uit van de federale politie en is belast met de bestrijding van de ICT-criminaliteit (ICT: Information and Communication Technology, de computers en de netwerken die ze verbinden) met als doel ook in de cyberwereld de burgers te beschermen tegen alle vormen van ’traditionele’ en ’nieuwe’ criminaliteit. Deze opdracht omvat ook: de bestrijding van andere criminele fenomenen ondersteunen met
FOD: federale overheidsdienst
15/110
Onderzoeksopzet
Instelling
e-IB
ADIV
Kerntaken gespecialiseerde recherche in ICT-omgeving. Ook pedofilie op het internet, internetfraude (frauduleuze verkoop op het internet) en telecomfraude behoren tot de competenties. (FCCU - RCCU, 2014) Entiteit e-government en ICT-Beheer Vlaanderen. Opdracht: Het aantal personen met toegang tot gevoelige, cruciale en waardevolle informatie binnen de Vlaamse overheid neemt sterk toe. De activiteiten die deze personen uitoefenen, vereisen daarom een gecoördineerde en coherente aanpak om een effectieve en efficiënte beveiliging te realiseren. (ICT, e-government en informatie, 2014) De Algemene Dienst Inlichting en Veiligheid (ADIV) is de Belgische militaire tegenhanger van de (burgerlijke) staatsveiligheid. Deze dienst is in België beter bekend als 'militaire inlichtingendienst'.
Tabel 2: Overzicht van de verschillende overheidsinstellingen die met cybercrime bezig zijn in België
Partij N-VA
CD&V
Open Vld
sp.a
Groen VB
Omschrijving De Nieuw-Vlaamse Alliantie (N-VA) is een jonge partij met een lange voorgeschiedenis die wortelt in het democratisch Vlaams-nationalisme. De N-VA ontstaat in 2001 uit de Volksunie (VU) die in 1954 was opgericht. (N-VA, 2014) CD&V – Christen Democratisch & Vlaams: de Vlaamse Christendemocraten - is meer nog dan een politieke partij, een brede beweging van geëngageerde mensen. CD&V profileert zich als enthousiaste partner van gezinnen, ondernemers en verenigingen. CD&V levert vandaag de Europese president Herman Van Rompuy. (CD&V, 2014) De afkorting Vld staat voor Vlaamse Liberalen en Democraten. Vlaanderen is voor Open Vld het eerste en voornaamste beleidsniveau. Open Vld wil de burgers nog meer inspraak geven in onze democratie. Met de toevoeging ‘Open’ voor de afkorting benadrukken de Vlaamse liberalen dat ze resoluut kiezen voor een open samenleving. (Open VLD, 2014) Socialistische Partij Anders, afgekort als sp.a, is een Vlaamse sociaaldemocratische politieke partij die in 2012 ongeveer 50 000 leden telde. De geschiedenis van sp.a is, net zoals die van vele andere sociaaldemocratische partijen, geworteld in de sociaaleconomische strubbelingen van de 19de eeuw.(SP.A, 2014) Groen is een Vlaamse, progressieve en groene politieke partij. (GROEN, 2014) Vlaams Belang (vaak afgekort als VB) is een Vlaams-nationalistische en rechts-conservatieve politieke partij die onder meer bekend staat voor haar streven naar een onafhankelijk Vlaanderen, de tegenstand met betrekking tot immigratie door personen die zich volgens de partij weigerachtig opstellen tegen integratie of assimilatie naar westerse normen, de verdediging van de traditionele normen en waarden, en het verzet tegen het oprukken in Europa van de politieke islam en het moslimfundamentalisme. (Vlaams Belang, 2014)
Tabel 3: Overzicht van de Vlaamse politieke partijen die gecontacteerd worden
2.2 Onderzoeksbenadering en –strategie De literatuurstudie is op inductieve wijze uitgevoerd waarbij een referentiemodel (zie hoofdstuk 4) afgeleid is over het begrip phishing. Dit referentiemodel geeft op een beknopte wijze een overzicht van wat phishing is, welke soorten er bestaan, wat de trends van phishing zijn, welke gevolgen phishing heeft en wat er tegen gedaan kan worden. Op basis van dit referentiemodel is een verkennend onderzoek bij de Belgische overheid uitgevoerd, gebruikmakend van een casestudie (Saunders et al., 2011). Het verkennend onderzoek heeft geresulteerd in een situatieschets (dwarsdoorsnede) van phishing bij de Belgische overheid. Het onderzoek richt zich naar de federale Belgische overheid en naar de Vlaamse overheid. Beide overheden zijn in hun geheel, dus als een holistische casestudie behandeld (Saunders et al., 2011). Uit het empirisch onderzoek is een situatieschets ontstaan die getoetst is aan de resultaten van de literatuurstudie. Deze toetsing is verder geanalyseerd tot er een duidelijk beeld gevormd kon worden over phishing van de Belgische
16/110
Onderzoeksopzet
overheid. Dit beeld vormt het antwoord op de hoofdvraag. Figuur 2 geeft een schematisch overzicht van de verschillende stappen van het onderzoek: 1. Wetenschappelijke bronnen over phishing zijn gezocht, gecatalogeerd op relevantie en vervolgens doorgenomen. 2. Op basis van de studie van deze wetenschappelijke bronnen is een referentiemodel over het fenomeen phishing opgesteld waarin de definitie van phishing, de soorten van phishing, de frequentie van phishing, de gevolgen van phishing en de anti-phishingmaatregelen zijn opgenomen. 3. Dit referentiemodel is gebruikt om een verkennend onderzoek bij de Belgische overheid uit te voeren m.b.v. een casestudie die gebaseerd is op vragenlijsten. De empirische vragen in deze vragenlijsten zijn gebaseerd op de verschillende aspecten van het referentiemodel. 4. De antwoorden op de empirische vragen vormen een situatieschets van phishing bij de Belgische overheid. 5. De antwoorden op de empirische vragen over phishing bij de Belgische overheid zijn getoetst aan de antwoorden verkregen uit de literatuur. Een eerste toetsing is de vraag of phishing bij de Belgische overheid vergelijkbaar is met de algemene trends over phishing die beschreven worden in de literatuur. Een tweede toetsing is de vraag of phishing bij de Belgische overheid vergelijkbaar is met phishing bij de sector overheid, zoals beschreven in de literatuur. 6. De antwoorden op de literatuurvragen zijn samen met de antwoorden op de empirische vragen geanalyseerd. 7. Uit de analyse is een beeld naar voren gekomen over phishing bij de Belgische overheid. Dit beeld is een situatieschets van de toestand van het fenomeen phishing bij de Belgische overheid in de periode september – oktober 2014. 1. Literatuurstudie op inductieve wijze
3. Verkennend onderzoek m.b.v. casestudie
2. Referentiemodel over het fenomeen phishing
4. Situatieschets van phishing bij de Belgische overheid
5. Toetsing
Soorten van phishing bij de Belgische overheid Prevalentie van phishing bij de Belgische overheid Gevolgen van phishing bij de Belgische overheid Anti-phishing maatregelen bij de Belgische overheid
6. Analyse
Definitie van phishing Soorten van phishing Prevalentie van phishing Gevolgen van phishing Anti-phishing maatregelen
7. Beeld van de phishing bestrijding door Belgische overheid
Figuur 2: Onderzoeksopzet, waarbij de nummering de volgorde aangeeft van de verschillende fasen
2.3 Methode van literatuuronderzoek Het proces van literatuurstudie (Saunders et al., 2011) werd gevolgd om de nodige literatuur te vinden die op iedere vraag een onderbouwd en kritisch antwoord kan formuleren. Dit proces zorgde voor een verfijning en filtering van de bruikbare literatuur bij iedere iteratie: -
Stap 1: parameters / trefwoorden definiëren; Stap 2: zoeken; Stap 3: literatuur vastleggen;
17/110
Onderzoeksopzet
-
Stap 4: beoordelen van de literatuur / notities nemen; Stap 5: een conceptoverzicht maken.
De gevonden artikelen zijn met het softwarepakket Endnote X7 bewaard en geciteerd in de teksten. De gebruikte referentiestijl is APA versie 6. De gebruikte primaire literatuurbronnen bestaan voornamelijk uit wetenschappelijke, peer reviewed artikelen uit internationale magazines. Daarnaast is er gebruik gemaakt van een aantal zoekmachines (Google Scholar, Web of Science) die de mogelijkheid bieden om de geciteerde artikelen uit een relevant artikel heel snel op te zoeken. Op die manier kon snel een relevante bibliografie opgebouwd worden. De via het internet gebruikte zoekmachines zijn Google en Google Scholar. De zoekmachines Web of Science, EBESCO host en de IEEE Digital Library zijn via de digitale bibliotheek van de Open Universiteit (portaalsite) gebruikt. De gebruikte secundaire literatuurbronnen bestaan voornamelijk uit artikelen gepubliceerd door securitybedrijven (bijvoorbeeld Symantec) en internationale anti-phishingorganisaties (bijvoorbeeld de Anti-Phishing Working Group, APWG). Deze artikelen bestaan uit rapporten met cijfers over de evolutie van phishing door de jaren heen. In bijlage A is een overzicht opgenomen van de gevonden en de geselecteerde artikelen. De volgende zoektermen zijn gebruikt: social engineering, phishing, phishing (counter)measures, antiphishing, phishing implications, phishing and government, phishing en overheid, cybercrimes, cyberaanvallen en cybercriminaliteit.
2.4 Methode van onderzoek van het empirisch deel 2.4.1 Onderzoeksstrategie De onderzoeksstrategie is gebaseerd op een casestudie. Een casestudie maakt het mogelijk om holistische en zinvolle begrippen van real-life-events in het onderzoek te beschrijven (Saunders et al., 2011). Het real-life-event van het empirisch onderzoek betreft phishing bij de Belgische overheid. De casestudie in het empirisch onderzoek is uitgevoerd op basis van interviews, waarbij de vragen ‘waarom?’ ‘wat’ en ‘hoe’ met betrekking tot phishing, in vragenlijsten vervat zijn. Deze interviews zijn telefonisch afgenomen indien de respondent daarvoor open stond en in de andere gevallen heeft de respondent zelf de vragenlijst ingevuld en per e-mail verstuurd. Het onderzoek richt zich naar het fenomeen phishing bij de federale Belgische overheid en naar het fenomeen phishing bij de Vlaamse overheid. Beide overheden zijn in hun geheel, dus als een holistische casestudie behandeld (Saunders et al., 2011).
2.4.2 Bronnen De geraadpleegde bronnen bestaan uit de cyberbeveiligingsinstellingen van de overheid, weergegeven in Tabel 2 en uit de specialisten van cybercriminaliteit van de verschillende Vlaamse politieke partijen weergegeven in Tabel 3. Deze tweede groep bestaat, afhankelijk van de samenstelling van de regering, uit mensen die het beleid mee bepalen (de specialisten van de partijen die deelnemen aan de regering) of uit mensen die een controlerende functie uitoefenen op de verschillende instanties vanuit het parlement (de oppositie). De respondenten van de tweede groep laten zich meestal bijstaan door medewerkers die gespecialiseerd zijn in bepaalde onderwerpen zoals phishing (cybersecurity). In Tabel 5 is Laurens Bynens (medewerker van Nele Lijnen) daar een voorbeeld van. De respondenten van de regeringspartijen ontvangen hun informatie rechtstreeks van de overheidsinstanties die instaan voor cyberbeveiliging. De respondenten van de oppositiepartijen
18/110
Onderzoeksopzet
verkrijgen hun informatie via parlementaire vragen. Een derde bron is een ex-consultant, die voor een overheidsinstelling heeft gewerkt als securityspecialist. In Tabel 4 is een overzicht gegeven van de potentiële respondenten en hun functie binnen hun organisatie. Instelling / partij NVO FedICT BelNET CERT BIPT FCCU e-IB
Naam contactpersoon Mila Druwe Davina Luyten Davina Luyten
Naam van de respondent Dirk Nissen
[email protected] Walter Coenraets Anoniem
potentiële
Functie van de contactpersoon / potentiële respondent Security officer Marcom manager Persverantwoordelijke Persverantwoordelijke ICT-afdeling Hoofd FCCU Ex-securityconsultant
N-VA Peter Dedecker Federaal parlementslid CD&V Roel Deseyn Federaal parlementslid Open Vld Nele Lijnen Federaal parlementslid sp.a Dajo De Prins Onderzoeksmedewerker SPA Groen Stefaan Van Hecke Federaal parlementslid VB Niet bekend ICT-medewerkers Vlaams Belang Tabel 4: Overzicht van de contactpersonen, potentiële bronnen en hun functies binnen hun organisatie
In de volgende paragraaf 2.4.3 ‘Dataverzameling’ wordt uitgelegd hoe de namen van de potentiële respondenten in Tabel 4 verkregen zijn.
2.4.3 Dataverzameling Alle cyberbeveiligingsinstanties van de overheid in België en in Vlaanderen zijn telefonisch benaderd om de naam van de persoon te pakken te krijgen die via een interview de vragenlijsten zou kunnen beantwoorden. Dit is ook gebeurd voor de Vlaamse partijen. Tabel 4 geeft de namen weer van de personen waarmee er contact is geweest en de namen van potentiële respondenten. Enkel wanneer er geen naam verkregen is voor een potentiële respondent, is de naam van de contactpersoon ingevuld. Om een interview in te plannen is er gebruik gemaakt van een workflow (zie Figuur 3). De personen werden gebeld om te vragen of zij wensten mee te doen aan het onderzoek. Wanneer na drie keren proberen op verschillende tijdstippen de persoon niet telefonisch bereikt kon worden, werd een email met het verzoek tot deelname verstuurd. Als een persoon zich akkoord verklaarde, werd een afspraak gemaakt om ter plaatse of op afstand het interview te nemen. In tweede instantie was het ook mogelijk dat de vragenlijst per e-mail verstuurd werd naar de respondent, wanneer de respondent daarop aandrong. Na het afnemen van het interview werden de antwoorden naar de respondent ter controle gestuurd. Na het ontvangen van de gecontroleerde antwoorden of na het ontvangen van de rechtstreeks gestuurde antwoorden is de workflow afgerond en kon de analyse van de ontvangen data van start gaan.
19/110
Onderzoeksopzet
Mail sturen of persoon wenst mee te doen
> 3X Afspraak maken
Interview afnemen
Resultaat van interview laten controleren
Neen ≤ 3X
Start
Neen
Persoon bereikt?
Bellen
Ja
Ja
Persoon akkoord?
OR
Einde
Ja E-mail met vragen sturen
Antwoorden per e-mail ontvangen
Neen
Figuur 3: Onderzoeksworkflow gevolgd om de gegevens te bekomen
Tabel 5 geeft een overzicht van het aantal ontvangen antwoorden en de vorm van deze antwoorden. De interviews met Peter Dedecker (N-VA) en Stefaan Van Hecke (Groen) zijn telefonisch op een eenop-een basis afgenomen. De vragenlijsten zijn voor het interview per e-mail verstuurd omdat dit de respondenten een duidelijk beeld over de context van het onderzoek gaf en het ook eenvoudiger maakte voor de respondenten om antwoorden te geven. Deze één-op-één interviews hadden de voorkeur omdat de vragen en de verschillende begrippen complex van aard zijn. Wanneer de respondent een bepaald begrip niet goed begreep, is dit onmiddellijk verduidelijkt. Een ander voordeel van de één-op-één interviews was het feit dat de interviewer de mogelijkheid had om op bepaalde antwoorden van de respondent dieper in te gaan waardoor interessante feiten naar boven gehaald konden worden. Dit is bij beide interviews gebeurd. De interviewer heeft de antwoorden direct genoteerd. De ingevulde vragenlijst is ter controle naar de respondenten gestuurd om hen de gelegenheid te bieden de antwoorden te controleren en eventueel te verbeteren, wat zij ook gedaan hebben. De overige drie antwoorden (e-IB, CD&V en Open VLD) zijn verkregen via e-mail. Bij een asynchroon elektronisch interview zoals e-mail was het verduidelijken van begrippen niet mogelijk en kon er een begripsverwarring ontstaan die de onderzoeksresultaten zou beïnvloeden. Deze vorm van interviewen bood ook geen gelegenheid om uit te wijden of om dieper in te gaan op interessante aspecten die door de respondent worden aangegeven. Om dit tot een minimum te herleiden waren de vragenlijsten, die per e-mail verstuurd zijn, voorzien van extra uitleg bij iedere vraag en bij ieder begrip. De respondenten die de vragenlijsten per e-mail hebben verstuurd, hebben veel bijkomende informatie in bijlage meegestuurd. Deze additionele informatie (parlementaire vragen, Europese rapporten …) is mee verwerkt in het onderzoek (zie paragraaf 6.2 - Niet-wetenschappelijke bronnen). Instelling / partij
Antwoord gegeven
Vorm van het antwoord
Respondent
NVO FedICT BelNET CERT BIPT FCCU e-IB ADIV
Neen Neen Neen Neen Neen Neen Niet rechtstreeks Neen
Ingevulde vragenlijst -
Anoniem -
N-VA CD&V
Ja Ja
Telefonisch interview Ingevulde vragenlijst
Peter Dedecker Wim Scharpé (Roel Deseyn)
20/110
Onderzoeksopzet
Instelling / partij Antwoord gegeven Vorm van het antwoord Open Vld Ja Ingevulde vragenlijst sp.a Neen Groen Ja Telefonisch interview VB Neen Tabel 5: Overzicht van ontvangen antwoorden en respondenten
Respondent Laurens Bynens (Nele Lijnen) Stefaan Van Hecke -
De verkregen data bestaat uit primaire gegevens verworven door het interviewen van experten op het gebied van cyberbeveiliging bij de Belgische overheid en cybercrimespecialisten van de verschillende Vlaamse politieke partijen. Naast deze primaire gegevens, zijn secundaire gegevens gebruikt omdat de vraag naar de frequentie van phishing bij de Belgische overheid enkel beantwoord kan worden met cijfermateriaal uit secundaire gegevens, bijvoorbeeld rapporten over cyberbeveiliging of beleidsnota’s. De verzamelde data voor het beantwoorden van onderzoeksvragen E1, E3 en E4 is kwalitatieve data. De data die verzameld is om onderzoeksvraag E2 te beantwoorden bestaat uit kwantitatieve data. De gebruikte methode om de data te verzamelen is een semigestructureerd interview met een vragenlijst (zie bijlagen E, F en G) opgebouwd uit open vragen. Er is sprake van een monomethode daar er één kwalitatieve methode gebruikt is voor het verzamelen van de gegevens (Saunders et al., 2011). ANTWOORDBEREIDHEID Gedurende een periode van 5 weken (5 september – 10 oktober 2014) is er contact opgenomen met de verschillende overheidsinstellingen (zie Tabel 2 en Tabel 5) die instaan voor cyberbeveiliging voor de Belgische en Vlaamse overheid. Dit contact bestond vaak uit telefonische gesprekken met de woordvoerder van deze instellingen, gecombineerd met e-mails waarin duiding werd gegeven over de bedoeling van de gewenste interviews. De mensen aan de lijn waren voorkomend en verwezen naar kanalen binnen hun organisatie om antwoorden te krijgen op de empirische vragen. Geen enkele instelling4 heeft echter een antwoord gestuurd. Voor één instelling, het e-IB, is toch een aantal antwoorden verkregen via een ex-werknemer. De antwoordbereidheid bij de cybersecurityspecialisten (zie Tabel 3 en Tabel 5) van de Vlaamse politieke partijen lag een stuk hoger. Dit is te verklaren door het feit dat zij dichter bij de burger staan en dat zij niet op de vingers getikt kunnen worden over bepaalde verklaringen zoals dat wel het geval is bij de overheidsinstellingen. Eén van de woordvoerders van de gecontacteerde overheidsinstellingen gaf mondeling toe dat er binnen zijn administratie niet met de buitenwereld mag gecommuniceerd worden over cyberincidenten omdat dit door journalisten zou opgepikt kunnen worden en dat daardoor de bevoegde minister in een slecht daglicht zou kunnen komen te staan. Naast de ingevulde vragenlijsten hebben de politici veel additionele secundaire bronnen aangebracht. Deze secundaire bronnen bestaan uit Europese en Belgische rapporten over cybersecurity, parlementaire vragen over cyberincidenten en phishing bij de verschillende administraties van de Belgische overheid en uit een aantal whitepapers over cybersecurity (zie paragraaf 6.2 - Nietwetenschappelijke bronnen). Deze informatiebronnen zijn mee in de antwoorden op de onderzoeksvragen verwerkt. Uit een studie van het Europees parlement blijkt dat het niet publiek durven communiceren over security-incidenten één van de grootste struikelblokken is om tot een cyberbeveiligingsstrategie op 4
De persverantwoordelijke van het ministerie van defensie (ADIV) heeft aangegeven dat het noodzakelijk was om een schriftelijk schrijven te richten aan het ADIV en dat op basis van dit schrijven beoordeeld zou worden door de hiërarchisch verantwoordelijke of de vragen konden beantwoord worden. Daar de afhandeltijd van de aanvraag niet aangegeven kon worden, is dit geïnterpreteerd als geen (tijdig) antwoord.
21/110
Onderzoeksopzet
Europees niveau te komen. Veel landen van de EU hebben twijfels over de voordelen van het publiek kenbaar maken van security-incidenten en zijn geneigd security-incidenten intern op te lossen zonder dit publiek kenbaar te maken (Robinson N, Horvath V, Cave J, Roosendaal A, & Klaver M, 2013). Dit gegeven speelt duidelijk in België. ANTWOORDBEREIDHEID FINANCIËLE INSTELLINGEN NEDERLAND VERSUS BELGISCHE OVERHEID De antwoordbereidheid van de Nederlandse financiële instellingen vormt een groot contrast met de bereidheid van de Belgische overheidsinstellingen om mee te werken aan een onderzoek naar phishing. In het onderzoek van Dreijer (2012) hebben 6 van de 16 aangeschreven financiële instanties meegewerkt aan het onderzoek. Van de 7 gecontacteerde overheidsinstellingen in België heeft geen enkele instelling een antwoord gestuurd.
2.4.4 Steekproef - populatie De representativiteit van de steekproef was afhankelijk van de bereidheid van de verschillende instanties om deel te nemen aan het onderzoek (zie Tabel 5). Idealiter namen alle instanties deel aan het onderzoek, waardoor het onderzoek een zeer duidelijk beeld geeft van phishing bij de Belgische overheid. Daar niet alle instanties deelgenomen hebben (zie paragraaf 2.4.3 – Antwoordbereidheid), is er sprake van een zelfselecterende, niet-stochastische steekproef (Saunders et al., 2011). De representativiteit van deze steekproef is afhankelijk van de belangrijkheid van de deelnemende instanties op het vlak van cyberbeveiliging bij de Belgische overheid. De representativiteit van de steekproef van de cyberbeveiligingsinstellingen in België is beperkt daar er slechts antwoorden gekregen zijn van 1 van de 7 instellingen5. De representativiteit van de steekproef van de cybersecurityspecialisten van de Vlaamse partijen is daarentegen wel goed. De partijen van de respondenten hebben bij de verkiezing van 2014 voor de kamer van volksvertegenwoordigers (federaal niveau) samen 46,97% van de stemmen behaald, wat zich vertaalde in 71 zetels op een totaal van 150. De antwoorden verkregen van de respondenten van deze partijen, kunnen veralgemeend worden voor heel België.
2.4.5 Betrouwbaarheid Betrouwbaarheid drukt de mate van onafhankelijkheid ten opzichte van toeval uit. De bedoeling was om twee groepen respondenten in het onderzoek op te nemen: ambtenaren en politici. Het risico op deelnemersfouten bij de eerste groep was beperkt omdat de personen die geïnterviewd zouden worden ambtenaren zijn. Ambtenaren zijn in principe neutraal en onafhankelijk van de politieke strekking van de regering en de bevoegde ministers. Zij dienen in alle omstandigheden de gebruikers (het volk) naar best vermogen te dienen en te beschermen. Dit neemt niet weg dat deelnemersfouten konden optreden door het feit dat bepaalde gegevens confidentieel zijn en niet door de respondent meegedeeld konden worden. Ook het feit dat een ambtenaar niet volledig op de hoogte is van het fenomeen phishing met betrekking tot zijn instelling en de overheid kon resulteren in deelnemersfouten. Het securitybeleid van de cyberbeveiligingsambtenaren wordt opgelegd door de regering. De factor deelnemersvertekening kon een rol spelen omdat de respondenten antwoorden konden geven die niet helemaal stroken met de werkelijkheid maar eerder met de beleidsprioriteiten van de overheid. Er is geen sprake van deelnemersvertekening door ambtenaren, daar zij zich niet bereid toonden deel te nemen aan het onderzoek. Voor de tweede groep respondenten: de cyberbeveiligingsspecialisten van de verschillende partijen bestaat het risico dat de respondenten van de regeringspartijen de situatie te rooskleurig voorgesteld 5
Deze antwoorden zijn niet rechtstreeks van de instantie verkregen, maar via een ex-medewerker.
22/110
Onderzoeksopzet
hebben omdat dit hun beleid in de praktijk betreft. Voor de cyberbeveiligingsspecialisten van de oppositiepartijen bestaat het omgekeerde risico; zij zouden de situatie slechter voorstellen dan ze in werkelijkheid is omdat het beleid door een andere partij is uitgezet en niet strookt met hun (partij)visie. Voor de groep cyberbeveiligingsspecialisten van de Vlaamse politieke partijen bestaat een risico op interpretatiefouten. Deze respondenten krijgen hun informatie van de ambtenaren die werken voor de verschillende overheidsinstellingen. De kans bestaat dat de cyberbeveiligingsspecialisten de verkregen informatie anders interpreteren dan dat het bedoeld is door de ambtenaren. Voor de respondenten in beide groepen bestaat het gevaar dat er deelnemersfouten optreden door menselijke fout. Dit gevaar is beperkt omdat uit de kruisvaliditatie van de antwoorden is gebleken dat er geen grote afwijkingen bestaan tussen de antwoorden van de respondenten. De antwoorden van de ex-consultant6 van het e-IB komen grotendeels overeen met de antwoorden van de cyberbeveiligingsspecialisten van de Vlaamse politieke partijen. De politieke links – rechts7 tegenstelling van de respondenten van de Vlaamse politieke partijen bleek ook geen grote afwijkingen in de antwoorden te veroorzaken. Door de grote homogeniteit van de antwoorden mag er gesteld worden dat de betrouwbaarheid van de antwoorden goed is. Waarnemersfouten en waarnemersbias (Saunders et al., 2011) zijn beperkt door de vragen te baseren op het referentiemodel dat ontstaan is uit de literatuurstudie (zie hoofdstuk 4). Daarnaast kreeg iedere respondent na het interview een verslag doorgestuurd met zijn antwoorden, wat hem de gelegenheid bood om correcties aan te brengen. De betrouwbaarheid van de secundaire gegevens is afhankelijk van de wijze waarop phishing geregistreerd wordt door de verschillende cyberbeveiligingsinstanties in België en van de volledigheid van deze registratie. Deze gegevens zouden ter controle vergeleken kunnen worden met gegevens van andere landen die vergelijkbaar zijn met België qua grootte en cultuur zoals bijvoorbeeld Nederland. Deze controle behoort niet tot de scope van dit onderzoek en kan een piste vormen voor verder onderzoek.
2.4.6 Validiteit De validiteit geeft aan of de resultaten werkelijk over datgene gaan waarover ze lijken te gaan. Daar het een verkennend onderzoek betrof waarbij een situatieschets is gemaakt van phishing bij de Belgische overheid is het risico van een validiteitsgebrek beperkt. Validiteitsfouten vormen een groter gevaar wanneer er naar causale verbanden gezocht wordt (Saunders et al., 2011). Daar de vragen, die gebruikt werden in de interviews, gebaseerd zijn op het referentiemodel dat is opgesteld op basis van de recentste literatuur is er sprake van een hoge mate van externe validiteit (generaliseerbaarheid) (Saunders et al., 2011). Het onderzoek kan in haar huidige vorm ook bij andere overheden, bijvoorbeeld de Nederlandse overheid, afgenomen worden.
2.4.7 Ethiek De personen die geïnterviewd zijn, spraken vanuit hun rol binnen hun organisatie of partij. Zij spraken niet op persoonlijke titel. De gegevens van de rollen van deze personen zijn publiek bezit, waardoor er zich geen privacy problemen stellen. 6
De antwoorden van de ex-consultant zijn geanonimiseerd. Deze persoon heeft de vragen naar best vermogen beantwoord. Deze persoon is op het einde van zijn contract in goede verstandhouding vertrokken bij de betrokken overheidsinstelling. Er mag dus van uitgegaan worden dat deze persoon geen slechte bedoelingen heeft ten aanzien van de overheidsinstelling. 7 De vier Vlaamse politieke partijen die deelgenomen hebben aan het onderzoek zitten op verschillende plaatsen in het politieke spectrum. Groen bevindt zich aan de linkerzijde, CD&V bevindt zich centrumrechts samen met N-VA en Open VLD bevindt zich het meest rechts van de partijen die geantwoord hebben.
23/110
Onderzoeksopzet
2.4.8 Analyse van de data Uit het literatuuronderzoek is een referentiekader (zie hoofdstuk 4) ontstaan. Dit referentiekader bestaat uit vier categorieën: de soorten van phishing, de frequentie van phishing, de gevolgen van phishing en de maatregelen tegen phishing. Iedere categorie is geoperationaliseerd (zie bijlage C) naar een set van vragen. Deze vragen zijn gebruikt om via interviews de nodige kwalitatieve en kwantitatieve data te verzamelen. De interviews die telefonisch zijn afgenomen zijn getranscribeerd en ter verificatie doorgestuurd naar de respondent. Tijdens het interview is een aantal verwijzingen naar additionele bronnen verkregen waarin relevante informatie met betrekking tot de vragen te vinden was. Deze informatie is ook getranscribeerd en mee opgenomen in de antwoorden op de vragen. De vragenlijsten die per e-mail zijn ontvangen dienden deels getranscribeerd te worden omdat de antwoorden soms in documenten in bijlage te vinden waren. De referenties naar deze documenten zijn opgenomen in paragraaf 6.2 Niet-wetenschappelijke bronnen. De antwoorden zijn vervolgens gegroepeerd en neergeschreven in subcategorieën onder de empirische vragen op basis van patronen8. Gebruikmakend van deze patronen (subcategorieën) zijn de antwoorden op de empirische vragen uitgeschreven. Deze gestructureerde antwoorden zijn in combinatie met de antwoorden van de literatuurstudie gebruikt om tot de conclusies van het onderzoek te komen.
8
Een patroon is een wederkerend gebeuren dat een grote gelijkenis vertoont bij iedere optreden van het gebeuren (Saunders et al., 2011).
24/110
Resultaten van het onderzoek
3 Resultaten van het onderzoek 3.1 Inleiding Dit hoofdstuk geeft de resultaten weer van het onderzoek. De paragrafen zijn ingedeeld volgens de theoretische vragen gecombineerd met de empirische vragen. In de titel van de paragrafen wordt via de vraagcode aangegeven over welke vraag het gaat, bijvoorbeeld L2/E1 behandelt de tweede literatuuronderzoeksvraag, gecombineerd met de relevante antwoorden ontvangen voor de eerste empirische vraag. Naast de antwoorden op de literatuur- en empirische vragen zijn ook de relevante vergelijkingen tussen de antwoorden op de vragen uit dit onderzoek en de antwoorden van het onderzoek van Dreijer (2012) bij Nederlandse financiële instellingen in de verschillende paragrafen opgenomen.
3.1.1 De term computer Bij het beantwoorden van de vragen wordt vaak de term computer gebruikt. Computer dient in ruime zin geïnterpreteerd te worden en slaat op ieder apparaat dat elektronische boodschappen kan ontvangen en sturen of dat kan surfen op het internet. De klassieke desktop computer wordt steeds minder gebruikt om te communiceren over het internet en wordt steeds vaker vervangen door mobiele apparaten zoals een smartphone of een tablet. Het gevaar van phishingaanvallen is even groot voor deze apparaten als voor computers. Er bestaan zelfs phishingaanvallen die specifiek ontworpen zijn om gebruikers van mobiele apparaten in de val te lokken zoals bijvoorbeeld Wiphishing (zie paragraaf 3.3).
25/110
Resultaten van het onderzoek
3.2 L1/E1 - Wat is phishing? Om de vraag “Wat is phishing” te beantwoorden wordt er eerst gekeken naar de oorsprong van phishing, vervolgens naar de motieven voor phishing, er wordt een algemene definitie afgeleid en tot slot wordt de werkwijze van een phishingaanval stapsgewijs beschreven.
3.2.1 Oorsprong van de term phishing. Uit het literatuuronderzoek blijkt dat de term phishing voor het eerst verschenen is in januari 1996 op de alt.2600 hacker nieuwsgroep (Bose & Leung, 2007). Het eerste phishingincident vond plaats in 1995. Het was een social engineeringaanval tegen America Online waarbij gegevens gestolen werden van hun klanten (Khonji, Iraqi, & Jones, 2013). Het woord phishing wordt uitgesproken zoals het werkwoord fishing (vissen in het Engels), maar het is anders geschreven. De ‘ph’ aan het begin van het woord komt van de term ‘Phone Phreaking’. Phone Phreaking was één van de eerste vormen van hacking die toegepast werd tegen telefoonnetwerken voornamelijk om gratis telefoongesprekken te kunnen voeren. Phishing heeft parallellen met fishing in die zin dat vissers (de hackers) een soort van aas (social engineeringboodschappen) gebruiken om vissen (persoonlijke informatie van de slachtoffers) te vangen (Khonji et al., 2013).
3.2.2 De motieven voor phishing Het literatuuronderzoek geeft aan dat de motieven voor phishing allemaal een crimineel, frauduleus karakter hebben. Er zijn twee grote types van motieven: motieven voor handelingen die onmiddellijk leiden tot het verwerven van waardevolle logische objecten en motieven voor handelingen die leiden tot het verkrijgen van middelen om de phishingaanvallen te verfijnen en meer misleidend te maken (zie Tabel 6). Sheng, Kumaraguru, Acquisti, Cranor, and Hong (2009) geven de volgende motieven aan: -
Het stelen van intellectuele eigendom Het uitvoeren van bedrijfsspionage ‘Identity theft’: het stelen van iemands identiteit Controle verkrijgen over structureel belangrijke (netwerk) infrastructuur: persoonlijke computers (om botnets te creëren), e-mail providers (om authentiek lijkende boodschappen te kunnen versturen) of DNS agenten (om valse DNS verwijzingen te creëren).
Khonji et al. (2013) voegen daar deze motieven nog aan toe: -
-
Financieel gewin: het gebruiken van gestolen bankgegevens om zichzelf te verrijken. Het verbergen van de identiteit (‘identity hiding’): hackers gebruiken de gestolen identiteiten niet zelf, maar ze verkopen deze door aan criminelen die wensen hun identiteit verborgen te houden. Roem en bekendheid: phishers (hackers die de phishingaanval uitvoeren) voeren aanvallen uit om erkenning te krijgen binnen hun hacking community.
Rechtstreekse doelen Faciliterende doelen Stelen intellectuele eigendom Controle verkrijgen over structureel belangrijke infrastructuur Bedrijfsspionage Identity hiding Identity theft Stelen van bankgegevens Roem en bekendheid Tabel 6: Verdeling van motieven voor phishing in twee categorieën
26/110
Resultaten van het onderzoek
3.2.3 Definitie van de term phishing Khonji et al. (2013) stelt dat er geen consistente definitie van phishing bestaat in de literatuur. Dit is te wijten aan het feit dat phishing een breed spectrum heeft met veel variërende scenario’s. Tabel 7 geeft een overzicht van definities die gehanteerd worden in de literatuur om het fenomeen phishing te omschrijven. Bij iedere definitie is een verwijzing naar een paragraaf in bijlage B opgenomen waarin de niet-vertaalde versie van de definitie is weergegeven. Iedere definitie bevat drie elementen: een vorm van communicatie, een misleidende techniek om de informatie op te vangen en waardevolle logische objecten (data, geheimen, geld …) die de phisher van het slachtoffer probeert te bemachtigen. Definitie De frauduleuze poging van internetcriminelen om klanten zover te krijgen om te antwoorden op e-mails en daarbij persoonlijke financiële informatie vrij te geven. Phishing is een vorm van misleiding waarbij een aanvaller tracht op een frauduleuze manier gevoelige (sensitive) informatie van het slachtoffer te verkrijgen door zich voor te doen (impersonating) als een betrouwbare entiteit. Phishing is een list (ruse) die ontworpen is om informatie van het slachtoffer te verkrijgen door het gebruiken van e-mails, webpagina’s of brieven die lijken van authentieke (genuine) instellingen te komen. Deze berichten dragen het slachtoffer op om informatie te verschaffen om het afsluiten van een account (Facebook, rekening, World of Warcraft …) te verhinderen of om snel te reageren op een buitenkansje of om snel te reageren om een cadeau te krijgen. Phishing is een op e-mail gebaseerd bedrog (deception) waarbij de dader e-mails camoufleert als legitieme vragen naar persoonlijke en gevoelige (sensitive) informatie. Phishing is een soort van social engineering aanval waarbij de criminelen vervalste (spoofed9) e-mail boodschappen gebruiken om mensen te misleiden en hen aan te zetten tot het delen van gevoelige (sensitive) informatie of om hen aan te zetten malware10 op hun computers te installeren. Phishing is een type van computeraanval die d.m.v. social engineering boodschappen communiceert met mensen via elektronische computerkanalen om die mensen te overtuigen bepaalde handelingen uit te voeren ten voordele van de aanvaller. Tabel 7: Definities van phishing volgens verschillende auteurs
Auteur Folsom, Guillory, and Boulware (2005) Jagatic, Johnson, Jakobsson, and Menczer (2007) Workman (2008)
Origineel Bijlage B
Vishwanath, Herath, Chen, Wang, and Rao (2011) J. Hong (2012)
Bijlage B
Bijlage B
Khonji et al. (2013)
Bijlage B
Bijlage B
Bijlage B
In Tabel 8 worden de definities uit Tabel 7 ontleed tot de drie basiscomponenten die noodzakelijk zijn om over phishing te kunnen spreken. Auteur Folsom et al. (2005) Jagatic et al. (2007)
Communicatie – bericht E-mail Niet benoemd
Workman (2008)
E-mail, brieven
Vishwanath et (2011) J. Hong (2012)
al.
Phishers doel Financiële informatie Gevoelige informatie
E-mail
Misleidende techniek Niet vernoemd Zich voordoen als een betrouwbare entiteit Zich voordoen als een betrouwbare entiteit die aangeeft dat er iets mis is met een bestaande account of dat er een cadeau te verkrijgen is Bedrog
E-mail
Misleiding
Gevoelige informatie of malware op de computer installeren
webpagina’s
of
Accountinformatie in brede zin van het woord: rekening, Facebook, World of Warcraft account …
Gevoelige informatie
9
Het vervalsen van de e-mail header zodat het lijkt dat de mail door iemand anders of vanuit een andere locatie gestuurd is (Kruck & Kruck, 2006). 10 Software die gebouwd is voor schadelijke en criminele doeleinden (Jian, Venkatasubramanian, West, & Insup, 2013).
27/110
Resultaten van het onderzoek
Auteur Khonji et al. (2013)
Communicatie – bericht Misleidende techniek Elektronische Niet vernoemd computerkanalen Tabel 8: Ontleding van de verschillende definities van phishing
Phishers doel Handelingen laten uitvoeren ten voordele van de phisher.
Gebruikmakend van de gegevens in Tabel 8 kan phishing gedefinieerd worden als volgt: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten11 of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren12. Dreijer (2012) komt in zijn onderzoek tot volgende definitie voor phishing: Phishing is een crimineel fraudeleus proces waarin criminelen zich voordoen als vertrouwde entiteit met als doel het ontfutselen van gevoelige informatie. Als middel daartoe worden valse berichten in een elektronische communicatie gebruikt. Daarin worden slachtoffers ofwel direct misleid om gevoelige informatie prijs te geven, ofwel indirect waarbij slachtoffers bijvoorbeeld naar een vervalste website worden geleid en/of malware op hun computers installeren waarmee vervolgens gevoelige informatie wordt verzameld en doorgespeeld naar de criminelen. Beide definities komen grotendeels overeen. Het enige verschilpunt zit in het motief van de phisher. In de definitie van Dreijer wordt als motief enkel het ontvreemden van gevoelige informatie aangehaald. Sheng et al. (2009) geven echter aan dat een ander belangrijk motief van phishing het verkrijgen van controle over structureel belangrijke infrastructuur13 is. Deze controle zal toekomstige phishingaanvallen meer misleidend en dus effectiever maken. Tabel 9 geeft een overzicht van de bronnen gebruikt door Dreijer (2012) in vergelijking met de bronnen gebruikt in dit onderzoek om tot een definitie van phishing te komen. In beide onderzoeken wordt het artikel van J. Hong (2012) gebruikt en is Sheng een gemeenschappelijke auteur. De andere bronnen zijn verschillend omdat in dit onderzoek meer recente bronnen zijn gebruikt omdat phishing een evolutief fenomeen is. Dreijer (2012) Type bron Peer reviewed artikel Definitie door een antiphishingorganisatie Zhang, Egelman, Cranor, Conference Proceeding and Hong (2006) Butler (2007) Peer reviewed artikel Auteurs Abad (2005) APWG (2006)
Auteurs Folsom et al. (2005) Jagatic et al. (2007)
Dit onderzoek Type bron Peer reviewed artikel Peer reviewed artikel
Workman (2008)
Peer reviewed artikel
Sheng et al. (2009)
Peer reviewed artikel
11
Een logisch object is een bijvoorbeeld een paswoord dat toegang verschaft tot persoonlijke gegevens op een computer. Een middel om een toekomstige phishingaanval te faciliteren is bijvoorbeeld het feit dat de phisher via de malware te weten komt bij welke boekenclub het slachtoffer lid is en met welke andere leden van de boekenclub er in het verleden contact is opgenomen. Deze informatie is op zich niet waardenvol, maar de phisher kan nu veel gerichter een (spear) phishingmail opstellen, gebaseerd op de boekenclub, waardoor de kans op slagen van de volgende phishingaanval stijgt. 13 Een voorbeeld van structureel belangrijke infrastructuur is de firewall die het intranet van een organisatie scheidt van het internet. Wanneer een hacker de controle krijgt over deze firewall kan hij het dataverkeer tussen de organisatie en het internet blokkeren of van route doen veranderen. Door deze controle kan de hacker bijvoorbeeld een man-in-the-middle attack uitvoeren door het dataverkeer dat door de firewall loopt af te luisteren zonder dat de slachtoffers er iets van merken. 12
28/110
Resultaten van het onderzoek
Dreijer (2012) Dit onderzoek Auteurs Type bron Auteurs Type bron Shirey (2007) Request for comment Vishwanath et al. (2011) Peer reviewed artikel Kumaraguru, Sheng, Peer reviewed artikel J. Hong (2012) Peer reviewed artikel Acquisti, Cranor, and Hong (2010) J. Hong (2012) Peer reviewed artikel Khonji et al. (2013) Peer reviewed artikel Wenyin, Liu, Qiu, and Quan Peer reviewed artikel (2012) Tabel 9: Vergelijking van de gebruikte bronnen om tot de definitie van phishing te komen
3.2.4 Empirische toets van de definitie van phishing Uit het empirisch onderzoek blijkt dat de definitie door alle respondenten wordt onderschreven. Peter Dedecker (2014) vond de definitie vrij abstract maar had geen verdere opmerkingen. Stefaan Van Hecke (2014) gaf aan dat de definitie vertrekt van een crimineel, maar wat met overheden die phishing gebruiken voor spionagedoeleinden? Er kan geargumenteerd worden dat de intentie om phishing te gebruiken duidt op een criminele activiteit in wording. Een overheid die phishing gebruikt voor spionagedoeleinden pleegt eigenlijk criminele feiten en kan als crimineel beschouwd worden.
3.2.5 Definitie financiële instellingen in Nederland ten opzicht van Belgische overheid De financiële wereld in Nederland heeft in samenwerking met de NVB14 een definitie van phishing opgesteld. Dit zorgt ervoor dat iedere betrokken financiële instelling duidelijk weet wat er bedoeld wordt met phishing. De Belgische overheid heeft geen algemeen aanvaarde definitie van phishing. Dit is te verklaren door het feit dat er (nog) geen centraal, overkoepelend orgaan bestaat dat verantwoordelijk is voor het cybersecuritybeleid in België. De intentie om dit orgaan op te richten is wel aanwezig bij de politici die deelnemen aan de federale regeringsvorming (Dedecker P., 2014).
3.2.6 Hoe gaat een phishingaanval in zijn werk? Uit het literatuuronderzoek blijkt dat een phishingaanval uit twee grote stappen bestaat: het voorbereidend werk uitgevoerd door de phisher en de phishingaanval zelf (Jagatic et al., 2007). In onderstaande Figuur 4 en Figuur 5 betreft het een phishingaanval die gebruik maakt van een e-mail bericht met daarin de boodschap dat door software problemen de klantengegevens beschadigd zijn. Het phishingslachtoffer wordt verzocht om de klantgegevens opnieuw aan te maken. In het e-mail bericht is een link opgenomen naar de vervalste site van de betrouwbare entiteit waar het slachtoffer klant is. De phisher zal de account gegevens via zijn vervalste website doorgestuurd krijgen en zich toegang verschaffen, gebruikmakend van de gegevens van het slachtoffer, tot de betrouwbare entiteit waar het slachtoffer klant is. Voorbereiding (weergegeven in Figuur 4) 1. De phisher zoekt een doelwit en bepaalt de wijze waarop hij het doelwit zal benaderen. Het doelwit is meestal een grote heterogene groep. 2. De phisher bepaalt wat hij zal gebruiken om de phishingaanval uit te voeren: - Keuze van het communicatiemiddel: bijvoorbeeld e-mail; - Keuze van de data verzamelingsmethode: bijvoorbeeld een vervalste webpagina.
14
Nederlandse Vereniging van Banken
29/110
Resultaten van het onderzoek
Voorbereiding phishing aanval
1 - Welk doelwit zal ik aanvallen?
Legitieme website
Internet Hacker / Phisher
E-mail Beste klant Wegens een software fout zijn onze klantgegevens verloren gegaan. Gelieve uw account gegevens te controleren via deze link (naar vervalste website).
Vervalste website
Hoogachtend, betrouwbare instantie X
Figuur 4: Voorbereiding voor een phishingaanval
De aanval (weergegeven in Figuur 5) 3. De phisher stuurt een vervalste boodschap naar het slachtoffer, waarbij de boodschap zodanig is opgebouwd dat het lijkt van de betrouwbare bron te komen, die de hacker heeft gekozen. 4. Het slachtoffer reageert op de boodschap, precies zoals de phisher het wenst en de val klapt dicht: het slachtoffer zal gevoelige informatie vrijgeven door bijvoorbeeld deze in te geven in de valse website. 5. De phisher ontvangt de gegevens van het slachtoffer. 6. De phisher heeft de informatie waar het om te doen was en zal met behulp van deze informatie een vorm van fraude plegen of deze informatie doorverkopen aan andere criminelen die op hun beurt de informatie misbruiken. Phishing aanval
Legitieme website
Internet Hacker / Phisher
E-mail
Vervalste website
Beste klant Wegens een software fout zijn onze klantgegevens verloren gegaan. Gelieve uw account gegevens te controleren via deze link (naar vervalste website). Hoogachtend, betrouwbare instantie X
Slachtoffer
Figuur 5: Phishingaanval
30/110
Resultaten van het onderzoek
3.3 L2/E1 - Welke soorten van phishing bestaan er? In bijna ieder wetenschappelijk artikel over phishing wordt een definitie voor phishing gegeven die past binnen het onderzoek van het artikel (zie ook paragraaf 3.2.3 ). Zelden wordt er echter een opdeling gemaakt in soorten phishing. In het artikel van Bergholz et al. (2010) wordt wel een onderscheid gemaakt tussen twee grotere groepen van phishing met name: ‘deceptive phishing’ en ‘malware-based phishing’. De verschillende soorten van phishing kunnen onder één van beide categorieën ingedeeld worden. Naast de soorten van phishing bestaan er misleidende technieken die in beide categorieën gebruikt worden, deze technieken worden als derde categorie opgenomen zoals weergegeven in Figuur 6. In Figuur 6 is een vierde vorm van phishing aangegeven: op doelgroepen gerichte phishing. Deze vorm duidt niet op het medium dat gebruikt wordt om de boodschap over te brengen naar het slachtoffer, maar naar het feit dat het slachtoffer heel zorgvuldig gekozen wordt. De indeling in Figuur 6 strookt niet helemaal met de werkelijkheid. Phishingaanvallen maken soms tegelijk gebruik van een e-mail en van een vorm van malware en van een vervalste website, waarbij ze gericht zijn op een specifieke doelgroep. In een dergelijk geval zou de phishingaanval in de vier categorieën ondergebracht kunnen worden. De waarde van Figuur 6 ligt in het overzicht dat het biedt van het fenomeen phishing en de complexiteit van deze cyberbedreiging. Figuur 6 maakt de verschillende vormen van het begrip phishing tastbaarder, waardoor er gemakkelijker over gepraat kan worden zoals gebeurd is in bij de interviews van het empirisch onderzoek. Phishing
3.3.1 Deceptive phishing
3.3.2 Malware-based phishing
3.3.3 Misleidende technieken
3.3.4 Op doelgroepen gerichte phishing
E-mail - spam
Trojans
Vervalste websites
Spear phishing
Instant messaging
Key loggers
URL hiding
Whaling
Telefoon
Screen grabbing
Systeem herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
Sociale media
Man-in-the-middle
Figuur 6: Overzicht van soorten phishing en veel gebruikte misleidende technieken
3.3.1 Deceptive phishing Er is sprake van ‘deceptive phishing’ wanneer de phisher boodschappen uitstuurt met daarin een list om het slachtoffer te overtuigen om naar een bepaalde site te gaan om daar gegevens te wijzigen of in te vullen. In deze categorie wordt er geen gebruik gemaakt van malware om gegevens door te sturen naar de phisher (Bergholz et al., 2010). E-MAIL (SPOOFING) – SPAM BASED PHISHING Phishing met e-mail en spam is een veel voorkomende vorm van phishing. Vaak wordt er gebruik gemaakt van e-mailspoofing, waarbij gegevens van de afzender vervalst zijn. Het merendeel van de
31/110
Resultaten van het onderzoek
berichten bevat een dringende nota die de gebruiker verzoekt om informatie in te voeren. Deze informatie is, volgens het bericht, nodig om accountinformatie (Facebook, rekening …) te updaten, om accountgegevens aan te passen of om accounts te controleren. Soms wordt er gevraagd om een formulier in te vullen om toegang te krijgen tot een nieuwe dienst via een link, die in de phishingmail staat (Vishwanath et al., 2011). INSTANT MESSAGING BASED PHISHING Bij de Instant messaging methode wordt een bericht via een instant messaging kanaal (bijvoorbeeld: MSN, IRC, ICQ) naar de gebruiker gestuurd met daarin meestal een link naar een phishingwebsite die dezelfde look en feel heeft als een legitieme website. Als de gebruiker niet naar de URL kijkt, kan het moeilijk zijn om het verschil tussen de nep en legitieme website te onderscheiden15. Vervolgens wordt de gebruiker gevraagd om persoonlijke gegevens in te geven op de webpagina (Bose & Leung, 2007). TELEFOONPHISHING Bij telefoonphishing, belt de phisher naar de gebruiker en vraagt hij de gebruiker om een bepaalde handeling uit te voeren, bijvoorbeeld het doorgeven van een paswoord of het uitzetten van de firewall op de computer. Het doel is om persoonlijke gegevens of controle over apparatuur van het slachtoffer te verkrijgen. Telefoonphishing wordt meestal gedaan met een valse beller-ID (Bose & Leung, 2007). SMISHING SMiShing maakt gebruik van een SMS bericht om het slachtoffer te lokken (Wall, 2008). VISHING Vishing maakt gebruikt van het Voice over Internet Protocol (VOIP) om contact op te nemen met de slachtoffers en hen in de val te lokken (Baron, 2006). PHISHING VIA ZOEKMACHINES Sommige phishingaanvallen gebruiken zoekmachines waarbij de gebruiker verwezen wordt naar product sites die goedkope producten of diensten aanbieden, als hij iets opzoekt in een zoekmachine (bijvoorbeeld Google, Bing, Yahoo). Wanneer de gebruiker probeert om het product te kopen en daarbij credit card gegevens invoert, zal deze data verzameld worden door de phishingsite. Een voorbeeld van dergelijke product sites zijn nep-bank websites die creditcards of leningen aan gebruikers tegen een laag tarief aanbieden, maar in wezen zijn het phishingsites (Phishing.org, 2014). PHISHING VIA SOCIALE MEDIA16 Symantec (2014) geeft aan dat sociale media misbruikt worden om links naar phishingsites op te posten. Het slachtoffer klikt op deze link en wordt dan naar een site geleid die erop gericht is data te ontvreemden.
3.3.2 Malware-based phishing Er is sprake van ‘malware-based phishing’ wanneer kwaadaardige software wordt gebruikt die zich op de computer van het slachtoffer nestelt en vertrouwelijke data van het phishingslachtoffer doorstuurt naar de hacker (Bergholz et al., 2010). Onder deze categorie kunnen volgende types van phishing geplaatst worden:
15
Phishers zijn erg bedreven in het namaken van URLs waarbij bijvoorbeeld een ‘0’ gebruikt wordt in plaats van een ‘O’ of een ‘1’ in plaats van een ‘I’. Dus zelfs als het slachtoffer naar de URL zou kijken dan zal hij de subtiele verschillen vaak niet opmerken. 16 Deze vorm van phishing is na het empirisch onderzoek aan het referentiemodel toegevoegd. In de vragenlijsten en de antwoorden van de respondenten is deze vorm hierdoor niet aanwezig.
32/110
Resultaten van het onderzoek
TROJANS Trojans zijn programma’s die op de achtergrond draaien en die proberen vertrouwelijke data te verzamelen over het slachtoffer (credentials) via de lokale machine. De verkregen informatie wordt vervolgens aan phishers verzonden (Bose & Leung, 2007). KEY LOGGERS ‘Key loggers’ zijn een vorm van malware die gebruikt wordt om input van het toetsenbord te identificeren en op te slaan. De input wordt naar de hackers verstuurd die wachtwoorden en andere soorten informatie uit die input trachten te ontcijferen (Gyorffy, Tappenden, & Miller, 2011). SCREEN GRABBING Sommige geavanceerde phishingaanvallen maken screenshots van de gegevens die bijvoorbeeld in een web-gebaseerde applicatie zijn ingevoerd. Dit soort van malware wordt gebruikt om de beveiliging te omzeilen van programma’ die voorzien zijn van anti-key loggers (Gunter, 2007). SESSION HACKING Bij ‘session hacking’ maakt de phisher gebruik van het websessiecontrolemechanisme17 om informatie van de gebruiker te stelen. In een eenvoudige ‘session hacking’-aanval die bekend staat als ‘session sniffing’ kan de phisher een sniffer18 gebruiken om relevante informatie te onderscheppen, zodat hij of zij zich illegaal toegang tot de webserver kan verschaffen (Mannan & van Oorschot, 2011). WEB-BASED DELIVERY Wanneer het slachtoffer op de link in de phishingboodschap klikt, wordt hij naar een website geleid. Deze website zal bij het openen malware installeren op de computer van het slachtoffer. Zodra het slachtoffer de computer gebruikt om transacties uit te voeren, zal de malware de gegevens doorsturen naar de phisher (Bose & Leung, 2007). WI-PHISHING Wi-phishing is het installeren van een WiFi-accesspoint om de toestellen van mobiele gebruikers automatisch te laten connecteren naar dit accesspoint en ondertussen malware te installeren op hun toestel of om de data van de mobiele apparaten te stelen. Daar er steeds meer gratis WiFiaccesspoints op openbare plaatsen worden voorzien, is het voor phishers eenvoudig om een iets andere naam van het WiFi netwerk (SSID) te gebruiken om gebruikers te lokken naar hun WiFiaccesspoint (Sinha, Haddad, Nightingale, Rushing, & Thomas, 2006).
3.3.3 Technieken toegepast om het slachtoffer te misleiden In deze paragraaf wordt een aantal technieken beschreven die veel gebruikt worden in phishingaanvallen. Het kat-en-muis spel tussen phishers en cyberbeveiliging heeft ertoe bijgedragen dat de phishingaanvallen steeds gesofisticeerder worden en dat er steeds nieuwe misleidende technieken uitgevonden worden. Phishers combineren dan ook steeds meer technieken om hun slachtoffers te misleiden en de cyberbeveiliging te omzeilen (J. Hong, 2012).
17 Dit mechanisme zorgt ervoor dat bepaalde data die een gebruiker ingeeft in een website, bijvoorbeeld zijn gebruikersnaam en paswoord, gedurende het bezoek aan de website niet opnieuw dienen ingegeven te worden. 18 Een sniffer (letterlijk een snuffelaar) is software die dataverkeer op een netwerk kan opvangen en analyseren.
33/110
Resultaten van het onderzoek
VERVALSEN VAN WEBSITES Om hun slachtoffers te misleiden, bouwen phishers websites van legitieme organisaties tot in de kleinste details na. Wanneer een slachtoffer op de vervalste website terechtkomt kunnen of zijn gegevens gestolen worden of kan er malware op de computer van de gebruiker geïnstalleerd worden (Gunter, 2007). URL HIDING URL hiding is de techniek waarbij de phisher een link stuurt die lijkt te verwijzen naar een legitieme website. Wanneer de gebruiker klikt op de correct lijkende link dan opent de website van de phisher in plaats van de in de link genoemde legitieme website (Bergholz et al., 2010). SYSTEEM HERCONFIGURATIE Phishers versturen een bericht waarbij de gebruiker wordt gevraagd om de instellingen van de computer opnieuw te configureren omdat er zogezegd iets fout is. Wanneer de gebruiker zijn instellingen aanpast, zal hij het systeem vatbaarder maken voor bepaalde aanvallen (bijvoorbeeld malware-installaties). Meestal lijkt het bericht verstuurd vanuit het webadres van een betrouwbare bron, zoals bijvoorbeeld Microsoft (Phishing.org, 2014). CONTENT INJECTION ‘Content injection’ is een techniek waarbij de phisher een deel van de inhoud op de pagina van een betrouwbare website verandert. Dit wordt gedaan om de gebruiker naar een pagina buiten de legitieme website te leiden, waar de gebruiker wordt gevraagd om persoonlijke informatie in te voeren (Emigh, 2006). PHARMING De phisher hackt DNS (Domein Name Servers) servers. DNS servers zijn verantwoordelijk voor het vertalen van domeinnamen bijvoorbeeld www.openuniversiteit.nl naar IP-adressen19. Wanneer iemand naar de website van een bepaalde organisatie wenst te surfen, zal deze persoon in de browser een URL (Uniform Resource Locator) ingeven die gebaseerd is op een DNS-domein, bijvoorbeeld http://www.openuniversiteit.nl. De browser zal aan de DNS server het IP-adres vragen van de server waarop deze site staat. De hacker heeft echter in de DNS server een ander IP-adres ingevuld dat verwijst naar zijn server met een vervalste website. De gebruiker zal nietsvermoedend proberen in te loggen en de hacker zal op deze manier deze gegevens ontvreemden (Bose & Leung, 2007). DNS CACHE POISONING ‘DNS cache poisoning’ zorgt ervoor dat de routering van het normale verkeer anders verloopt door het injecteren van valse IP-adressen voor belangrijke domeinnamen. De phisher kan bijvoorbeeld de DNS cache van een firewall aanpassen. Al het verkeer dat bestemd is voor een bepaalde URL, stel http://www.openuniversiteit.nl, zal door de firewall naar het verkeerde IP-adres gestuurd worden omdat de DNS resolving (het omzetten van een DNS naam uit een URL naar een IP-adres) gebaseerd is op de foute (geïnjecteerde) DNS cache van de firewall (Gunter, 2007). MAN-IN-THE-MIDDLE Bij een man-in-the-middle aanval zal de phisher zich tussen het slachtoffer en de echte web-based applicatie plaatsen en alle communicatie tussen het slachtoffer en de web applicaties doorgeven en tegelijkertijd registeren (Bose & Leung, 2007). Een man-in-the-middle aanval kan gebruik maken van malware, maar dat is niet altijd het geval. Dit type van aanval zou ook onder de categorie van misleidende technieken kunnen geplaatst worden. 19
Een IP-adres kan beschouwd worden als het unieke adres van een server op het internet.
34/110
Resultaten van het onderzoek
3.3.4 Op specifieke doelgroepen gerichte vormen van phishing Spear-phishing en whaling zijn twee vormen van phishing die gebruik (kunnen) maken van deceptive en malware-based phishing en van een aantal misleidende technieken. Beide vormen zijn gericht op een bepaalde slachtoffer doelgroep. SPEAR-PHISHING (CONTEXT AWARE PHISHING) (JAGATIC ET AL., 2007) Spear-phishing duidt niet op het medium dat gebruikt wordt om de boodschap over te brengen naar het slachtoffer, maar naar het feit dat het slachtoffer heel zorgvuldig gekozen wordt. Door zoveel mogelijk informatie over het doelwit te verzamelen, zal het misleidend karakter van de phishingboodschap sterker worden en de slaagkans van de phishingaanval verhogen. Het verzamelen van deze informatie gebeurt onder andere door: - Scanning naar kwetsbaarheden bij het doelwit: heel wat mensen zetten persoonlijk informatie op sociale mediasites: bijvoorbeeld Facebook, Google+, Gmail, OneDrive, Instagram, LinkedIn … waardoor de phisher op een vrij eenvoudige manier een profiel kan aanmaken van het doelwit of de doelgroep (Oravec, 2012). - Het hacken van een klantenbestand, bijvoorbeeld van een online dienstverlener. De phisher weet nu welke organisatie of website hij dient te gebruiken om het slachtoffer te misleiden en zal bepalen wat hij best kan gebruiken om het slachtoffer in de val te laten lopen: - Keuze van het communicatiemiddel: bijvoorbeeld e-mail; - Keuze van de misleidende data verzamelingsmethode: bijvoorbeeld een webpagina. Beide keuzes zullen afgestemd zijn op het profiel van het slachtoffer. WHALING Naar analogie van spear-phishing refereert de naam Whaling niet naar het medium dat de boodschap overbrengt, maar naar het doelwit van de phishingaanval. Whaling kan beschouwd worden als een speciale vorm van spear-phishing. De term Whaling binnen phishing is vrij nieuw en is afgeleid van het gebruik van 'Whales' binnen het gokmilieu waar de term verwijst naar gokkers die voor zeer veel geld spelen. De term verwijst ook naar grote vissen (hoewel walvissen zoogdieren zijn). Whaling beschrijft de meest gerichte vorm van phishing, gericht naar bedrijven of de overheid, waarbij groepen van highlevel executives (zoals de CTO of CFO) als doelwit genomen worden. In het geval van een whalingaanval, richt de phisher zich tot een kleine groep hoger personeel binnen een organisatie en probeert hen te bestelen. Door zich te focussen op deze kleine groep, kan de phisher meer tijd investeren in de aanval en zijn boodschap verfijnen om de hoogste kans op succes te bereiken (Gunter, 2007).
3.3.5 Vergelijking van de soorten van phishing aangehaald in het onderzoek van Dreijer (2012) en de soorten aangehaald in dit onderzoek. Figuur 7 geeft een vergelijkend overzicht van de soorten van phishing besproken in het onderzoek van Dreijer (2012) in vergelijking met dit onderzoek. De blauwe ballonnen geven de soorten en categorieën aan die in beide onderzoeken aanwezig zijn. De categorie deceptive phishing komt grotendeels overeen. Er zijn twee verschillen. Spear-phishing wordt door Dreijer (2012) als een vorm van deceptive phishing opgenomen, terwijl bij dit soort van aanvallen ook malware kan gebruikt worden. Wi-phishing wordt ook in deze categorie ingedeeld, terwijl het thuishoort, volgens de catalogisering van dit onderzoek, in de categorie malware-based phishing. De categorie malwarebased phishing wordt door Dreijer (2012) benoemd als ‘Gerelateerde vormen van online fraude’. In deze categorie wordt een aantal vormen van phishing niet besproken: screen grabbing en web-based delivery. Het fenomeen ‘whaling’ komt ook niet voor in het onderzoek van Dreijer (2012). De categorie misleidende technieken wordt niet gebruikt in het onderzoek van Dreijer (2012). De
35/110
Resultaten van het onderzoek
gemeenschappelijke technieken worden door Dreijer (2012) beschouwd als ‘Gerelateerde vormen van online fraude’. Binnen deze categorie worden vervalste websites, URL hiding en DNS cache poisoning door Dreijer (2012) niet beschreven. Deceptive phishing
Malware-based phishing
Misleidende technieken
Op doelgroepen gerichte phishing
E-mail - spam
Trojans
Vervalste websites
Spear phishing
Instant messaging
Key loggers
URL hiding
Whaling
Telefoon
Screen grabbing
Systeem herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
Sociale media
Man-in-the-middle
Figuur 7: De soorten van phishing en misleidende technieken die zowel in dit onderzoek van het onderzoek van Dreijer voorkomen zijn aangeduid in het blauw
3.3.6 Soorten van phishing die voorkomen bij de Belgische overheid Alle respondenten geven in het empirisch onderzoek aan dat de Belgische overheid getroffen wordt door phishingaanvallen. In Tabel 10 staan de soorten phishing weergegeven die voorkomen bij de Belgische overheid. Deze informatie is verkregen uit het interview met de ex-consultant van een Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014) en met Peter Dedecker (2014). Er zijn geen bijkomende vormen van phishing aangegeven. Daar geen enkele cyberbeveiligingsinstelling in België rechtstreeks heeft deelgenomen (zie ook paragraaf 2.4.4) aan het onderzoek dient Tabel 10 met de nodige scepsis bekeken te worden. De kans is reëel dat de Belgische overheid nog met andere vormen van phishing geconfronteerd wordt, dan degene die zijn aangeduid in Tabel 10. Soorten deceptive phishing Soorten malware-based phishing Op doelgroepen gerichte phishing E-mailphishing X Phishing m.b.v. Trojans X Spear-phishing / whaling Instant messaging phishing Key loggers Telefoonphishing X Screen grabbing SMiShing Session hacking Vishing Web-based delivery phishing X Zoekmachines Wi-Phishing X Tabel 10: Overzicht van de soorten phishing bij de Belgische (Vlaamse) overheid
X
MISLEIDENDE TECHNIEKEN Tabel 11 geeft het overzicht weer van de misleidende technieken waarmee de Belgische overheid geconfronteerd wordt. Deze informatie is verkregen uit het interview met de ex-consultant van een Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014) en met Peter Dedecker (2014). Er zijn geen bijkomende vormen van misleidende technieken aangegeven. Daar geen enkele cyberbeveiligingsinstelling in België rechtstreeks heeft deelgenomen (zie ook paragraaf 2.4.4) aan het onderzoek dient Tabel 11 met de nodige scepsis bekeken te worden. De kans is reëel dat de Belgische overheid nog met andere vormen van misleidende technieken geconfronteerd wordt, dan degene die zijn aangeduid in Tabel 11.
36/110
Resultaten van het onderzoek
Misleidende technieken Vervalste websites URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning Man-in-the-middle Tabel 11: Overzicht van de voorkomende misleidende technieken bij de Belgische (Vlaamse) overheid
X X X X
TRENDS IN PHISHING TEGEN DE OVERHEID E-mailphishing is het meest gebruikte kanaal en blijft dit doorheen de verschillende jaren, dit in combinatie met URL hiding technieken, die eenvoudig maar doeltreffend zijn om gebruikers te misleiden (Anoniem, 2014).
3.3.7 Soorten phishing bij financiële instellingen in Nederland versus Belgische overheid Beide sectoren worden door dezelfde vormen van phishing getroffen: e-mailphishing, spear-phishing, telefoonphishing en malware-based phishing. Bij de Belgische overheid is er geen gewag gemaakt van multichannel phishing, waarbij meerdere vormen van phishing gebruikt worden om de slachtoffers in de val te lokken. Eén Nederlands financiële instelling gaf aan hier meer en meer last van te ondervinden (Dreijer, 2012).
37/110
Resultaten van het onderzoek
3.4 L3/E2 - Hoe vaak komt phishing voor? Moore, Clayton, and Anderson (2009) stelden vast dat het niet eenvoudig is om juiste cijfers te bekomen over online criminaliteit. Het probleem is dat veel cijfermateriaal over online misdrijven verzameld worden door organisaties die baat hebben bij het rapporteren van erg hoge of erg lage cijfers. Anti-phishingorganisaties hebben de neiging om de cijfers hoog in te schatten omdat dit hun bestaansreden onderstreept en omdat potentiële klanten sneller geneigd zullen zijn antiphishingdiensten af te nemen. De overheid daarentegen geeft liever lage cijfers weer omdat dit hun anti-phishingbeleid niet in vraag stelt. In het Verenigd Koninkrijk is men zelfs zover gegaan dat online fraude gevallen niet meer aan de politie dienden gemeld te worden maar aan de betrokken bank. Door deze wijziging in de regels daalden de cijfers van cybercriminaliteit spectaculair (Moore et al., 2009). De vraag: “Hoe vaak komt phishing voor?” wordt grotendeels beantwoord met behulp van secundaire gegevens. Wetenschappelijke artikelen gebruiken vaak de gegevens van de Anti-Phishing Working Group (APWG) of van een aantal particuliere beveiligingsfirma’s, zoals RSA (Khonji et al., 2013) en Symantec (Ramzan, 2010). De cijfers die hier gebruikt zijn om een beeld te schetsen hoe vaak het fenomeen phishing voorkomt, zijn ingewonnen bij de APWG en de cybersecurityfirma Symantec. Het schaarse cijfermateriaal van phishing bij de Belgische overheid is ook in deze paragraaf weergegeven.
3.4.1 Cijfers van de APWG (niet-wetenschappelijke bron) De Anti-Phishing Working Group is een internationaal initiatief dat gestart is in 200320. De APWG is een wereldwijde coalitie die een globaal antwoord wil bieden tegen sectoroverschrijdende cybercriminaliteit. Deze organisatie opereert vanuit de Verenigde Staten, maar heeft sinds 2013 ook een vestiging in de Europese Unie gevestigd in Barcelona. De APWG organiseert symposia over cybercriminaliteit, zij doet onderzoek naar trends en frequentie van cybercriminaliteit en zij publiceert rapporten over cybercriminaliteit (Anti-Phishing Work Group Inc, 2014). Daarnaast worden de gegevens die de APWG verzamelt ook doorgegeven naar browserontwikkelaars en cybersecurityfirma’s zodat zij maatregelen tegen phishing kunnen inbouwen in hun software; zoals bijvoorbeeld blacklists van phishingsites. Het APWG geeft geen verklaringen voor stijgingen of dalingen in het aantal meldingen van phishing. CIJFERS OVER PHISHING VOOR ALLE SECTOREN. Figuur 8 geeft een overzicht van het aantal meldingen per maand van phishing wereldwijd die gerapporteerd zijn aan de APWG in de periode oktober 2004 tot december 2013. Uit deze figuur kan afgeleid worden dat het aantal phishingmeldingen een duidelijk stijgende trend heeft over deze periode.
20 Leden van de
APWG zijn onder meer ICANN; de EU, the Council of Europe's Convention on Cybercrime, the United Nations Office of Drugs and Crime, the Organization for Security and Cooperation in Europe and the Organization of American States, Symantec, BitDefender, VISA, Mastercard, American Bankers Association … (Anti-Phishing Work Group Inc, 2014).
38/110
Resultaten van het onderzoek
60000 50000 40000 30000 20000 10000 10/2013
06/2013
02/2013
10/2012
06/2012
02/2012
10/2011
06/2011
02/2011
10/2010
06/2010
02/2010
10/2009
06/2009
02/2009
10/2008
06/2008
02/2008
10/2007
06/2007
02/2007
10/2006
06/2006
02/2006
10/2005
06/2005
02/2005
10/2004
0
Figuur 8: Aantal phishingmeldingen gerapporteerd aan de APWG over de periode oktober 2004 - december 2013 wereldwijd, met een trendlijn aangegeven door een stippellijn (APWG, 2014)
MEEST GETROFFEN SECTOR De APWG geeft in haar rapporten ook aan welke sector het meest beoogde doelwit is van phishingaanvallen. In de rapporten van voor het jaar 2010 was er enkel sprake van de sector ‘Financial services’. Vanaf het jaar 2010 wordt deze sector opgedeeld in de sectoren ‘Financial services’ en ‘Payment services’. In Figuur 9 zijn de sectoren ‘Financial services’ en ‘Payment services’ voor de periode na 2010 samengeteld om een trend te kunnen aangeven over de periode vanaf augustus 2004 tot december 2013. Sinds de metingen gestart zijn in augustus 2004, is de sector ‘Financial services’ onafgebroken het belangrijkste doelwit van phishers. Figuur 9 geeft een overzicht van het aandeel van de sector ‘Financial services’ (uitgedrukt in percentages) in de totaal van de getroffen sectoren. Figuur 9 geeft aan dat vanaf augustus 2004 tot en met juni 2009 meer dan 90% van de phishingmeldingen afkomstig waren van de sector ‘Financial services’. Vanaf juli 2009 is er een daling merkbaar die uitmondt in het laagste aandeel in het eerste kwartaal van 2012, minder dan 60%. In deze periode is het aandeel van de sectoren ‘Retail services’ (13,6%), ‘Social Networking’ (6%) en de sector ‘Others’(7.1%) uitzonderlijk hoog. Het aandeel van de sector ‘Financial services’ stijgt dan terug geleidelijk tot meer dan 80% in het laatste kwartaal van 2013. Het aandeel van de sector overheid is beduidend kleiner en wordt weergegeven in Figuur 11.
12/2013
08/2013
04/2013
12/2012
08/2012
04/2012
12/2011
08/2011
04/2011
12/2010
08/2010
04/2010
12/2009
08/2009
04/2009
12/2008
08/2008
04/2008
12/2007
08/2007
04/2007
12/2006
08/2006
04/2006
12/2005
08/2005
04/2005
12/2004
08/2004
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%
Figuur 9: Overzicht van het aandeel phishingsites die gericht waren tegen de sector ‘Financial services’ tijdens de periode oktober 2004 - december 2013 (APWG, 2014)
39/110
Resultaten van het onderzoek
LAND WAAR DE MEESTE PHISHINGSITES GEHOST WORDEN De APWG geeft ook aan welk land iedere maand het meeste aantal phishingsites herbergt. De periode vanaf augustus 2004 tot en met december 2013 bestaat uit 113 maanden. De Verenigde Staten zijn 106 keren het land met de meeste phishingsites. Zweden komt op de tweede plaats met 5 keren, gevolgd door China en Turkije met 1 keer.
VS
Sweden
China
Turkey
Figuur 10: Overzicht van het aandeel van landen die gedurende de periode augustus 2004 – december 2013 voor een bepaalde maand het hoogste aantal phishingsites hosten (APWG, 2014)
OVERHEIDSSECTOR De informatisering van de maatschappij heeft ertoe bijgedragen dat steeds meer diensten aangeboden worden via het internet. Naast financiële transacties worden ook meer en meer diensten van de overheid via het internet ontsloten (Khonji et al., 2013). Oh and Obi (2012) maken zich zorgen dat samen met de groei van de e-government, het aantal phishingaanvallen met valse overheidsgegevens toeneemt, maar ze geven geen cijfers. In de rapporten van de APWG wordt de overheidssector (wereldwijd) tot april 2007 niet apart benoemd, maar maakt deze deel uit van de sector ‘Others’. Vanaf april 2007 wordt de sector ‘Others’ herdoopt tot ‘Government and Miscellaneous’. De cijfers die onder de sectoren ‘Others’ en ‘Government and Miscellaneous’ vallen, zijn niet mee opgenomen in Figuur 11 omdat het aandeel van de sector overheid niet af te leiden is. Het is pas vanaf april 2010 dat de overheid als een apart sector in de rapporten van de APWG opgenomen wordt.
12/2013
10/2013
08/2013
06/2013
04/2013
02/2013
12/2012
10/2012
08/2012
06/2012
0,0% 04/2012
0 02/2012
0,5% 12/2011
200 10/2011
1,0%
08/2011
400
06/2011
1,5%
04/2011
600
02/2011
2,0%
12/2010
800
10/2010
2,5%
08/2010
1000
06/2010
3,0%
04/2010
1200
Figuur 11: In het grijs het aantal phishingmeldingen gerapporteerd aan de APWG over de periode april 2010 - december 2013, specifiek gericht tegen de overheid (linker Y-as), met de trendlijn in stippellijn. In het blauw het aandeel van phishingaanvallen gericht tegen de sector overheid uitgedrukt als een percentage van het totaal aantal aanvallen
Figuur 12 toont het totale aantal meldingen van phishing bij de APWG op de linker Y-as en het aantal meldingen van phishing tegen de overheid op de rechter Y-as. De trendlijnen van beide curves geven aan dat gemiddeld genomen het aantal meldingen van phishingaanvallen tegen de overheid even snel
40/110
Resultaten van het onderzoek
toeneemt als het totaal aantal meldingen van phishingaanvallen. De rode curve (totaal aantal meldingen) heeft een minder grillig verloop dan de grijze curve (meldingen van phishing tegen overheid) wat erop wijst dat de overheid als doelwit op bepaalde ogenblikken aantrekkelijker is voor phishers dan op andere ogenblikken. Het totaal aantal meldingen is stabieler en kent minder grote schommelingen. 60000
1200
50000
1000
40000
800
30000
600
20000
400
10000
200 12/2013
10/2013
08/2013
06/2013
04/2013
02/2013
12/2012
10/2012
08/2012
06/2012
04/2012
02/2012
12/2011
10/2011
08/2011
06/2011
04/2011
02/2011
12/2010
10/2010
08/2010
06/2010
0 04/2010
0
Figuur 12: In het rood (linker Y-as) het totale aantal gemelde phishingaanvallen tijdens de periode april 2010 - december 2013 met de trendlijn in stippellijn. In het grijs (rechter Y-as) het aantal unieke phishingaanvallen gericht tegen de overheid, gerapporteerd aan de APWG voor dezelfde periode met de trendlijn in stippellijn (APWG, 2014)
3.4.2 Cijfers van Symantec (niet-wetenschappelijke bron) Symantec is een onderneming gespecialiseerd in cyberbeveiliging. Jaarlijks brengt zij een rapport uit dat de trends van cybermisdaden van het voorbije jaar weergeeft. Dit rapport is gebaseerd op het Global Intelligence Network van Symantec waarbij zij gebruik maken van 41,5 miljoen aanval sensoren die opgesteld staan in meer dan 157 landen. Symantec maakt ook gebruik van meer dan 5 miljoen lokaccounts om trends in spam, phishing en malware te kunnen registeren (Symantec, 2014). PHISHING Symantec (2014) geeft aan dat phishing meer en meer weg aan het evolueren is van het gebruik van een op e-mail gebaseerde phishingboodschap naar een op een sociaal medium geplaatste boodschap. Niettegenstaande deze tendens blijkt dat de gemiddelde phishing ratio21 per maand gestegen is van 1 / 414,3 in 2012 naar 1 / 392,4 in 2013 (Figuur 13).
21
De phishing ratio drukt uit per hoeveel mails er minimaal één phishing mail zit.
41/110
Resultaten van het onderzoek
Figuur 13: De evolutie van de phishing ratio tussen 2012 – 2013 (Symantec, 2014)
SPEAR-PHISHING Symantec (2014) wijdt in het rapport uit over de evolutie die merkbaar is in het spear-phishing. Spearphishing wordt meer en meer door hackers op een andere manier toegepast. Het aantal e-mails, gebruikt in een spear-phishing campagne, is gedaald, net als het aantal doelwitten, maar het aantal spear-phishing campagnes is gestegen met 91%. Het aantal gedetecteerde spear-phishingmails per dag is gedaald van 116 in 2012 naar 83 in 2013, een vermindering met 28% (Figuur 14). Het gemiddeld aantal doelwitten per campagne was in 2011 61, in 2012 111 en in 2013 23. De gemiddelde duur van een spear-phishing campagne in 2013 is verdrievoudigd ten opzichte van 2012 tot gemiddeld 8 dagen per campagne. Er wordt gesproken over een ‘low and slow’ aanpak die erop gericht is de slachtoffers niet te snel te alarmeren door teveel boodschappen op een te korte tijd te sturen. Cybercriminelen misbruiken ook steeds meer ‘zero-day’-aanvallen22. Deze aanvallen hebben de voorkeur op social engineering omdat de hacker niet meer afhankelijk is van de medewerking van het slachtoffer om diens computer te besmetten. De zero-day-aanval wordt dan gecombineerd met een ‘watering-hole’aanval23. Op die manier vermijden de hackers dat anti-phishingtechnologie hun aanvallen tegenhouden.
22
Een zero-day-aanval is een aanval die misbruik maakt van een voorheen niet gekende kwetsbaarheid in een computer applicatie of een computer systeem. De naam zero-day duidt op het feit dat de ontwikkelaars, verantwoordelijk voor de computer applicatie of het computer systeem, nog geen tijd gehad hebben om de kwetsbaarheid op te lossen (Jason Hong, 2013). 23
Een 'watering-hole'-aanval is een vorm van gerichte aanval tegen een regio, een groep of een organisatie. Deze aanval is opgebouwd uit drie fasen. In de eerste fase worden de gewoontes van het doelwit geobserveerd. Het doel is om een gemeenschappelijke locatie (in brede zin van het woord) te vinden die één of meer leden van het doelwit frequenteren. Deze locatie wordt omschreven als de 'watering-hole'. In stap twee wordt er malware ingebouwd in de 'watering-hole'-systemen of 'watering-hole'-locaties. De derde stap bestaat uit het wachten op leden van het doelwit tot zij zich naar de met malware vergiftigde 'watering-hole' begeven en vervolgens met de malware geïnfecteerd worden. De naam van deze vorm van cybercriminaliteit is afgeleid van het concept om dierenpopulaties uit te roeien door hun primaire waterbron te vergiftigen (Stewart, 2014).
42/110
Resultaten van het onderzoek
Figuur 14: Gemiddeld aantal spear-phishingaanvallen per dag in de periode 2011 – 2013 (Symantec, 2014)
OVERHEID Symantec (2014) heeft vastgesteld dat de overheid in 16% van de gevallen het doelwit van spearphishingaanvallen was in 2013, daar waar dit in 2012 maar in 12% van de gevallen zo was.
3.4.3 Aantal phishingmeldingen tegen de Belgische overheid Zoals reeds aangegeven in paragraaf 2.4.3 is de antwoordbereidheid van de Belgische overheidsinstellingen zeer laag. Daarnaast worden er bijna geen cijfers vrijgegeven over cyberincidenten in het algemeen en phishing in het bijzonder. De antwoorden op de parlementaire vragen (zie bijlage I) over de beschikbaarheid van cijfermateriaal zijn een illustratie van het probleem. Het CERT publiceert cijfers, maar deze zijn vrij algemeen en het is niet zeker dat alle cyberincidenten in België daarin vervat zitten. De federale politie geeft in haar jaarverslag een idee van het aantal dossiers die opgesteld en vervolgd worden met betrekking tot computercriminaliteit. PARLEMENTAIRE VRAGEN Nele Lijnen heeft in een reeks parlementaire vragen de volgende vraag gesteld aan de bevoegde ministers en staatssecretarissen: “Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien niet, waarom worden hierover geen cijfers verzameld?” (Lijnen N., 2013a). De antwoorden op deze vraag zijn weergegeven in Tabel 18 in bijlage I. Van de 39 afdelingen beschikken er 25 over cijfermateriaal over cyberincidenten (in de eigen afdeling of via een externe dienst). Daarnaast zijn er nog 9 afdelingen die aangeven dat zij gedeeltelijk over cijfers beschikken, meestal in de vorm van logbestanden. Slechts 7 afdelingen geven cijfers vrij, maar deze zijn vaag omschreven en meestal gaat het enkel over virusdetecties. Er kan gesteld worden dat op basis van de cijfers die de verschillende overheidsdiensten hebben, geen duidelijk, gecoördineerd beleid uitgebouwd kan worden. Niet iedere afdeling verzamelt cijfers en de cijfers die beschikbaar zijn, zijn zo eigen aan iedere afdeling dat ze niet samengebracht kunnen worden om een beeld te krijgen van de situatie over alle overheidsdiensten heen. In een andere parlementaire vraag van Nele Lijnen (Lijnen N., 2014) met nummer 5-9393 wordt aangegeven dat de Stafdienst ICT van de Federale Overheidsdienst Justitie over een absoluut minimum aan personeel beschikt op operationeel, tactisch en beleidsmatig niveau. Er is enkel een intern meldpunt opgericht om cyberincidenten te melden. Dit interne meldpunt blijkt in de periode december 2012 – januari 2014 duizend meldingen van phishingmails te hebben ontvangen.
43/110
Resultaten van het onderzoek
Wanneer politica Nele Lijnen (Lijnen N., 2013c) vraagt naar cijfermateriaal over het aantal meldingen van phishing in het incident bij de Rijksdienst voor Kinderbijslag voor Werknemers (zie paragraaf 3.5.3), wordt deze vraag met een ‘kastje naar de muur’ antwoord afgewimpeld. Er wordt verwezen naar het FedICT en daarmee is de kous af. CERT CERT.be publiceert sinds 2010 een overzicht van het aantal meldingen van cybercriminaliteit die zij ontvangen en de daarmee verbonden incidenten. In dit rapport worden enkel de meldingen door personen opgenomen. Er wordt geen onderscheid gemaakt tussen de verschillenden sectoren die getroffen zijn. Er wordt evenmin een onderscheid gemaakt tussen verschillende soorten van phishing. Tabel 12 en Figuur 15 geven de cijfers weer van het CERT (2014) voor de periode 2010 - 2013. Het aantal meldingen van cybercriminaliteit aan het CERT blijft stijgen met meer dan een verdrievoudiging van 2010 tot 2013. Dezelfde trend is merkbaar bij het aantal incidenten over dezelfde periode. Het aandeel phishing van de incidenten is van 2010 tot 2013 bijna verdubbeld. In dezelfde periode is het aantal phishingincidenten meer dan vervijfvoudigd. Een mogelijke verklaring voor deze dramatische stijgingen is het feit dat mensen in België meer op de hoogte zijn van cybercriminaliteit en daardoor meer meldingen doen. Een andere verklaring zou kunnen zijn dat het aantal cyberincidenten gewoon jaar na jaar toeneemt in België. Een derde verklaring zou kunnen zijn dat het aantal diensten die aangeboden worden via het internet toegenomen is en dat daardoor meer mensen blootgesteld worden aan phishing en dit dan melden. Jaartal 2010 2011 2012 2013 Aantal meldingen 2135 2609 3866 6678 Aantal incidenten 1389 1494 1981 4070 Aantal phishingincidenten 111 220 337 692 Percentage phishingincidenten 8,0 14,7 17,0 14,0 Tabel 12: Overzicht van het aantal meldingen, incidenten en het aandeel phishing in de incidenten (CERT.be, 2014)
4500
18,0
4000
16,0
3500
14,0
3000
12,0
2500
10,0
2000
8,0
1500
6,0
1000
4,0
500
2,0
0
2010 Aantal incidenten
2011 Aantal phishing incidenten
2012
2013 Percentage phishing incidenten
Figuur 15: In het rood (linker Y-as) het totale aantal cyberincidenten in België tijdens de periode 2010 – 2013. In het blauw (linker Y-as) het aantal phishingincidenten in België tijdens de periode 2010 – 2013. In het grijs (rechter Y-as) het percentage phishingincidenten van het totale aantal cyberincidenten over de periode 2010 – 2013 (CERT.be, 2014)
44/110
Resultaten van het onderzoek
FEDERALE POLITIE Het jaarverslag van de Federale politie over computer criminaliteit geeft een beeld over de vervolging van computer criminaliteit in zijn geheel (zie Tabel 13). Computer criminaliteit wordt in het jaarverslag omschreven als: “De aanslagen op de veiligheid van een informaticasysteem of de integriteit van de in een informaticasysteem opgeslagen gegevens”. Phishing wordt niet apart benoemd. 2012 Aantal nieuw opgestarte onderzoeken 241 Aantal lopende onderzoeken 154 Aantal afgesloten onderzoeken 74 Aantal geïdentificeerde dadergroepen 7 Aantal aanhoudingen 15 Tabel 13: Cijfers over computer criminaliteit uit het jaarverslag van de federale politie (2013)
2013 239 268 69 0 37
Als de cijfers van het CERT vergeleken worden met de cijfers uit het jaarverslag van de federale politie dan blijkt dat de verhouding tussen het aantal incidenten en het aantal nieuw opgestarte onderzoeken ongeveer een factor 10 is. Dit kan vermoedelijk verklaard worden door het feit dat de federale politie voornamelijk Belgisch gerelateerde cybermisdaden zal vervolgen, daar waar het CERT ook meldingen ontvangt van internationale cybermisdaden.
3.4.4 Aantal phishingmeldingen en misleidende technieken per soort bij de Belgische overheid De overheidsinstellingen die over deze informatie beschikken hebben niet gereageerd op het verzoek tot deelname aan het onderzoek. Daarnaast worden er nagenoeg geen cijfers publiek gepubliceerd door deze instellingen. De geïnterviewde politici geven aan dat ook zij niet over deze informatie beschikken, ondanks het herhaaldelijk indienen van parlementaire vragen om deze cijfers te bekomen. Er kunnen dus geen cijfers gegeven worden over het aantal phishingincidenten per soort.
3.4.5 Trend in het aantal phishingmeldingen bij de Belgische overheid Uit de cijfers van het CERT blijkt dat er een stijgende trend is in het aantal phishingincidenten. Er zijn geen cijfers publiek beschikbaar over de trend van het aantal phishinggevallen bij de overheid. Eén respondent geeft aan dat de trend binnen zijn instelling stijgend is (Anoniem, 2014). Een andere trend is de professionalisering van de criminelen. Vroeger werden de slachtoffers in gebrekkig Engels gebeld of gemaild, maar de huidige phishingmails zijn in keurig Nederlands en slachtoffers worden in vrij goed Nederlands te woord gestaan door phishers (Lijnen N & Bynens L, 2014).
3.4.6 Wijze van registratie van phishingmeldingen bij de Belgische overheid HUIDIGE SITUATIE Er blijken twee systemen van registratie toegepast te worden. Het eerste systeem is het registeren van cyberincidenten via de interne helpdesk (Anoniem, 2014), (Lijnen N., 2013a). Een tweede systeem steunt op een centrale meldplaats, dat de verschillende administraties overstijgt. In een vergelijkende studie over de maatregelen die genomen worden door de verschillende landen van de EU tegen identity theft en gerelateerde misdrijven blijkt dat België een centraal meldpunt heeft: The eCops reporting site (www.ecops.be) acts as a single contact point, through which any Internet-based crime incidents can be reported using standardised forms. Reports submitted via the site are automatically transferred to the Federal Computer Crime Unit (FCCU). The eCops site is primary aimed at allowing citizens to report Internet crime that they
45/110
Resultaten van het onderzoek
have observed but of which they were not the victims. Victims of identity theft and related crimes are recommended to contact their local police office directly. (Robinson N, Graux H, Parrilli DM, Klautzer L, & Valeri L, 2011) Sommige overheidsadministraties gebruiken deze centrale meldplaats. Het ministerie van Financiën stelt in haar antwoord op parlementaire vraag 5-9909 (Lijnen N., 2014): “In enkele gevallen, en in het bijzonder in het geval van phishing, werd contact opgenomen met de federale politie om het waargenomen feit te signaleren. Deze contacten vinden plaats op diverse manieren: via de website www.ecops.be of via direct contact met de agenten van de FCCU.” Het grote probleem is dat er geen verplichting bestaat in België om cyberincidenten aan een centraal orgaan te melden. Dit maakt het nagenoeg onmogelijk om alle cyberincidenten en dus ook phishingincidenten te registreren (Dedecker P., 2014), (Van Hecke S., 2014). Een voorbeeld hiervan blijkt uit het antwoord op parlementaire vraag nummer 5-10266 (Lijnen N., 2013c) over het phishingincident bij de Rijksdienst voor Kinderbijslag voor Werknemers (zie paragraaf 3.5.3). Het persbericht, dat verstuurd is om de mensen te waarschuwen, vermeldde niets over het verwittigen van CERT, de politie of betrokken veiligheidsdiensten bij het ontvangen van phishingmails vanuit de Rijksdienst voor Kinderbijslag voor Werknemers. VERBETERINGEN NAAR DE TOEKOMST TOE CD&V is voorstander om de meldplicht van veiligheidsincidenten uit te breiden naar alle sectoren en het toezicht hierop te verstrengen. Wanneer iemands privacy te grabbel is gegooid, heeft hij of zij het recht geïnformeerd te worden zodanig dat hij of zij maatregelen kan nemen. Ondernemingen wensen geïnformeerd te worden om hun knowhow te beschermen (Desey R & Scharpé W, 2014). CD&V haalt aan dat een algemene meldplicht van datalekken reeds in voege is in Duitsland (2009), Oostenrijk (2010), Canada, Australia en in bijna alle staten in de VS. In het wetsvoorstel (Becq S, Lanjri N, Van Den Bergh J, & Van der Auwera L, 2011) wordt voorgesteld om de meldingsplicht via de Commissie voor de Bescherming Van de Persoonlijke Levenssfeer te regelen: Artikel 14: Wanneer gevoelige persoonsgegevens met betrekking tot gezondheid, politieke voorkeur, seksueel leven, religie, vervolgingen of veroordelingen alsook authentificatiegegevens (sic) (paswoorden) en gegevens die vallen onder beroepsgeheim gestolen worden en er ernstige schade dreigt voor de betrokkenen, dient de CBPL alsook de betrokkene onverwijld ingelicht te worden . Peter Dedecker geeft ook aan dat er op Europees niveau stemmen opgaan om de meldingsplicht algemeen voor heel de EU in te stellen (2014).
46/110
Resultaten van het onderzoek
3.5 L4/E3 - Wat zijn de gevolgen van phishing? Moore, Clayton, and Anderson (2009) stelden vast dat het niet eenvoudig is om juiste cijfers te bekomen over online criminaliteit. Het probleem is dat veel cijfermateriaal over online misdrijven verzameld worden door organisaties die baat hebben bij het rapporteren van erg hoge of erg lage cijfers. Anti-phishingorganisaties hebben de neiging om de cijfers hoog in te schatten omdat dit hun bestaansreden onderstreept en omdat potentiële klanten sneller geneigd zullen zijn antiphishingdiensten af te nemen. De overheid daarentegen geeft liever lage cijfers weer omdat dit hun anti-phishingbeleid niet in vraag stelt. In het Verenigd Koninkrijk is men zelfs zover gegaan dat online fraude gevallen niet meer aan de politie dienden gemeld te worden maar aan de betrokken bank. Door deze wijziging in de regels daalden de cijfers van cybercriminaliteit spectaculair (Moore et al., 2009). In onderstaande paragrafen worden de gevolgen van phishing uitgedrukt in cijfers en in vormen van schade.
3.5.1 Gevolgen in cijfers IDENTITEITSDIEFSTAL (IDENTITY THEFT) In 2011 werden 232 miljoen identiteiten wereldwijd gestolen door cybercriminelen. Dit cijfer loopt op tot meer dan 552 miljoen in 2013. Deze cijfers slaan op alle vormen van cybermisdaad waarbij phishing slechts een onderdeel vormt van het geheel. Met een identiteit worden volgende dingen bedoeld: kredietkaartinformatie, geboortedata, eID gegevens, thuisadressen, medische gegevens, telefoonnummers, financiële informatie, e-mail adressen, paswoorden … (Symantec, 2014). FINANCIËLE VERLIEZEN De financiële schade veroorzaakt door phishing in de Verenigde Staten bedroeg 483 miljoen dollar in 2009 (CustomerReport.org, 2009). De impact van phishing op de globale economie in 2012 wordt geschat op een kost van meer dan 1,5 miljard dollar (EMC - RSA, 2013). Dit bedrag stijgt tot meer dan 5,9 miljard dollar in 2013 (EMC - RSA Corporation, 2014).
3.5.2 Schade PERSOONLIJKE SCHADE - IDENTITEITSDIEFSTAL Tijdverlies en een verhoogd stressniveau behoren tot de onmiddellijke persoonlijke schade als gevolg van phishing. Op lange termijn zal de persoonlijke schade zich manifesteren onder de vorm van een verminderd vertrouwen in het gebruik van het internet om online bankzaken te doen, om te shoppen of om gebruik te maken van andere vormen van e-commerce. Het verlies van vertrouwelijke persoonlijke informatie kan grote gevolgen hebben in de toekomst, zoals een negatieve impact op bankrekeningen (verlies van geld) en het misbruiken van de identiteit (Mayhorn & Nyeste, 2012). REPUTATIESCHADE Reputatieschade is een gevolg van phishing voor de onderneming wiens naam misbruikt wordt in de phishingboodschap. De onderneming kan geconfronteerd worden met niet-technisch onderlegde klanten die ervan uit gaan dat het niet hun schuld maar de schuld van de onderneming is en die daarvoor een compensatie eisen. Dit zal de relatie tussen de klant en de onderneming onder druk zetten. Klanten zullen ook een minder veilig gevoel hebben bij het gebruik van het internet om te communiceren met de onderneming en kunnen zelfs naar de concurrentie overstappen. Het wordt voor de onderneming ook moeilijker om met de klanten te communiceren, want een aantal klanten zal uit angst niet meer reageren op legitieme berichten die verstuurd zijn via elektronische kanalen (Ramzan, 2010).
47/110
Resultaten van het onderzoek
GEVOLGEN VOOR DE OVERHEID De overheid zet steeds meer in op e-government om haar diensten tot bij haar onderdanen te brengen. Met deze beweging komt ook een verantwoordelijkheid om deze diensten, die gestoeld zijn op informatie technologie, zo goed mogelijk te beveiligen. Effectief beveiligde overheidsdiensten vereisen proactieve IT-governance en een robuuste infrastructuur opdat de diensten die worden beschouwd als een privéaangelegenheid zoals werkgelegenheid, onderwijs, militaire dienst, belastingen en gezondheidszorg met behulp van elektronische administratieve transacties op een veilige manier kunnen afgehandeld worden. Een enquête bij Europese en Amerikaanse burgers gaf aan dat de burgers het e-governmentplatform voornamelijk gebruiken om zich toegang te verschaffen tot medische informatie. Deze gebruikers gaven aan dat de bescherming van hun persoonlijke (medische) informatie hun belangrijkste bezorgdheid is (Oh & Obi, 2012). Het succes en de acceptatie van ‘web services’, aangeboden door de overheid, zijn afhankelijk van de bereidheid van gebruikers om die diensten te gebruiken. Deze bereidheid is verbonden met het feit of gebruikers een gevoel van veiligheid hebben wanneer ze de diensten en de onderliggende technologie gebruiken. Gebruikers moeten ervan overtuigd zijn dat de overheid ervoor zorgt dat gebruikers op een veilige manier persoonlijke data kunnen verzenden over een onpersoonlijk medium (Oh & Obi, 2012). Het verschil tussen private ondernemingen en de overheid is het feit dat de overheid geen concurrentie heeft. Tussen commerciële ondernemingen speelt concurrentie en dit zorgt dat het kaf van het koren gescheiden wordt, ook op het vlak van online beveiliging. Een onderneming wiens data online uitlekt, zal daarvoor commercieel afgestraft worden en kan zelfs failliet gaan. De overheid kan niet failliet gaan, maar enkel reputatieschade oplopen en het vertrouwen van de burger kwijtspelen (Oh & Obi, 2012). Het gebeurt steeds vaker dat de overheid de burgers verplicht om een bepaalde vorm van egovernment te gebruiken om kosten te besparen of om efficiëntiewinsten te boeken (bijvoorbeeld het indienen van een belastingaangifte via het web). Door het verplichtend karakter van deze diensten blijken de gebruikers veel minder oplettend te zijn met betrekking tot de boodschappen die zij van de overheid of een vervalste overheid (phishingboodschap) ontvangen. Oh and Obi (2012) maken zich zorgen dat het toenemend gebruik van webservices door de overheid, die phishers zal voorzien van nieuw doelwitten, met name de overheidsdiensten.
3.5.3 Phishingincidenten bij de Belgische overheid Er wordt door alle respondenten verwezen naar twee zware security-incidenten waarbij enerzijds Belgacom International Carrier Services (BICS) en anderzijds het ministerie van buitenlandse zaken het doelwit was (Dedecker P., 2014), (Van Hecke S., 2014). Het eerste incident trad op bij het telecombedrijf Belgacom. Belgacom is voor 53,51% in handen van de Belgische staat. In principe heeft de staat als hoofdaandeelhouder niet rechtstreeks te maken met het dagelijks bestuur van het bedrijf. Toen in september 2013 aan het licht kwam dat BICS gehackt was, werd dit een vlek op het blazoen van de Belgische staat. De klantenlijst van BICS spreekt tot de verbeelding: Swift, de NAVO, de Europese commissie, het Europees parlement, SHAPE (Supreme Headquarters Allied Powers Europe). In eerste instantie dacht men dat het voornamelijk te doen was om het onderscheppen van communicaties in het Midden-Oosten, maar verder onderzoek gaf aan dat alle verkeer onderschept is. Het bleek om een erg gesofistikeerde vorm van malware te gaan, vermoedelijk state-sponsored. Onthullingen van Edward Snowden wezen in de richting van NSA vanuit de VS via de Britse inlichtingendienst. Waarschijnlijk is de malware via een phishingaanval, die gebaseerd was op een valse LinkedIn pagina, geïnjecteerd. Het heeft maanden geduurd om de
48/110
Resultaten van het onderzoek
malware te verwijderen. Het doel van deze aanval was om via het onderscheppen van communicaties, strategische informatie te verzamelen (Dedecker P., 2014), (Lijnen N & Bynens L, 2014), (Van Hecke S., 2014). Het tweede incident was bij het ministerie van buitenlandse zaken. In mei 2014 is het ministerie van buitenlandse zaken het slachtoffer geworden van een hackingaanval gebaseerd op een virus (Snake). Deze aanval kwam vermoedelijk uit Rusland. Mogelijk was deze erop gericht vertrouwelijke diplomatieke informatie aangaande Oekraïne te ontvreemden. De wijze waarop het virus is geïnitieerd is niet bekend maar phishing wordt niet uitgesloten. De gevolgen van zo'n aanval kunnen heel verstrekkend zijn. Zo beschikt Buitenlandse Zaken over informanten wiens identiteit absoluut vertrouwelijk is. Indien deze informatie in verkeerde handen valt, kunnen mensenlevens in gevaar zijn (Dedecker P., 2014), (Lijnen N & Bynens L, 2014) (Van Hecke S., 2014). Stefaan Van Hecke (2014) voegt hier nog aan toe dat deze twee incidenten vermoedelijk slechts het topje van de ijsberg betreft. De kans is reëel dat andere ministeries en administraties ook het doelwit zijn geweest van phishing. Zijn bewering wordt gestaafd door de parlementaire vragen van Nele Lijnen over phishing bij de Rijksdienst voor Kinderbijslag voor Werknemers en over de phishingmail verstuurd met het logo en het adres van de Belgische fiscus. Politica Nele Lijnen (Open VLD) gaat in haar parlementaire vraag (Lijnen N., 2013c) met nummer 510266 in op een phishingincident bij de Rijksdienst voor Kinderbijslag voor Werknemers. Gezinnen bleken phishingmails te krijgen van het kinderbijslagfonds waarin gemeld werd dat zij een bepaald bedrag van het kinderbijslagfonds konden krijgen. Zij dienden hiervoor op een link te klikken en in de site achter die link de bankgegevens in te vullen. Uit de phishingmails bleek dat de criminelen zich op een specifiek publiek richtten. Er is duidelijk sprake van een spear-phishingaanval die als doel had de bankgegevens van de slachtoffers te bemachtigen. Uit parlementaire vraag nummer 5-8976 (Lijnen N., 2013b) blijkt dat een aantal belastingplichtige Belgen het slachtoffer is geworden van phishingmails afkomstig van
[email protected]. De belastingplichtige werd gelokt met het vooruitzicht om een som geld terug te krijgen van de fiscus. Om deze som geld te verkrijgen diende het slachtoffer een formulier in te vullen met zijn of haar bankrekeninggegevens. Wanneer het slachtoffer klaar was met invullen werd de gebruiker doorgelinkt naar de echte website van het FOD Financiën. Het doel was via een legitiem lijkend bericht van de fiscus de bankgegevens van de slachtoffers te ontvreemden.
3.5.4 Impact van phishing op diensten en onderdelen van de Belgische overheid Peter Dedecker (2014) vindt dat de aanval op buitenlandse zaken mogelijk mensenlevens in gevaar heeft gebracht. Hij vindt dat dit een blamage is voor dit ministerie en voor België. Het hacking incident met BICS heeft België internationaal op een slechte manier in de aandacht gebracht en kan heel wat schade opgeleverd hebben voor de klanten van BICS. Zo waren er berichten dat een belangrijke klant, de Europese Commissie, afgeluisterd werd. Stefaan Van Hecke (2014) gaat ervan uit dat ook andere administraties last hebben van cyberincidenten en dat dit storend is voor hun dienstverlening. Eén van de gevolgen van het hackingincident bij het ministerie van buitenlandse zaken was dat mensen geen reisdocumenten meer konden aanvragen gedurende een aantal weken (Dedecker P., 2014). BELGIË: TWEE STROMINGEN Peter Dedecker (2014) geeft aan dat er een zeker cultuurverschil bestaat tussen de Nederlandstalige opvatting van informatisering in relatie tot privacy en de Franstalige opvatting in België. De Nederlandstalige parlementsleden in België volgen meer de Angelsaksische lijn met betrekking tot informatisering van de overheid. Zij wensen steeds meer diensten aan te bieden (o.a. RFID, e-
49/110
Resultaten van het onderzoek
government, elektronisch stemmen) aan de burger waarbij er steeds efficiënter gewerkt wordt zonder de privacy uit het oog te verliezen. Dankzij het toepassen van de juiste security maatregelen en technieken wordt de privacy voor dergelijke toepassingen gegarandeerd. Franstalige politici in België hebben het hier door de band genomen moeilijker mee en staan eerder op de rem bij het verder uitrollen van de informatisering van de overheid omdat zij vrezen dat de privacy van de burger sowieso in het gedrang komt, ondanks de security voorzieningen. De Belgische overheid wenst al langer een e-healthsysteem uit te rollen, maar dit loopt niet vlot om tal van redenen24. De Franstalige parlementsleden zijn daar niet voor gewonnen en gebruiken gevaren voor de privacy van de patiënten als argument. Dit is ook merkbaar in de status van informatisering van de huisartsenpraktijken in Vlaanderen en Franstalig België. De Vlaamse huisartsen zijn verbonden met ziekenhuizen en werken met online patiëntendossiers, waar dit bij de Waalse huisartsen bijna niet het geval is. Het Globaal Medisch Dossier kent veel meer succes in Vlaanderen dan in Franstalig België (Dedecker P., 2014). Elektronisch stemmen volgt dezelfde breuklijn. In Vlaanderen wenst men steeds meer elektronisch stemmen te implementeren, waar men in Brussel en Wallonië zweert bij pen en papier uit vrees voor fraude (Dedecker P., 2014). Phishingaanvallen tegen de overheid en cyberincidenten in het algemeen zijn geen goede zaak voor het vertrouwen in verdere informatisering en koren op de molen van elke tegenstander van informatisering, om welke reden dan ook (Dedecker P., 2014).
3.5.5 Directe gevolgen van phishing voor de Belgische overheid Als directe gevolgen van phishing worden diefstal van vertrouwelijke gegevens (Dedecker P., 2014), reputatieschade voor de overheid, informatielekken en ongeoorloofde toegang tot servers (Anoniem, 2014) genoemd.
3.5.6 Indirecte gevolgen van phishing voor de Belgische overheid BELGIË We merken een groeiend wantrouwen van gebruikers tegenover e-mailberichten, dit zijn vooral gebruikers die reeds ervaring hebben met phishingpogingen (Anoniem, 2014). Het wantrouwen in Franstalig België (zie paragraaf 3.5.4) tegenover informatisering wordt versterkt door de onthullingen van Edward Snowden. Het blijkt dat geen enkel informatiesysteem volledig waterdicht is en dat onder andere de Amerikaanse inlichtingendiensten alle informatie kunnen bemachtigen. In België is één van de gevolgen daarvan dat gespecialiseerde politiemensen, die delicate dossiers onderzoeken, niet meer communiceren met elektronische middelen. Deze mensen gebruiken noch email noch een GSM om over delicate dossiers onderling te communiceren. Alles verloopt m.b.v. papier omdat dit de enige mogelijkheid is om zeker te zijn dat ze niet afgeluisterd worden (Van Hecke S., 2014). EUROPESE GEMEENSCHAP In het Eurobarometer rapport van de Europese Commissie parlement werden 26.593 mensen uit de 27 lidstaten geïnterviewd. Het doel van deze interviews was om een beeld te krijgen van
24
Niet alleen politici hebben het soms moeilijk hiermee. Bepaalde ziekenfondsen vrezen ook dat hun monopolie op informatie en toegevoegde waarde in het gedrang komt bij verdere informatisering, waarbij het privacy-argument hen goed van pas komt.
50/110
Resultaten van het onderzoek
verwachtingen en de ervaringen van de Europese burgers met betrekking tot cybersecurityincidenten (TNS Opinion & Social, 2012). Internetgebruikers hebben hun gedrag op verschillende manier aangepast door toedoen van security bezorgdheden (zie Figuur 16). 51% van de respondenten hebben antivirussoftware geïnstalleerd. 43% zal geen e-mails meer openen van onbekende zenders. 37% gaf aan dat ze minder geneigd zijn om persoonlijke informatie in te vullen op websites. Het bleek ook dat meer dan de helft van de ondervraagden (53%) geen enkel van hun online paswoorden veranderd had gedurende het laatste jaar.
Figuur 16: Gedragswijzigingen van internet gebruiken in de EU door toedoen van security bezorgdheden (TNS Opinion & Social, 2012)
Uit de Eurobarometer (zie Figuur 17) blijkt dat het wantrouwen van de Belgische burger ten opzichte van de overheid en haar vermogen om online data van burgers veilig te beheren, nog vrij groot is vergeleken met andere landen. Het wantrouwen tegen de overheid en haar vermogen om veilig met de online informatie van de burger om te gaan, is in 16 landen groter dan in België (TNS Opinion & Social, 2012).
51/110
Resultaten van het onderzoek
Figuur 17: Bezorgdheid dat de overheid persoonlijke informatie niet veilig opslaat en beheert (TNS Opinion & Social, 2012)
De bezorgdheid dat websites op een veilige manier omgaan met persoonlijke gegevens (zie Figuur 18) is in België groter dan in 12 andere Europese landen. België scoort onder het Europese gemiddelde. Een opvallend verschil tussen Figuur 17 en Figuur 18 is de positie van Nederland ten opzicht van België. De bezorgdheid dat de overheid op een veilige manier omgaat met de online gegevens van de burger is in beide landen ongeveer gelijk. Maar in Nederland is er duidelijk minder bezorgdheid over het feit of websites op een veilige manier omgaan met persoonlijke gegevens van klanten.
52/110
Resultaten van het onderzoek
Figuur 18: Bezorgdheid dat websites op een veilige manier omgaan met persoonlijke gegevens (TNS Opinion & Social, 2012)
3.5.7 Doelwit van de phishers: Nederlandse financiële instellingen versus Belgische overheid Uit de resultaten van het onderzoek van Dreijer (2012) blijkt dat het doel van de phishers geldgewin is door het bemachtigen van bankgegevens bij de Nederlands financiële instellingen. Bij de Belgische overheid zijn sommige phishingaanvallen ook gericht op het ontvreemden van bankgegevens van slachtoffers (zie paragraaf 3.5.3) door spoofing van e-mails van Belgische overheidsdiensten. Daarnaast zijn phishingaanvallen, gericht tegen de Belgische overheid, vooral bedoeld om informatie te verkrijgen. Deze informatie kan diplomatiek van aard zijn, beleidsgerelateerd of bestaan uit contactgegevens van bepaalde personen. Phishingaanvallen tegen de Belgische overheid zijn ook vaker ‘state-sponsored’.
53/110
Resultaten van het onderzoek
3.6 L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? In de recente literatuur worden anti-phishingmaatregelen in twee manieren van aanpak onderverdeeld: de gebruikerseducatie en het gebruik van anti-phishingindicatoren, gebaseerd op technische maatregelen (Kirlappos & Sasse, 2012). Khonji et al. (2013) beschrijven dezelfde onderverdeling, maar benoemen de anti-phishingindicatoren als ‘software enhancement’. In Figuur 19 worden de verschillende maatregelen tegen phishing weergegeven die in deze paragraaf besproken worden. Voor de volledigheid zijn ook de juridische maatregelen tegen phishing opgenomen in het literatuuronderzoek, maar deze maken geen deel uit van het empirisch onderzoek. Anti-phishing maatregelen
3.6.1 Gebruikerseducatie (sociale maatregelen)
3.6.8 Anti-phishing indicatoren (technische maatregelen)
3.6.5 Jurische maatregelen
Passieve indicatoren
Actieve indicatoren
Anti-phishing toolbars (browser plug-ins) Client side
Server side
SSL Desktop agenten
E-mail authenticatie
E-mail client verbetering
Web applicatie security
Browser hardening
Two-factor authenticatie
Back-end analysis
Gateway services
Figuur 19: Overzicht van de verschillende anti-phishingmaatregelen
3.6.1 Gebruikerseducatie (sociale maatregelen) Gebruikerseducatie is een heel belangrijke maatregel om gebruikers te leren omgaan met de bedreiging die uitgaat van het fenomeen phishing. Om de impact van phishing te beperken is het belangrijk dat gebruikers getraind worden om phishingboodschappen sneller en juister te identificeren en om de juiste acties te ondernemen met de geïdentificeerde phishingboodschappen (Khonji et al., 2013). De meeste anti-phishing trainingen maken gebruik van een vorm van interactiviteit om de gebruikers te laten ervaren op welke manier een phishingaanval zich manifesteert en hoe misleidend de phishingboodschappen meestal zijn. Die interactiviteit kan bestaan uit: gesimuleerde antiphishingaanvallen, anti-phishingspelletjes (games) en geanimeerde filmpjes met tussenin meerkeuzevragen (Oh & Obi, 2012). Jansson and von Solms (2013) stelden vast in hun onderzoek dat gebruikers de eerste week van de anti-phishingtraining nog onzeker waren, maar dat dat in de loop van de tweede week antiphishingtraining de gebruikers zich veel zekerder voelden om phishingboodschappen te detecteren en de juiste acties te ondernemen. In het onderzoek werd er gebruik gemaakt van gesimuleerde
54/110
Resultaten van het onderzoek
phishingaanvallen en bleek dat de pornografische phishingboodschap het meeste gebruikers misleidde. Mayhorn and Nyeste (2012) gebruikten een spel om één groep gebruikers te trainen in het herkennen van phishingboodschappen en zij testten ook een tweede groep die geen training kreeg in het herkennen van phishingboodschappen. De eerste week na de training was er een groot verschil merkbaar in het herkennen van phishingboodschappen tussen beide groepen. Dit effect verminderde echter in de tweede week na de training en was niet meer statistisch significant. Mayhorn and Nyeste (2012) hebben geen verklaring waarom het verschil tussen beiden groepen zo snel daalde. Dit resultaat is in tegenspraak met de resultaten van Jansson and von Solms (2013). Kirlappos and Sasse (2012) geven aan dat effectieve gebruikerseducatie ervoor dient te zorgen dat: - de (foute) assumpties die gebruikers maken over betrouwbare signalen (bijvoorbeeld een Facebook logo) en de daarbij horende beslissingsprocessen dienen voor de gebruikers inzichtelijk gemaakt te worden; - om vervolgens de juiste inschattingsstrategie aan te leren en de juiste betrouwbare signalen te leren herkennen in een online omgeving.
3.6.2 Sociale maatregelen op maat van de overheid (literatuuronderzoek) Oh and Obi (2012) stellen voor de overheid de volgende maatregel tegen phishing voor: - Gebruikerseducatie (user education) GEBRUIKERSEDUCATIE Uit het onderzoek van Oh and Obi (2012) blijkt dat het sensibiliseren van gebruikers een sleutelmaatregel is tegen phishing gericht tegen de overheid. De overheid dient het nodige educatief materiaal te voorzien om gebruikers op de hoogte te brengen van de bedreiging die uitgaat van phishingaanvallen. Dit educatief materiaal kan bestaan uit geanimeerde filmpjes waarin stap voor stap een phishingaanval wordt uitgelegd of uit online spelletjes die de gebruiker al spelenderwijs vertrouwd maakt met het gevaar van phishing. De overheid dient daarnaast publiciteitscampagnes op te zetten om de aandacht te vestigen op de gevaren van het fenomeen phishing en om het bestaan van het educatief materiaal wereldkundig te maken.
3.6.3 Sociale anti-phishingmaatregelen bij de Belgische overheid (empirisch onderzoek) Uit de antwoorden op een reeks parlementaire vragen blijkt dat er gewerkt wordt aan de bewustmaking van het overheidspersoneel voor de risico’s die gepaard gaan met cybercriminaliteit (Lijnen N., 2013a). Ondanks een aantal initiatieven om het publiek bewust te maken over cybercriminaliteit, scoort België in Europees verband gemiddeld op de vraag of de burgers zich ingelicht voelen over de risico’s van cybercriminaliteit (zie Figuur 20). In vergelijking met bijvoorbeeld Nederland is er nog heel wat werk voor de boeg. PARLEMENTAIRE VRAGEN Nele Lijnen heeft in een reeks parlementaire vragen de volgende vraag gesteld aan de bevoegde ministers en staatssecretarissen: “Wordt het personeel van uw diensten opgeleid om met deze mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden?” (Lijnen N., 2013a). De antwoorden op deze vraag zijn weergegeven in Tabel 19 in bijlage K. Van de 39 afdelingen zijn er 30 afdelingen die hun personeel onderrichten in de manier waarop ze dienen om te gaan met cyberincidenten. Eén afdeling is van plan dit in te richten. Eén afdeling licht enkel het ICT-personeel in en 7 afdelingen lichten hun personeel niet in. Het merendeel van de overheidsadministraties zorgt er
55/110
Resultaten van het onderzoek
dus voor dat het personeel weet wat te doen of wie te verwittigen wanneer ze het vermoeden hebben van een cyber(security)incident. “WE ARE LOSING THIS BATTLE”. Deze uitspraak is gegrepen uit een presentatie van Christian Van Heurck (coördinator van CERT.be bij Belnet) gegeven tijdens de Belgian Internet Security Conference – BISC 2013. Uit het antwoord (zie bijlage J) op de parlementaire vraag 5-10355 (Lijnen N, 2013) naar de oorsprong van deze uitspraak blijkt dat deze uitspraak bedoeld was om het gebrek aan bewustwording op het gebied van cybersecurity bij het grote publiek, bij bedrijfsleiders, bij overheidsinstellingen en bij de politiek aan te kaarten. In het antwoord wordt ook aangegeven dat erkenning van de cyberdreiging één van de pijlers is van de Belgische cybersecuritystrategie. INITIATIEVEN
Nele Lijnen (2014) geeft aan dat de openbare omroep enige tijd geleden een boodschap van algemeen nut heeft verspreid die waarschuwt voor de gevaren van internetcriminaliteit en phishing. Dit spotje legde de gevaren kort maar bevattelijk uit en gaf aan wat de burger moet vermijden (geen gegevens doorgeven aan criminelen die zich voordoen als een financiële instelling). Roel Deseyn (2014) stelt verder voor om de bevolking verder te sensibiliseren rond cyberhygiëne. Als voorbeeld worden telecomoperatoren genomen omdat zij een groot bereik hebben en over veel mogelijkheden beschikken. Er bestaat vandaag reeds een wettelijke voorziening voor telco’s in de Telecomwet, maar deze voorziening wordt jammer genoeg door het BIPT minimaal geïnterpreteerd. Werkgevers zouden ook via opleidingen indirect kunnen bijdragen tot veiligere internetomgevingen thuis, zeker in het kader van de steeds vaker toegepaste ‘bring-your-own-device’ praktijken op de werkvloer. Stefaan Van Hecke (2014) vindt dat er nood is aan sensibiliseringscampagnes om vooral jongeren attent te maken op de gevaren op het internet, bijvoorbeeld phishing. Het is een illusie dat de consument de dreiging alleen het hoofd kan bieden. De overheid heeft hier een belangrijke rol te spelen. Een vorm van internetopvoeding zou via het onderwijs gegeven kunnen worden aan jongeren, maar Stefaan Van Hecke vindt dat het onderwijs reeds zeer veel taken dient op te nemen en dat dit misschien niet de beste oplossing is. EUROPESE GEMEENSCHAP In Figuur 20 (hoe goed ben je geïnformeerd over de risico’s van cybercriminaliteit) neemt België de 13e plaats van de 27 EU landen in en scoort net iets beter dan het Europees gemiddelde. De Nederlandse burgers voelen zich duidelijk beter ingelicht dan de Belgische burgers. Nederland neemt de 5e plaats in van de 27 EU landen (TNS Opinion & Social, 2012).
56/110
Resultaten van het onderzoek
Figuur 20: Hoe goed vinden de Europese burgers dat ze zijn geïnformeerd over de risico's van cybercriminaliteit (TNS Opinion & Social, 2012)
3.6.4 Sociale maatregelen in Nederlandse financiële instellingen versus de Belgische overheid Het onderzoek van Dreijer (2012) geeft aan dat financiële instellingen in Nederland sterk inzetten op voorlichting. Iedere instelling doet aan voorlichting via de internetpagina en soms via flyers in de lokale kantoren. De NVB houdt nationale campagnes om de consument bewust te maken dat bijvoorbeeld banken nooit per e-mail of telefoon naar persoonlijke gegevens zullen vragen. Er is zelfs sprake van een soort van bewustmakingsmoeheid bij de klanten. Wanneer klanten te vaak geconfronteerd worden met dezelfde waarschuwingsboodschappen, dan klikken ze het bericht gewoon weg. Eén financiële instelling spreekt over tunnelzicht. De mensen hebben een doel voor ogen, bijvoorbeeld online een bankverrichting uitvoeren, en ze wensen dat zo snel mogelijk te kunnen doen zonder dat ze daarbij vervelende berichten of pop-ups over veiligheid dienen te lezen. Eén financiële instelling voorziet trainingen voor kwetsbare doelgroepen, zoals ouderen (Dreijer, 2012). De Belgische overheid heeft via de openbare omroep één voorlichtingscampagne uitgezonden en probeert haar eigen personeel van de nodige voorlichting te voorzien (Lijnen N & Bynens L, 2014). Er gaan meer en meer stemmen op bij politici om de Belgische burger beter in te lichten over de gevaren van cybercriminaliteit. Dit zou via telecomoperatoren kunnen (Desey R & Scharpé W, 2014) of via een vorm van cyberhygiëne opvoeding (Van Hecke S., 2014). Het blijft een feit dat de Belgische overheid nog veel werk voor de boeg heeft en dat ze zeer ver is van de bewustmakingsmoeheid die soms voorkomt bij Nederlandse financiële instellingen.
57/110
Resultaten van het onderzoek
3.6.5 Juridische maatregelen Phishing is een wereldwijd probleem dat zich niet laat beperken door landsgrenzen. Wetgeving is typisch gebonden aan landen of groepen van landen (bijvoorbeeld de EU) waardoor het strafbaar maken van phishing een beperkt effect heeft op het gedrag van de cybercriminelen omdat zij zich meestal niet bevinden in het land waar de phishingaanvallen slachtoffers maken. Purkait (2012) geeft aan dat de rechtbanken naast de phisher ook secundaire medeplichtigen zouden kunnen veroordelen. Deze secundaire medeplichtigen zouden onder meer de internet service providers (ISPs) zijn, die onder de wetgeving van de bescherming van intellectuele eigendom, schuldig zouden zijn aan medeplichtigheid bij het stelen van intellectuele eigendom. Op die manier zouden de ISPs gemotiveerd zijn om phishing tegen te gaan. Purkait (2012) stelt ook dat wetgeving een moeizaam proces is dat nooit de technologische vooruitgang en de daarbij behorende phishing dreiging kan bijhouden. Een ander probleem is dat de stakeholders (gebruikers, browserontwikkelaars, wettelijke regulatoren, internationale comités …) die een impact zouden kunnen hebben op phishing een heterogene groep vormen waarbij iedere stakeholder uiteenlopende belangen heeft. Het is zeer tijdrovend om alle stakeholders samen te krijgen en tot een gezamenlijk standpunt te laten komen. Wanneer een standpunt bereikt is en maatregelen afgesproken zijn, is de phishingdreiging alweer veranderd, waardoor de maatregelen deels achterhaald zijn. De Verenigde Staten vervolgen steeds meer phishers die vanuit een ander land dan de VS opereren en zij vragen aan de landen, van waaruit de phishers opereren, om deze cybercriminelen te vatten en uit te leveren. Voornamelijk het Federal Bureau of Investigation (FBI) werkt hiervoor samen met de politie van de betrokken landen. In de VS zelf is sinds september 2008 een wet25 van kracht die het slachtoffer recht geeft op een vergoeding die overeenstemt met de waarde van de tijd en de kosten van het slachtoffer om de schade van de phishingaanval ongedaan te maken. Feigelson and Calman (2010) hebben echter geen effect kunnen vaststellen van deze wet op het aantal phishingaanvallen. Een ander probleem met deze wet is het feit dat veroordeelde phishers vaak niet in staat zijn om de opgelegde compensaties te betalen. De waarde van een met phishing gestolen kredietkaart nummer is marginaal vergeleken met de kosten die het slachtoffer heeft om de schade ongedaan te maken (Feigelson & Calman, 2010). Moore et al. (2009) geven aan dat een wettelijke verplichting voor ondernemingen om nietgeautoriseerde toegang tot klantendata te melden, zoals ingesteld door de senaat in California, een kleine, maar significante daling van het aantal online fraudegevallen tot gevolg had. Veel landen hebben informatiebeveiligingswetten ingesteld om online criminaliteit terug te dringen. Maar door een gebrek aan kennis bij de wetgevers, blijken deze wetten de security-onderzoekers meer te hinderen dan dat ze de online misdaad aanpakken. Hierdoor zijn er weinig betrouwbare cijfers voor handen en wordt het voor de wetgevers nog moeilijker om adequate wetten te maken. Een ander probleem is het feit dat politiediensten de prioriteiten van misdaadbestrijding enten op het aantal lokale slachtoffers, op het aantal daders en op hoe groot de lokale schade is. Een phishingaanval kan wereldwijd veel slachtoffers maken, maar op lokaal niveau zal de schade beperkt zijn, waardoor dit soort van misdrijven nooit een hoge prioritering krijgt (Moore et al., 2009).
3.6.6 Het beleid in België ten aanzien van phishing (cybercriminaliteit) en de onderbouwing van dat beleid Alle respondenten geven aan er vandaag weinig sprake is van een beleid en dat de nodige budgetten hiervoor ontbreken. Het feit dat er geen gecentraliseerde, betrouwbare cijfers zijn over cybermisdaden maakt het uitzetten van een beleid er niet eenvoudiger op (zie paragraaf 3.4.3). Er zijn nochtans reeds verschillende initiatieven geweest om een onderbouwd beleid op de sporen te zetten. 25
Identity Theft and Restitution Act of 2008
58/110
Resultaten van het onderzoek
In de vragenlijst gericht aan de Vlaamse politieke partijen (zie bijlage G) is aan de respondenten gevraagd om kort toe te lichten wat de objectieven van de partij zijn met betrekking tot cybercriminaliteit en in het bijzonder phishing. De antwoorden zijn weergegeven in Tabel 14. Phishing wordt steeds meegenomen onder de noemer cybercriminaliteit in beleidsverklaringen en wordt zelden apart vermeld. Respondent
Partij
Objectieven Het is de plicht van de federale overheid om de nodige beveiliging en vertrouwelijkheid te garanderen voor alle data in haar bezit, zowel die van de burger en ondernemingen als die Peter Dedecker N-VA van de overheid. Daarnaast is de beveiliging van voor onze samenleving en economie kritische informatie-infrastructuren van het grootste belang Stefaan Van Privacy is zeer belangrijk. Iedere inbreuk op de privacy, ook door phishing, dient met Groen Hecke de nodige prioriteit aangepakt te worden. Nele Lijnen Open Cybercrime in de mate van het mogelijke bestrijden, preventie en sensibilisering van de (Laurens Bynens) Vld burger, bescherming van de overheid … Roel Deseyn Internetveiligheid raakt vele burgers en ondernemingen, en het verdient de aandacht van CD&V (Wim Scharpé) beleidsmakers. Diensten- en diplomatiek centrum Brussel verdient dit. Tabel 14: Objectieven m.b.t. cybercrime (phishing) van de Vlaamse politieke partijen (die geantwoord hebben)
Uit deze objectieven blijkt dat de Vlaamse partijen26 heel veel belang hechten aan de bestrijding van cybercriminaliteit en aan de bescherming van de privacy van de burger en van de economische belangen van het land. Reeds in 2007 heeft het toenmalige hoofd van het FCCU, Luc Beirens, aangedrongen om de nodige prioriteit te geven aan cybercriminaliteit en –beveiliging. Er is nauwelijks gevolg gegeven aan de raadgevingen van de heer Beirens. Na jarenlang aandringen, heeft hij het FCCU verlaten en is aan de slag gegaan in de privémarkt (Dedecker P., 2014). Op 21 december 2012 keurde de Ministerraad de Belgische Cybersecurity Strategie goed. Sindsdien ligt het dossier bij de premier die bevoegd is voor de coördinatie van de uitvoering van dit plan. In het verleden heeft CD&V herhaaldelijk aangedrongen om werk te maken van de uitwerking hiervan. CD&V stelt dat best één minister het dossier naar zich toe trekt, of dat de premier het dossier delegeert naar een van zijn staatssecretarissen. Een uitdaging is het feit dat veel intervenanten en bevoegde ministers bij de realisatie van deze strategie betrokken zijn door het grensoverschrijdende karakter van internet. De volgende overheidsdiensten zijn betrokken: Economie (accreditatie van systemen, voogdij telecomregulator), Defensie (militaire inlichtingendienst), Buitenlandse Zaken (Nationaal VeiligheidsOverleg, internationale dimensie hacking door bevriende landen), Binnenlandse Zaken (politie FCCU, Crisiscentrum), FedICT (CERT) en Justitie (staatsveiligheid, Privacy Commissie, B-ccentre) (Desey R & Scharpé W, 2014). CYBERSECURITY STRATEGIE BELGIË (DESEY R & SCHARPÉ W, 2014) Met een nationale cybersecuritystrategie stelt België drie strategische objectieven voorop om de cyberveiligheid in België te garanderen: -
streven naar een veilige en betrouwbare cyberspace met respect voor de fundamentele rechten en waarden van de moderne samenleving; streven naar een optimale beveiliging en bescherming van de kritieke infrastructuren en overheidssystemen tegen de cyberdreiging;
26
In deze context wordt de stijlfiguur pars pro toto toegepast. Niet alle Vlaamse partijen hebben een antwoord gestuurd. Daarnaast worden de objectieven van de partijen die geantwoord hebben veralgemeend voor heel België, daar waar de partijen van de respondenten bij de verkiezing van 2014 voor de kamer van volksvertegenwoordigers samen 46,97% van de stemmen haalden, wat zich vertaalde in 71 zetels op een totaal van 150.
59/110
Resultaten van het onderzoek
-
ontwikkelen van eigen cybersecuritycapaciteiten voor een onafhankelijk veiligheidsbeleid en een gepaste reactie op veiligheidsincidenten.
CENTRUM VOOR CYBERSECURITY BELGIË Een tweede initiatief van de ministerraad ter bevordering van de cyberbeveiliging is de oprichting van het centrum voor cybersecurity België (Delafortrie & Springael, 2014). Artikel 3 beschrijft de rol van dit centrum (Desey R & Scharpé W, 2014): 1. Opvolgen en coördineren van en toezien op de uitvoering van het Belgisch beleid ter zake; 2. Vanuit een geïntegreerde en gecentraliseerde aanpak de verschillende projecten op het vlak van cyberbeveiliging beheren; 3. De coördinatie verzekeren tussen de betrokken diensten, de publieke overheden en de private of de wetenschappelijke sector; 4. Formuleren van voorstellen tot aanpassing van het regelgevend kader op het vlak van cyberbeveiliging; 5. In samenwerking met het Coördinatie- en Crisiscentrum van de regering, het crisisbeheer bij cyberincidenten verzekeren; 6. Opstellen, verspreiden en toezien op de uitvoering van standaarden, richtlijnen en veiligheidsnormen voor de verschillende informatiesystemen van de administraties en publieke instellingen; 7. Coördineren van de Belgische vertegenwoordiging in internationale fora voor cyberbeveiliging, van de opvolging van internationale verplichtingen en van voorstellen van het nationale standpunt op dit vlak; 8. Coördineren van de evaluatie en certificatie van de veiligheid van informatie en informeren en sensibiliseren van gebruikers van informatie- en communicatiesystemen. Een andere uitdaging in het cybersecurityvraagstuk is het feit dat veiligheidsbeleid nog steeds voornamelijk een lidstaatgebeuren is. Een voorbeeld hiervan zijn de beperkte bevoegdheden die het European Union Agency for Network and Information Security (ENISA) heeft. De tijd bleek ook nog niet rijp om te komen tot een geïntegreerde Europese Privacy Commissie in het kader van nieuw Europees wetgevend kader voor privacy. Het feit dat veel landen voor zichzelf werken maakt een Europese aanpak van cybercrime niet eenvoudiger. Waarnemers gaan er van uit dat onder andere de Franse inlichtingendiensten in België aan industriële spionage doen. (Desey R & Scharpé W, 2014). Peter Dedecker heeft aangegeven dat in het voorlopige regeerakkoord27 is voorzien om cyberbeveiliging de nodige prioriteit te geven en dat dus ook de nodige budgetten zullen voorzien worden (Dedecker P., 2014).
3.6.7 Beleid van Nederlandse financiële instellingen versus Belgisch overheid In de financiële wereld in Nederland krijgt cybersecurity een hoge prioriteit. Er worden goed opgeleide mensen aangetrokken, de nodige budgetten worden voorzien en er zijn initiatieven om tussen financiële instellingen cijfermateriaal met betrekking tot cybermisdaden (waaronder) phishing door te geven onder leiding van de NVB. Gebruikmakend van deze cijfers kan het beleid gestuurd worden (Dreijer, 2012). Het contrast met de Belgische overheid is groot. Er bestaat nog steeds het probleem van het niet-erkennen van probleem van cybercriminaliteit (Lijnen N, 2013), het tekort aan specialisten (Desey R & Scharpé W, 2014), het ontbreken van budgetten (Van Hecke S., 2014) en het
27 Bij het schrijven van deze scriptie was de formatie van de Belgische federale regering nog bezig. De zogenaamde Zweedse coalitie, bestaande uit N-VA, CD&V, Open Vld en MR had het initiatief om een regering te vormen.
60/110
Resultaten van het onderzoek
ontbreken van een centraal meldpunt en sturingsorgaan om alle instellingen die met cybercriminaliteit te maken hebben, te bundelen en te sturen (Dedecker P., 2014).
3.6.8 Anti-phishingindicatoren (technische maatregelen) Anti-phishingindicatoren is een verzamelnaam voor technische maatregelen tegen phishing. Deze categorie wordt onderverdeeld in twee subcategorieën: passieve en actieve indicatoren. PASSIEVE INDICATOREN Passieve indicatoren steunen nog steeds op menselijke interactie. Deze technische maatregelen zullen de mensen helpen om phishingboodschappen sneller te identificeren, door bijvoorbeeld een pop-up te tonen in de browser (Khonji et al., 2013). Anti-phishingtoolbars & browser plug-ins (Ramzan, 2010) De huidige generatie webbrowsers bevat een mechanisme om aan de gebruiker duidelijk te maken dat een bepaalde URL of website gevaarlijk is, omdat het bijvoorbeeld een phishingsite is. Uit studies is echter gebleken dat veel gebruikers niet weten wat de waarschuwing betekent en alsnog naar de site doorklikken (Kirlappos & Sasse, 2012). Er bestaan ook browserplug-ins die niet alleen de eindgebruiker waarschuwen, maar tevens in de achtergrond naar de phishingwebsite surfen en daar gefabriceerde informatie invullen. Op deze manier krijgt de phisher junkdata binnen op zijn phishingsite en worden de echte gegevens van slachtoffers gemengd met valse gegevens waardoor de phisher meer moeite heeft om de correcte gestolen data te onderscheiden van de valse gestolen data. BogusBiter is een dergelijke browser plug-in (Khonji et al., 2013). SSL (Secure Sockets Layer) (Ramzan, 2010) SSL is een techniek die ervoor zorgt dat het verkeer tussen de webbrowser van de gebruiker en de server geëncrypteerd is en dat de server als betrouwbaar mag beschouwd worden. Deze techniek maakt gebruik van publieke en private sleutels die in een certificaat zijn ingebouwd. Dit certificaat wordt uitgereikt door een betrouwbare partij op het internet. Als een gebruiker naar een site surft die SSL gebruikt, zal zijn browser het certificaat controleren bij de betrouwbare partij (certificate authority). Is het certificaat niet bekend bij de ‘certificate authority’ dan geeft de browser dit onmiddellijk aan. Phishingsites maken weinig gebruik van SSL, omdat phishers het certificaat dat daarvoor nodig is niet gemakkelijk kunnen verkrijgen28. Wanneer een gebruiker naar een gespoofte website surft door op een phishingboodschap te reageren, dan kan hij zien of zijn verbinding gebruikt maakt van SSL door te kijken naar de SSL-indicator in de browser (meestal een slotje). Is dat slotje niet aanwezig, kan de gebruiker best niet verdergaan met de site waarop hij surft. Het probleem is ook hier het feit dat gebruikers niet erg oplettend zijn en niet controleren of er SSL gebruikt wordt of niet. ACTIEVE INDICATOREN Actieve indicatoren zijn technische maatregelen die zonder menselijke tussenkomst de phishingboodschappen detecteren en niet laten doorstromen naar de gebruikers (Khonji et al., 2013). De actieve indicatoren worden ingedeeld in client side maatregelen en server side maatregelen. Client side Client site maatregelen worden op de computer van de gebruiker toegepast.
28
Om een certificaat te verkrijgen bij een 'certificate authority' dient de aanvrager te kunnen staven dat hij wel degelijk eigenaar is van de site en dat de gevraagde naam voor het SSL-domein overeenkomt met de naam van de onderneming waarvoor de SSL-site gebruikt zal worden. Er zijn echter reeds in het verleden incidenten geweest waarbij legitieme certificaten zijn gestolen (Reijerman, 2011). De browser van het slachtoffer zal dan aangeven dat het om een legitieme SSLsite gaat. Daarnaast bestaan er ook CAs waar bijna geen controle wordt uitgeoefend op de legitimiteit van de aanvrager, waardoor echte certificaten aan hackers (phishers) worden toegekend.
61/110
Resultaten van het onderzoek
Desktop agenten (Gunter, 2007) Gebruikers zijn vertrouwd met de aanwezigheid van antivirussoftware op hun computers om hen te beschermen tegen datavernietiging of datacorruptie door toedoen van virussen. Antivirussoftware is maar één soort desktop agent en gebruikers doen er best aan om een suite van software te installeren die volgende desktop agenten aan boord heeft: - Lokale antivirusbescherming; - Een persoonlijke firewall; - Een persoonlijk intrusion detection systeem (IDS29); - Een persoonlijke antispam software; - Een spywaredetectiesoftware. De meeste antivirussoftware fabrikanten bieden suites aan waarin al deze agenten zijn opgenomen. Wanneer een phishingaanval toch tot bij de computer van de gebruiker geraakt, zullen deze software agenten in de meeste gevallen het bericht en de bijbehorende malware of valse link verwijderen voor de gebruiker de kans krijgt om zich te laten misleiden. E-mail client verbetering (Gunter, 2007) Veel e-mail applicaties maken automatisch verbinding met het internet wanneer ze een mailbericht openen. De reden hiervoor is dat er steeds meer HTML-gebaseerde mailberichten verstuurd worden, waarin verwezen wordt naar bijvoorbeeld afbeeldingen die online staan. Daarnaast openen e-mail applicaties soms automatisch bijlagen zoals bijvoorbeeld een PDF-bestand. Deze automatische acties dienen afgezet te worden in de e-mail applicaties om phishingaanvallen tegen te gaan. Browser hardening (Gunter, 2007) Bepaalde browsers zoals bijvoorbeeld MS Internet Explorer bieden heel veel mogelijkheden aan de gebruiker om webpagina’s met allerlei animatie en opmaak te laten openen. Veel van deze animatie maakt gebruik van software componenten of plug-ins in de browser die misbruikt kunnen worden door hackers (phishers). Het is daarom aangewezen volgende items af te zetten in de browser: - Java runtime ondersteuning; - Active X ondersteuning; - Multimedia autoplay mogelijkheden; - Het automatisch opslaan van niet veilige cookies; - Het automatisch laten starten van een programma zodra het gedownload is. Server side Server side maatregelen worden op de servers van een onderneming of van een ISP toegepast. E-mail authenticatie (Ramzan, 2010) Phishers maken veel gebruik van gespoofte e-mails adressen om het phishingslachtoffer te overtuigen dat het om een legitiem bericht gaat. Om dit tegen te gaan wordt de identiteit van de afzender gecontroleerd bij ontvangst van de e-mail en wordt de authenticiteit en de integriteit van het bericht gecontroleerd. De ontvangende mailserver kan onmiddellijk controleren of de afzendende server wel bevoegd is voor dat DNS-domein en kan ook controleren of de elektronische handtekening van de mail klopt. Is dit niet het geval, dan wordt het bericht onmiddellijk verwijderd. Er bestaan verschillende technieken om deze controle uit te voeren maar er stellen zich een aantal organisatorische problemen: - DNS: de phisher kan een DNS-domein aanmaken dat lijkt op het authentieke DNS-domein: bijvoorbeeld whitehouse.com i.p.v. whitehouse.gov. De ontvangende server zal aangeven dat 29
IDS (Intrusion Detection Systems) zijn systemen die gebouwd zijn om te helpen bij het tegengaan en het inperken van schade die kan worden veroorzaakt door hacking van IT-systemen.
62/110
Resultaten van het onderzoek
-
-
het domein overeenstemt met het e-mail adres en de boodschap geraakt alsnog bij het slachtoffer. Om een dergelijk systeem in te voeren dient heel de wereld eenzelfde authenticatieschema te gebruiken en dat is tot nu toe een utopie gebleken. Er bestaan wel een aantal standaarden voor deze anti-phishingoplossing: S/MIME30 – OpenPGP31 maar deze worden niet veel gebruikt. DMARC, wat staat voor ‘Domain-based Message Authentication, Reporting & conformiteit’, geeft de zender van een e-mail de mogelijkheid om aan te geven dat de e-mail beschermd is door SPF32 en/of DKIM33. Wanneer de mail niet voldoet aan de controles van SPF en/of DKIM kan de mail als spam beschouwd worden door de ontvangende partij.
Webapplicatiesecurity (Gunter, 2007) Om te verhinderen dat een phisher bestaande websites kan aanpassen om bezoekers om te leiden naar een phishingsite worden systemen voor de webservers geplaatst die enerzijds controleren of het surfgedrag van de gebruiker correct is en anderzijds die een controle uitvoeren op de webpagina’s om te controleren of ze niet gewijzigd zijn. Deze toestellen worden webapplication firewalls genoemd. Two-factorauthenticatie (Jian et al., 2013) Deze techniek is gebaseerd op twee van de drie identificatiemechanismen die gebruikt kunnen worden om te bewijzen dat iemand daadwerkelijk is wie hij beweert te zijn: - Iets wat de persoon bezit: een rijbewijs, een toegangskaart, een sleutel, een one-time password generator … ; - Iets wat de persoon is (biometrische karakteristiek): een vingerafdruk, retina(scan) … ; - Iets wat de persoon weet: een paswoord of andere persoonlijke informatie. Een phisher kan maar één van de drie identificatiemechanismen omzeilen met name ‘iets wat de persoon weet’, door deze informatie te stelen via een phishingaanval. Voor de andere twee identificatiemechanismen is er geen online alternatief. Two-factorauthenticatie is niet helemaal veilig, omdat phishers gebruik kunnen maken van een ‘live’ phishingaanval met behulp van de man-in-themiddle techniek, waarbij het one-time paswoord (iets wat de persoon bezit) alsnog ontvreemd wordt. Toch heeft two-factorauthenticatie een meerwaarde omdat veel phishers niet onmiddellijk gebruik maken van de data die ze stelen, waardoor de paswoorden die zij ontvreemd hebben waardeloos zijn zonder één van de andere twee identificatiemechanismen. Back-end analysis (Ramzan, 2010) Deze techniek wordt typisch toegepast door banken en kredietkaartverstrekkers. Wanneer een transactie vreemd lijkt (bijvoorbeeld een Nederlandse klant die een IP-adres heeft in Nigeria om een bankverrichting uit te voeren), wordt in realtime deze transactie geblokkeerd. De grote uitdaging van 30
S/MIME (Secure/Multipurpose Internet Mail Extensions) is een standaard voor het beveiligd verzenden van e-mail dat in een MIME-structuur is gevat. S/MIME gebruikt asymmetrische cryptografie met een publieke sleutel om het bericht te versleutelen en digitaal te ondertekenen (The Internet Society, 1998). 31 OpenPGP is de meest gebruikte standaard voor e-mail- en tekstencryptie. OpenPGP maakt gebruik van asymmetrische cryptografie waardoor er twee sleutels vereist zijn: één om te versleutelen en één om te ontsleutelen (OpenPGP Alliance, 2014). 32 Sender Policy Framework: het SPF protocol voegt aan het DNS-record van een domein een extra informatieveld toe. In dit record wordt vermeld welke mailservers namens dit domein mail mogen verzenden. Staat een mailserver niet in deze opsomming en verzendt deze toch mail met het betreffende domein als afzender, dan wordt de mail als onrechtmatig beschouwd. 33 DomainKeys Identified Mail: DKIM voegt het veld 'DKIM-Signature' toe aan de header van een e-mail. Dit veld bevat een digitale handtekening van de inhoud van de e-mail (op basis van zowel headers als de body van de e-mail). Deze handtekening wordt gemaakt door middel van een vorm van encryptie, waarbij gebruik wordt gemaakt van RSA (een asymmetrisch encryptiealgoritme ) voor het afhandelen van de encryptie van de sleutel.
63/110
Resultaten van het onderzoek
deze techniek ligt in het feit dat er geen ‘false positives’ mogen opduiken. Een ‘false positive’ zou een legitieme transactie van een klant blokkeren. Gateway services (Gunter, 2007) De weg naar het internet, waar de phishing dreiging zich bevindt, wordt benoemd als de internet gateway. Op deze gateway worden vaak systemen geplaatst die al het in- en uitgaand verkeer controleren op virussen en andere malware. Als een gebruiker dus wenst een bericht te sturen of te ontvangen of hij wenst naar het internet te connecteren, dan zal al zijn data, die door de gateway gaat, gescand worden. Als een phisher een phishingbericht naar de klant stuurt, zal de gateway dit bericht onderscheppen.
3.6.9 Technische maatregelen op maat van de overheid (literatuuronderzoek) Oh and Obi (2012) stellen voor de overheid de volgende technische maatregel tegen phishing voor: - Eén authenticatiepagina voor alle overheidsdiensten (single authentication page) EÉN AUTHENTICATIEPAGINA VOOR ALLE OVERHEIDSDIENSTEN De overheid kan best al haar diensten toegankelijk maken via één authenticatiepagina. In de sensibiliseringscampagnes kan de overheid dan de nadruk leggen op het feit dat er slechts één toegangspoort is tot de e-government. Daarnaast dient de overheid slechts voor één webomgeving anti-phishingmaatregelen te voorzien, wat de maatregelen goedkoper maakt dan wanneer er een veelvoud aan webomgevingen dient beveiligd te worden. Onderzoek bij de overheid in Japan heeft aangetoond dat het gebruik van een single user account voor meerdere diensten de gebruikers een veiliger gevoel geeft en daardoor drempelverlagend werkt voor de gebruikers (Oh & Obi, 2012). Het nadeel van het gebruik van slechts één toegangspoort is het feit dat daarmee een SPOF (single point of failure) gecreëerd wordt. Wanneer deze site gecompromitteerd wordt, hebben de cybercriminelen toegang tot alle overheidssites en kunnen zij iedere gebruiker misleiden en gegevens ontfutselen.
3.6.10 Technische anti-phishingmaatregelen genomen door de Belgische overheid (empirisch onderzoek) In Tabel 15 wordt het overzicht gegeven van de technische maatregelen die genomen worden door de overheidsinstellingen in België. Deze informatie is verkregen uit het interview met de ex-consultant van een Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014). Daar geen enkele cyberbeveiligingsinstelling in België rechtstreeks heeft deelgenomen (zie ook 2.4.4) aan het onderzoek dient Tabel 15 met de nodige scepsis bekeken te worden. De kans is reëel dat de Belgische overheid nog andere vormen van anti-phishingmaatregelen neemt dan degene die zijn aangeduid in Tabel 15. Anti-phishingmaatregel Het gebruiken van antiphishingtoolbars en plug-ins in browers SSL Desktop agenten installeren op de PCs E-mail client hardening Browser hardening E-mail controle op de server Web applicatie security Two-factor authentication Back-end analysis Gateway services
Korte uitleg In de browsers software componenten toevoegen die waarschuwingen geven aan de gebruiker wanneer deze naar een onveilige site zou willen connecteren. Sites enkel beschikbaar maken via HTTPS Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een persoonlijk intrusion detection systeem, een persoonlijke antispam software en een spyware detectie software. HTML gebaseerde mails verhinderen om automatisch naar het internet te laten connecteren. Automatisch openen van bijlages blokkeren. Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning De server automatisch laten controleren of de DNS gegevens in de mails kloppen. Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP) Gebruiken van een vorm van web application firewalling Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een paswoord Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Vlaamse (Belgische) overheidssite waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren. Al het in- en uitgaand verkeer laten passeren via een controlesysteem dat de phishingboodschappen, virussen en malware filtert.
X
X X X
X
64/110
Resultaten van het onderzoek
Anti-phishingmaatregel Gecentraliseerd portaal voor online overheidsdiensten
Korte uitleg De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer ze eerst via een portaalsite surfen die hun identiteit controleert.
X
Tabel 15: Technische anti-phishingmaatregelen genomen door overheidsinstellingen om phishing tegen te gaan
Uit de antwoorden op de parlementaire vraag: “Is er bij uw diensten werk gemaakt van een computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het internet zijn verbonden door een vorm van computerbeveiliging beschermd?” (nummer 5-7566 en aanverwanten) van Nele Lijnen (2013a) blijkt dat iedere overheidsadministratie die over een ICTafdeling beschikt haar eigen koers vaart en probeert naar best vermogen de systemen te beveiligen tegen cyberincidenten. Roel Deseyn (2014) vindt dat het feit dat er een tekort is aan specialisten een groot risico vormt om technische anti-phishingmaatregelen uit te werken en te implementeren. Het risico bestaat dat de EU niet alleen te afhankelijk wordt van ICT die elders wordt vervaardigd, maar ook dat alle beveiligingsoplossingen buiten EU worden ontwikkeld. Het is een gezamenlijke verantwoordelijkheid, niet enkel van de overheid maar ook van de industrie. Op het vlak van opleidingsinspanning en levenslang leren kan nog een tandje bijgestoken worden. Ondanks inspanning in het verleden stijgt het aantal STEM34 studenten maar heel beperkt. Steevast wordt hiervoor naar de overheid verwezen, maar dit is een collectieve verantwoordelijkheid van overheid, onderwijs en de sector zelf. Het feit dat 20% van de mensen de school verlaat zonder diploma is een ‘waste of talent’, budgettair duur en op menselijk vlak onaanvaardbaar. Hervormingen in het onderwijs zijn nodig.
3.6.11 Verantwoordelijkheid: NVB – Belgische overheid De NVB is van oordeel dat de consument bewust dient te zijn dat phishingbestrijding een gedeelde verantwoordelijk is. De financiële instelling en de bewuste consument dienen samen een inspanning te leveren om phishing te herkennen en te bestrijden (Dreijer, 2012). Roel Deseyn (2014) geeft een gelijkaardige opmerking. De overheid heeft een belangrijke rol te spelen in het veiliger maken van het internet door het bestrijden van cybercrime, maar de burgers en de ondernemingen dienen ook een deel van de verantwoordelijkheid te dragen. De overheid kan het niet alleen.
3.6.12 Technische maatregelen in Nederlandse financiële instellingen versus de Belgische overheid De financiële instellingen geven aan dat het lastig is om beveiligingssoftware te laten installeren op de toestellen van de klant. Klanten ervaren dit als een vorm van betutteling. Sommige instellingen gebruiken programma’s die controleren of er een automatisch programma probeert in te loggen of een gewone menselijke gebruiker. Banken werken ook onderling meer samen en hebben goede contacten en afspraken met politie en justitie om phishing te bestrijden. Een aantal financiële instellingen werkt samen met gespecialiseerde firma’s om hun cyberbeveiliging te voorzien (Dreijer, 2012). Zoals reeds eerder aangegeven vormen de Belgische beveiligingsinstellingen een erg versnipperd landschap (Lijnen N., 2013a). Sommige instellingen hebben heel wat technische antiphishingmaatregelen geïmplementeerd daar waar anderen nog het niet meer door Microsoft ondersteunde Windows XP als operating systeem gebruiken (Dedecker P., 2014). Er is ook een aantal administraties die gebruik maken van externe expertise om het cybersecurityvraagstuk aan te pakken.
34
STEM = Science, Technology, Engineering and Math
65/110
Resultaten van het onderzoek
3.6.13 Uitdagingen Khonji et al. (2013) stellen dat zowel het trainen van gebruikers als het gebruik van antiphishingindicatoren de volgende uitdagingen hebben: - Niet-technische gebruikers staan niet open voor het anti-phishing leerproces en wanneer ze het leerproces doorlopen hebben, dan vergeten ze de aangeleerde richtlijnen weer snel. - Passieve indicatoren zijn nog steeds afhankelijk van de handelingen van de gebruiker. Als de gebruiker de waarschuwingen van de passieve indicatoren in de wind slaat, hebben zij geen effect. Kirlappos and Sasse (2012) geven aan dat, zelfs wanneer gebruikers een melding krijgen in hun webbrowser dat zij naar een phishingsite dreigen te surfen, 53% van de gebruikers toch doorklikken naar de phishingsite. Khonji et al. (2013) geven aan dat gebruikers die getraind zijn, gebruikmakend van de meest succesvolle educatieve systemen, om phishingaanvallen te detecteren, nog steeds in 29% van de gevallen falen om een phishingaanval te detecteren. Daarnaast hebben computers het nog steeds moeilijk met het interpreteren van de semantiek van natuurlijke talen (Nederlands, Engels …), waardoor ze niet heel precies kunnen bepalen of een boodschap al dan niet als een phishingboodschap geclassificeerd mag worden (Khonji et al., 2013). Khonji et al. (2013) geven aan dat computersystemen in bepaalde gevallen slechts 75% van de phishingboodschappen identificeren. Kirlappos and Sasse (2012) concluderen dat technische anti-phishingmaatregelen (i.e. antiphishingindicatoren) steeds dienen aangevuld te worden met gebruikerstraining om een zo hoog mogelijke bescherming tegen phishingaanvallen te realiseren. Er bestaat geen wondermiddel tegen phishing. De meest effectieve manier om phishing te bestrijden is een combinatie van maatregelen, waarbij steeds gezorgd dient te worden dat de eindgebruikers gesensibiliseerd zijn en getraind worden om op de juiste manier met de technische anti-phishingmaatregelen om te gaan. Moore et al. (2009) stellen dat instanties en organisaties die bezig zijn met anti-phishing best hun data delen omdat dit de klanten en online bedrijven ten goede komt. Zij maken de vergelijking met de antivirussector in de jaren 1980 – 1990. In die periode was er geen samenwerking tussen de verschillende antivirus producten en bleek uit onderzoek in 1993 dat geen enkele antivirusoplossing sluitend was omdat geen enkele antivirus producent alle bestaande virussen kende. De antivirusproducenten hebben als gevolg van deze vaststelling een overeenkomst gesloten dat zij hun kennis van bestaande en vooral nieuwe virussen zullen delen. Deze overeenkomst is vandaag nog steeds in voege en heeft de virusbescherming voor eindgebruikers en industriële gebruikers sterk verbeterd. Een zelfde redenering kan gevolgd worden voor de anti-phishing sector, maar tot op vandaag is de weerstand om data over anti-phishing te delen groter dan de bereidheid om samen te werken. Bedrijven gespecialiseerd in het offline brengen van phishingsites, vrezen dat het delen van data drempelverlagend zal werken en nieuwe concurrenten zal doen verschijnen in de anti-phishing markt.
66/110
Referentiemodel
4 Referentiemodel Het referentiemodel (zie Figuur 21) is ontstaan uit het literatuuronderzoek. Door de antwoorden op de verschillende onderzoeksvragen schematisch weer te geven werd een model bekomen dat als steekkaart of als referentie kan gebruikt worden als het gaat over phishing. Dit model geeft op een beknopte wijze een overzicht van wat phishing is, welke soorten er bestaan, wat de trends van phishing zijn, welke gevolgen phishing heeft (ook voor de sector overheden) en wat er tegen gedaan kan worden. Definitie: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishing aanvallen faciliteren.
FREQUENTIE - TRENDS
SOORTEN
Malware-based phishing
Deceptive phishing
Phishing blijft jaarlijks stijgen Spear-phishing in opmars Overheid ook doelwit
Misleidende technieken
E-mail - spam
Trojans
Vervalste websites
Instant messaging
Key loggers
URL hiding
Telefoon
Screen grabbing
Systeem herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
GEVOLGEN Persoonlijke schade Reputatieschade bedrijven Wantrouwen e-goverment
Man-in-the-middle
Sociale media Op doelgroepen gerichte phishing
ANTI-PHISING MAATREGELEN
Spear phishing Whaling
Gebruikerseducatie (sociale maatregelen)
Anti-phishing indicatoren (technische maatregelen)
Passieve indicatoren
Actieve indicatoren
Anti-phishing toolbars (browser plug-ins) Client side
Server side
SSL Desktop agenten
E-mail authenticatie
E-mail client verbetering
Web applicatie security
Browser hardening
Two-factor authenticatie
Back-end analysis
Gateway services
Figuur 21: Referentiemodel phishing ontstaan uit literatuuronderzoek
67/110
Conclusies, aanbevelingen, product- en procesreflectie
5 Conclusies, aanbevelingen, product- en procesreflectie Dit hoofdstuk geeft de conclusies van het onderzoek weer, doet aanbevelingen tot verder onderzoek en geeft een product- en procesreflectie van de auteur.
5.1 Conclusies L1/E1 - Wat is phishing? L2/E1 - Welke soorten van phishing bestaan er? Phishing is een fenomeen dat in vele vormen voorkomt en gebruik maakt van een waaier aan misleidende technieken. De eenvoudige vorm van phishing, waarbij een zeer grote groep potentiële slachtoffers geviseerd wordt, wordt steeds meer vervangen door doelgerichtere vormen van phishing zoals spear-phishing en whaling. Het medium e-mail als phishingboodschapdrager blijft populair, maar sociale platformen als lokmiddel zijn in opmars. Phishers zijn er zich van bewust dat organisaties hun gebruikers onderrichten in het herkennen van phishingaanvallen en zij proberen de gebruikers niet te bruuskeren door een ‘low and slow’ benadering, waarbij de phishingcampagnes opgezet worden over een langere periode met een minder hoge frequentie van het sturen van phishingboodschappen. Een andere tendens bestaat er uit dat het sturen van een phishingboodschap als misleidingstechniek afneemt ten voordele van meer directe infecteringswijzen. Zero-day-exploits in combinatie met watering-holetechnieken hebben voor de phishers het voordeel dat ze niet meer afhankelijk zijn van social engineering om de gebruiker zijn gegevens te stelen en dat de anti-phishingmaatregelen veel minder effectief zijn. Uit het literatuuronderzoek blijkt dat er drie elementen dienen te bestaan om van phishing te spreken: een vorm van communicatie, een misleidende techniek en een objectief van de phisher. Uit het literatuuronderzoek is deze definitie voor phishing afgeleid: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren. Verder blijkt uit het literatuuronderzoek dat er vier categorieën bestaan waarin phishing of de aanverwante technieken kunnen onderverdeeld worden: -
Deceptive phishing: het phishingbericht bevat een list om het slachtoffer te misleiden, maar bevat geen malware; Malware-based phishing: het phishingbericht bevat een vorm van malware die zich op het toestel van het slachtoffer nestelt; Op specifieke doelgroepen gerichte phishing: deze vorm maakt gebruik van de andere twee soorten, maar richt zich op een specifieke doelgroep; Misleidende technieken: dit zijn de technieken die toegepast worden in de verschillende soorten van phishingaanvallen om het slachtoffer in de val te lokken.
68/110
Conclusies, aanbevelingen, product- en procesreflectie Uit het empirisch onderzoek blijkt dat de Belgische overheid de laatste jaren een aantal zware cyberincidenten heeft gehad, waarbij phishing steeds een belangrijke rol speelde. De Belgische overheid wordt vooral geplaagd door e-mailphishing, maar merkt een tendens dat de phishingpogingen steeds professioneler en gerichter worden (spear-phishing). Het cyberincident bij de Rijksdienst voor Kinderbijslag van Werknemers is hier een voorbeeld van. De Belgische overheid heeft veel te verliezen door toedoen van phishing- en cyberaanvallen. Naast reputatieschade, is er economische schade en het feit dat de burgers hun overheid gaan wantrouwen. L3/E2 - Hoe vaak komt phishing voor? Uit het literatuuronderzoek blijkt dat ondanks de toepassing van heel wat anti-phishingmaatregelen het aantal phishingmeldingen jaar na jaar blijft stijgen. De financiële sector is sinds de registratie van phishingaanvallen de meest getroffen sector. Naast deze sector wordt de overheid een steeds interessanter doelwit voor phishers door de toename van het gebruik van web services door de overheid, de zogenaamde e-government. Het aantal phishingmeldingen tegen de overheid houdt ongeveer gelijke tred met het totaal aantal phishingmeldingen, wat erop neerkomt dat ook overheden wereldwijd steeds meer last krijgen van phishingaanvallen. Het empirisch onderzoek toont aan dat door het ontbreken van een centrale dienst die de verschillende cyberbeveiligingsinstellingen van de overheid superviseert, er geen betrouwbaar cijfermateriaal bestaat. Uit het weinige cijfermateriaal dat het CERT.be publiceert blijkt dat het aantal phishingincidenten, gerelateerd aan door het CERT ontvangen meldingen, in België de laatste jaren enorm gestegen is. De reden hiervoor is waarschijnlijk dubbel; mensen worden zich meer bewust en sturen meer meldingen naar het CERT, maar het totale aantal phishingincidenten neemt ook toe. Als we de cijfers van CERT.be vergelijken met de cijfers van APWG, dan stijgen de phishing cijfers in België veel sterker. Dit doet vermoeden dat de eerste reden een belangrijke rol speelt in de spectaculaire stijging van phishingmeldingen in België. Er gaan steeds meer stemmen op in België en binnen de Europese Unie om een meldingsplicht in te stellen voor cyberincidenten. Enkel op die manier kan er betrouwbaar cijfermateriaal naar boven gehaald worden waarmee het probleem duidelijk in kaart kan gebracht worden. L4/E3 - Wat zijn de gevolgen van phishing? Niet-wetenschappelijke bronnen geven aan dat phishing de wereldeconomie voor 5,9 miljard dollar heeft geschaad (EMC - RSACorporation, 2014). Uit het literatuuronderzoek blijkt dat voor het individuele slachtoffer de confrontatie met phishing het vertrouwen in het internet met de bijbehorende e-business zal verlagen. Daarnaast kan een phishingaanval die resulteerde in identiteitsdiefstal nog lang na de feiten problemen opleveren, wanneer de identiteit is misbruikt in bepaalde transacties. Ondernemingen wiens naam misbruikt is in een phishingaanval lopen reputatieschade op. Deze reputatieschade zet de relatie tussen de onderneming en de klanten onder druk. Overheden kunnen beschouwd worden als ondernemingen, waarbij de burgers hun klanten zijn. Ook zij ondervinden reputatieschade door phishingaanvallen die hun naam misbruiken. De burger zal door de phishingaanvallen een groter wantrouwen koesteren tegenover de overheid en haar instellingen.
69/110
Conclusies, aanbevelingen, product- en procesreflectie Uit het onderzoek komt duidelijk naar voren dat de Belgische overheid worstelt met de bestrijding van cybercriminaliteit in het algemeen en phishing in het bijzonder. De administraties van de Belgische overheid proberen de strijd aan te gaan met phishing binnen hun eigen departementen. Er is geen centrale dienst die de coördinatie voor het registeren van cyberincidenten en sturing voor de bestrijding van cybercriminaliteit op zich neemt. Iedere administratie roeit met de riemen die ze heeft en wenst zo weinig mogelijk over de interne cyberkeuken naar buiten te brengen. Een onderzoek van het Europees parlement heeft aangegeven dat deze mentaliteit één van de grootste struikelblokken is om tot een cyberbeveiligingsstrategie te komen op Europees niveau. Teveel landen varen hun eigen koers en wijken daar niet graag van af. Er bestaan zelfs vermoedens dat binnen de EU landen elkaar bespioneren en proberen elkaars geheimen te stelen door toepassing van cyberhacking. Europees onderzoek toont aan dat de helft van de ondervraagde Europese burger zijn internet gedrag wijzigt door toedoen van cyberincidenten. Uit ditzelfde onderzoek blijkt dat de Belgen een redelijk groot vertrouwen hebben in hun overheid en haar vermogen om de online privégegevens van haar burgers te beschermen. Merkwaardig genoeg scoort België ongeveer even goed als Nederland, terwijl Nederland toch een voorsprong heeft op het vlak van cybercrimebestrijding en al enkele jaren beschikt over een cybersecuritystrategie. L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? Gebruikerseducatie wordt door bijna alle onderzoekers naar voren geschoven als de hoeksteen van anti-phishing. Dit kan onder andere door het lanceren van sensibiliseringscampagnes, door gebruik te maken van interactieve anti-phishing games en door simulatieoefeningen te doorlopen met gebruikers. Uit onderzoek blijkt dat gebruikerseducatie een continue inspanning is omdat niettechnische gebruikers zeer snel in hun oude gewoontes hervallen en zich weer snel laten misleiden. Voor de overheid wordt gebruikerseducatie aangeraden onder de vorm van sensibiliseringscampagnes in combinatie met een vereenvoudigde toegangspoort tot de egovernment. Op die manier worden de gebruikers vertrouwd gemaakt met de enige juiste manier om aan te loggen op de web services van de overheid en anderzijds stijgt het vertrouwen van deze gebruikers omdat ze een veiliger gevoel hebben bij het uitvoeren van transacties die persoonlijke informatie bevatten. De technische maatregelen tegen phishing kunnen de dreiging afzwakken, maar door het kat-en-muis spel tussen de cyberbeveiliging en de cybercriminaliteit blijft ook dit een continue inspanning. Op wetgevend vlak zijn er voornamelijk in de Verenigde Staten initiatieven geweest om phishers zwaar te straffen. Deze aanpak is weinig succesvol gebleken omdat cybercriminelen zich niet laten binden door landsgrenzen en ook omdat de weinige phishers die opgepakt worden, bijna nooit de middelen hebben om de slachtoffers schadeloos te stellen. Daarnaast is het wetgevend proces traag in vergelijking met de technologische evoluties en heeft de phishing dreiging meestal een metamorfose ondergaan wanneer anti-phishing wetgeving van kracht wordt. Het empirisch onderzoek wijst uit dat de Ministerraad in België een aantal initiatieven genomen heeft die jammer genoeg tot op de dag van vandaag dode letter zijn gebleven. De Ministerraad heeft een Cybersecuritystrategie voor België opgesteld die als doel heeft de cyberbeveiliging in België te garanderen. Daarnaast is er ook een voorstel uitgewerkt om een Centrum voor Cybersecurity België in het leven te roepen.
70/110
Conclusies, aanbevelingen, product- en procesreflectie De noodkreet "We are losing this battle" is tekenend voor de onmacht van de mensen die dienen in te staan voor de cyberbeveiliging in België. Onderbemand, zonder budget is het dweilen met de kraan open. Als de Zweedse coalitie de volgende federale regering wordt, dan is de kans groot dat cyberbeveiliging een hoge prioriteit zal krijgen en dat de nodige budgetten vrijgemaakt zullen worden. Het feit dat België op de Romaans - Germaanse breuklijn ligt in Europa maakt de dingen er niet eenvoudiger op. Er bestaat een cultuurverschil tussen de Nederlandstalige en de Franstalige parlementsleden in relatie tot informatisering en privacy. De Nederlandstalige parlementsleden geloven in meer informatisering en bescherming van de privacy door het instellen van veiligheidsmaatregelen met behulp van cybersecurity. De Franstalige parlementsleden hebben het hier moeilijker mee omdat zij vrezen dat de privacy van de burger sowieso in het gedrang komt ondanks de ingestelde cyberbeveiligingsmaatregelen. Voor beide strekkingen valt wat te zeggen. Door een verdere informatisering van de overheidsdiensten, zal de overheid efficiënter, sneller en beter functioneren. Daarnaast blijkt uit de onthullingen van Edward Snowden dat bijna geen enkel informatiesysteem veilig is voor inlichtingendiensten. In het licht van de onthullingen van Snowden stelt zich de vraag in hoeverre de privacy van de burger beschermd kan worden door informatiebeveiligingssystemen als bijvoorbeeld de NSA backdoors in die systemen laat inbouwen. Het merendeel van de Belgische overheidsadministraties zorgt ervoor dat haar werknemers ingelicht zijn over de mogelijke gevaren van phishing en cybermisdrijven. De Belgische overheid heeft ook reeds een sensibiliseringsbericht verstuurd via de openbare omroep. Uit een enquête van Eurostat blijkt dat de Belgische burger zich gemiddeld geïnformeerd voelt over de gevaren van cybercriminaliteit. De Nederlandse burger voelt zich veel beter ingelicht dan de Belgische burger. Dit geeft aan dat de Belgische overheid nog werk voor de boeg heeft om haar burgers te sensibiliseren, wat beaamd wordt door verschillende parlementsleden. Een belangrijke conclusie is dat cyberbeveiliging niet alleen een taak van de overheid is. Iedere burger, iedere onderneming dient haar steentje bij te dragen. Enkel door de verantwoordelijkheid samen op te nemen kan het internet een veiligere plaats worden voor de Belgen. Antwoordbereidheid Een opvallende vaststelling van het onderzoek was de niet-bestaande antwoordbereidheid bij de Belgische cybersecurityinstellingen. Geen enkele instelling heeft deelgenomen aan het onderzoek. De slagzin ‘security through obscurity’ blijkt hoog in het vaandel gedragen te worden door deze instellingen, ondanks wetenschappelijke aanwijzingen dat dit het cybersecurityprobleem enkel maar vergroot (Moore et al., 2009). Betrouwbaarheid – validiteit Het feit dat de Belgische cyberbeveiligingsinstellingen niet hebben deelgenomen aan het onderzoek heeft een negatieve impact op de betrouwbaarheid van de resultaten van het empirisch onderzoek. Deze instellingen beschikken over de werkelijke cijfers en informatie over phishing en cybercriminaliteit. De Vlaamse partijen zijn afhankelijk van de informatie die zij krijgen van de overheidsinstellingen, bijvoorbeeld door het stellen van parlementaire vragen. Uit de antwoorden op de parlementaire vragen met betrekking tot cybersecurityincidenten blijkt dat overheidsinstellingen soms de ware toedracht verbergen door het geven van nietszeggende antwoorden. De kruisvalidatie
71/110
Conclusies, aanbevelingen, product- en procesreflectie van de antwoorden van een ex-consultant van een Vlaamse cyberbeveiligingsinstelling en de antwoorden van de Vlaamse politieke partijen vertoont dat er een sterke vorm van homogeniteit bestaat tussen de antwoorden. Er bestaan geen significante verschillen tussen de antwoorden van de Vlaamse politieke partijen wanneer ze vergeleken worden aan de hand van hun positie op het politieke spectrum. Iedere respondent is het erover eens dat cybercrimebestrijding (phishingbestrijding) in België een probleem is. De onwil van de cyberbeveiligingsinstellingen om informatie vrij te geven onderstreept het bestaan van dit probleem. Daar het onderzoek opgebouwd is rond een referentiemodel dat is afgeleid uit de meeste recente wetenschappelijk literatuur kan het in haar huidige vorm ook bij andere overheden toegepast worden. Er is sprake van een hoge mate van externe validiteit. Vergelijking tussen phishing bij de Belgische overheid en phishing bij financiële instellingen in Nederland De financiële instellingen in Nederland bleken een hogere antwoordbereidheid te tonen dan de Belgische cyberbeveiligingsinstellingen. Door het gebrek aan een centraal beleid, houden de Belgische administraties informatie over cyberbeveiliging liever binnenskamers. Moore et al. (2009) gaven in hun onderzoek aan dat dit vroeger ook het geval was tussen antivirus ondernemingen. Maar door kennis te delen over virusincidenten zijn deze ondernemingen in staat gebleken om hun antivirusproducten beter te maken en de virusbedreiging beter te lijf te kunnen gaan. De grote winnaar daarvan is de consument. ‘Security through obscurity’ speelt enkel de cybercriminelen in de kaart. Zij hebben rapporten en cijfers over cyberincidenten niet nodig om hun misdrijven te plegen, om een Belgisch (Europees) cyberveiligheidsbeleid uit te bouwen zijn deze cijfers echter onontbeerlijk. Zowel de financiële sector in Nederland als de Belgische overheid merken dat er steeds meer spearphishingpogingen gebeuren. Daarnaast hebben ze beide last van algemene e-mailphishing, telefoonphishing en malware-based phishing. Het merendeel van de phishingaanvallen tegen financiële instellingen in Nederland is gericht op geldgewin. Sommige phishingaanvallen tegen de Belgische overheid (cyberincidenten van Rijksdienst voor Kinderbijslag en de Belgische fiscus) waren er ook op gericht om bankgegevens te ontvreemden om geld te kunnen stelen. Andere aanvallen tegen de Belgische overheid waren erop gericht informatie te stelen. Daarnaast heeft de Belgische overheid ook last van ‘state-sponsored’ aanvallen, waarbij phishing gebruikt wordt als middel om binnen te dringen en confidentiële informatie te stelen (BICS cyberincident). Het cyberbeveiligingsbeleid van Nederlandse financiële instellingen wordt deels gecoördineerd door de NVB. De NVB zorgt samen met haar leden voor sensibiliseringscampagnes en houdt cijfermateriaal bij. De NVB heeft zelfs een definitie van phishing opgesteld om spraakverwarringen te vermijden. De NVB erkent ook het probleem dat phishing stelt en geeft de bestrijding ervan de hoogste prioriteit. De Belgische overheid heeft nog geen centraal coördinatiepunt en heeft moeite om het probleem van cybercriminaliteit te erkennen. De financiële instellingen trekken de nodige budgetten uit om de strijd tegen cybercriminaliteit te voeren. Zij werken nauw samen met politie en justitie. Een aantal financiële instellingen maakt gebruik van externe firma's voor hun cyberbeveiliging. De administraties van de Belgische overheid werken ook nauw samen met justitie en politie en sommige overheidsdiensten maken ook gebruik van externe cyberbeveiligingsfirma's. Het grote verschil ligt in het feit dat zij niet over de nodige budgetten beschikken om een sterk beveiligingsbeleid te implementeren. De NVB
72/110
Conclusies, aanbevelingen, product- en procesreflectie geeft aan dat phishingbestrijding een gedeelde verantwoordelijkheid is tussen de klant en de financiële instelling. Een zelfde redenering wordt gevolgd door cybercrimespecialisten van de Belgische overheid en een aantal parlementsleden. Cybercrimebestrijding is een gedeelde verantwoordelijkheid tussen de overheid en de burger. Hoofdvraag: Hoe gaat de Belgische overheid om met phishing? De hoofdvraag luidt: Hoe gaat de Belgische overheid om met phishing?. Het antwoord hierop is dat de Belgische overheid veel moeite heeft met phishing. Ondanks initiatieven om cybercriminaliteit hoog op de agenda te krijgen, ondanks initiatieven om een visie uit te werken en om een centraal superviserend cybersecuritycentrum op te richten is er in de praktijk niets aan de precaire cybersecuritysituatie in België veranderd. Noodkreten van cybersecurityspecialisten bij de overheid zelf, die zelfs teruggaan tot 2007, zijn allemaal in dovemansoren gevallen. Iedere overheidsdienst probeert naar best vermogen phishing het hoofd te bieden. Het probleem wordt niet erkend en daardoor zijn er ook geen mensen en budgetten voorzien. Uit een hele reeks incidenten blijkt dat het probleem phishing (cybercriminaliteit) wel degelijk bestaat en veel schade berokkent aan de overheid en aan het land. Er is gelukkig een aantal lichtpunten in het onderzoek naar boven gekomen. Een aantal Vlaamse partijen heeft blijk gegeven van een duidelijke visie over hoe er in de toekomst dient omgegaan te worden met phishing (cybercriminaliteit). In het voorlopige regeerakkoord van de op handen zijnde nieuwe Belgische regering is de bestrijding van cybercriminaliteit één van de topprioriteiten.
73/110
Conclusies, aanbevelingen, product- en procesreflectie
5.2 Aanbevelingen voor verder onderzoek In deze paragraaf wordt een aantal pisten naar voren geschoven voor verder onderzoek. NEDERLAND Daar België en Nederland landen zijn die sterk op elkaar gelijken zou dit onderzoek in Nederland kunnen uitgevoerd worden. De hoofdvraag zou dan luiden: Hoe gaat de Nederlandse overheid om met phishing?. De conclusies van het onderzoek bij de Nederlands overheid kunnen dan vergeleken worden met de conclusies van dit onderzoek. FRANKRIJK Dit onderzoek zou ook in Frankrijk uitgevoerd kunnen worden. Frankrijk is een veel groter land dan België, maar net de verschillen tussen een groot land en een klein land kunnen nieuwe inzichten opleveren. Een groot land zal waarschijnlijk meer voor eigen rekening proberen te rijden, daar waar een klein land zich meestal naar Europa richt omdat het zelf beperktere mogelijkheden heeft om cybercriminaliteit (phishing) te bestrijden. EUROPEES VERBAND Een groter onderzoek naar phishing in relatie tot de overheid zou in alle landen van de EU kunnen gebeuren. Dit zou veel nieuwe inzichten naar voren brengen en zou de basis kunnen vormen voor een beleid op Europees niveau. BREDERE SCOPE De scope van het onderzoek zou breder kunnen genomen worden. Niet enkel phishing in relatie tot de overheid zou onderzocht kunnen worden, maar cybercriminaliteit in zijn geheel. JURIDISCHE ANTI-PHISHINGMAATREGELEN Bijkomend onderzoek zou zich kunnen richten op de juridische invalshoek van phishingbestrijding. Welk wetgevend kader is noodzakelijk om phishing te bestrijden? VERDER IN DE TIJD Daar de federale overheid in België waarschijnlijk binnenkort gevormd zal worden, kan binnen bijvoorbeeld tweeëneenhalf jaar dit onderzoek opnieuw uitgevoerd worden om te toetsen in hoeverre mate de overheidsinstellingen erop vooruit zijn gegaan op het vlak van phishingbestrijding.
5.3 Productreflectie In deze paragraaf wordt een aantal punten van kritiek op het onderzoek aangeraakt. Voor dit onderzoek is er voornamelijk gebruik gemaakt van: -
antwoorden gegeven door politici; antwoorden die door de aangeschreven regeringsadministraties gegeven zijn op schriftelijke parlementaire vragen; rapporten gemaakt in Belgische en Europese context.
De resultaten van het onderzoek zouden een stuk sterker zijn, als de verschillende cyberbeveiligingsinstellingen van de overheid deel hadden genomen aan het onderzoek. Het feit dat geen enkele instelling bereid was om mee te werken is een resultaat op zich. Er schort duidelijk wat aan het cyberbeveiligingsbeleid van de overheid. De effectiviteit van de anti-phishingmaatregelen, die door de Belgische overheid genomen worden, kon niet onderzocht worden omdat de cyberbeveiligingsinstellingen van de overheid niet deel hebben genomen aan het onderzoek, waardoor er geen cijfermateriaal over effectiviteit ter beschikking is.
74/110
Conclusies, aanbevelingen, product- en procesreflectie Het aantal respondenten van dit onderzoek is beperkt. Het onderzoek had uitgebreid kunnen worden naar woordvoerders van ondernemingen in de private sector, naar onderzoekscentra en naar lagere overheden want ook zij krijgen te maken met phishing en ook zij hebben veel te verliezen. Een dergelijke uitbreiding zou buiten de scope van het onderzoek zijn getreden maar kan wel stof zijn voor verder onderzoek. In het onderzoeksverslag zijn soms vereenvoudigingen doorgevoerd om de leesbaarheid te bevorderen en om interessante vergelijkingen mogelijk te maken. De vergelijkingen tussen phishing in relatie tot Nederlandse financiële instellingen en phishing bij de Belgische overheid zijn hier een voorbeeld van. Enkel de aspecten die vergeleken konden worden zijn in het onderzoek besproken. Een publieke onderneming wordt op een heel andere manier bestuurd dan een private onderneming. Een publieke onderneming heeft vaak een monopolie en is onderhevig aan machtspolitiek. Een private onderneming dient op een concurrerende markt stand te houden en zal daardoor sneller reageren op evolutieve gebeurtenissen zoals het steeds sterker optreden van cybercriminaliteit. Ondanks die verschillen is er toch een aantal interessante vergelijkingspunten naar voren gebracht. De waarde van het onderzoek bestaat uit twee aspecten: 1. Er is een duidelijk referentiekader gecreëerd gebaseerd op peer reviewed literatuur. Dit referentiekader kan gebruikt worden om in één overzicht de verschillende aspecten van phishing te duiden. 2. Het onderzoek brengt een sterk noodsignaal naar voren. De Belgische overheid dient zo snel mogelijk iets te doen aan haar cyberbeveiliging. Er zijn jaren verloren gegaan en de reeks incidenten van de laatste paar jaren geven aan dat de Belgische overheid ook als doelwit gebruikt wordt door hackers. Er is gelukkig ook een zilveren rand aan de onweerswolk; de cyberspecialisten van de verschillende partijen, die deelgenomen hebben aan het onderzoek, zijn het unaniem eens dat cyberbeveiliging prioriteit en budget dient te krijgen. Er zijn wetsvoorstellen die klaarliggen om van start te gaan, de regering dient ze enkel te laten stemmen.
5.4 Procesreflectie De handleiding voor het onderzoek heeft het proces een stuk eenvoudiger gemaakt (Hofstee & Kusters, 2012). De mijlpaaldocumenten zorgden ervoor dat de focus steeds goed lag en dat er stapsgewijs naar een goed onderbouwd onderzoeksverslag gewerkt werd. Het hele proces is voorspoedig verlopen tot aan het empirisch onderzoek. De opzet van het onderzoek was duidelijk, maar antwoorden krijgen van de aangesproken instanties bleek lastig te zijn. Zoals reeds besproken in voorgaande hoofdstukken bleek de antwoordbereidheid nagenoeg onbestaande te zijn. Ondanks herhaaldelijke telefonische oproepen en herhalingse-mails verwaardigde geen enkele instelling zich om een antwoord te geven. Er is dan beslist om de onderzoekspopulatie te verbreden naar politici. Ook hier was het verkrijgen van antwoorden niet altijd eenvoudig, maar de antwoordbereidheid was beduidend hoger. De kwaliteit van de antwoorden was zeer goed, wat het duidelijk en volledig beantwoorden, met uitzondering van de kwalitatieve vragen, van de onderzoeksvragen mogelijk maakte. De begeleider was steeds stipt en heel correct, wat de samenwerking prettig maakte. De manier waarop wetenschappelijk onderzoek gebeurt, was voor mij niets nieuw. Ongeveer 20 jaren geleden heb ik reeds een vergelijkbaar werk gemaakt. De referentiesoftware EndNote was wel een aangename verrassing. Referenties dienden niet meer zelf overgetypt te worden uit artikelen, maar EndNote importeerde die en bracht die via een plug-in in Word netjes naar de tekst. De digitale
75/110
Conclusies, aanbevelingen, product- en procesreflectie bibliotheek van de OU was ook een verademing. Alle literatuur was onmiddellijk bij de hand, waardoor er niet meer naar bibliotheken diende gereden te worden. Het milieu is er ook wel bij gevaren, want het kopiëren van artikelen was ook niet meer nodig. Ik vond het leerzaam om een fenomeen als phishing uit te spitten. Iedereen wordt geconfronteerd met phishing, maar het bleek voor mij toch een verrassing hoe krachtig deze social engineering methode is. Het contact met de politici en hun partijen was ook een aangename ervaring. België heeft heel kundige mensen in het parlement. Het is alleen jammer dat het parlement in België wat ondergewaardeerd is bij de beleidsvoering.
76/110
Referenties
6 Referenties 6.1 Wetenschappelijke bronnen Abad, C. (2005). The economy of phishing. First Monday, 1-1. Al-Msloum, A. S., & Al-Johani, A. A. (2013). SOCIAL ENGINEERING AND ITS EFFECTIVE ROLE IN KNOWLEDGE COMMUNITY. International Journal of Academic Research, 5(6), 232-238. doi: 10.7813/2075-4124.2013/5-6/A.30 Baron, L. (2006). Gone Vishing. Journal of Accountancy, 202(3), 15-15. Bergholz, A., De Beer, J., Glahn, S., Moens, M.-F., Paaß, G., & Strobel, S. (2010). New filtering approaches for phishing email. Journal of Computer Security, 18(1), 7-35. doi: 10.3233/JCS2010-0371 Bose, I., & Leung, A. C. M. (2007). UNVEILING THE MASK OF PHISHING: THREATS, PREVENTIVE MEASURES, AND RESPONSIBILITIES. Communications of the Association for Information Systems, 19, 544-566. Butler, R. (2007). A framework of anti-phishing measures aimed at protecting the online consumer's identity. The Electronic Library, 25(5), 517-533. Demchak, C. C. (1999). ‘New Security’ in Cyberspace: Emerging Intersection between Military and Civilian Contingencies. Journal of Contingencies & Crisis Management, 7(4), 181. Emigh, A. (2006). The crimeware landscape: Malware, phishing, identity theft and beyond. Journal of Digital Forensic Practice, 1(3), 245-260. Feigelson, J., & Calman, C. (2010). LIABILITY FOR THE COSTS OF PHISHING AND INFORMATION THEFT. Journal of Internet Law, 13(10), 1-26. Folsom, W. D., Guillory, M. D., & Boulware, R. D. (2005). Gone Phishing. Business & Economic Review, 52(1), 29-31. Gyorffy, J., Tappenden, A., & Miller, J. (2011). Token-based graphical password authentication. International Journal of Information Security, 10(6), 321-336. doi: 10.1007/s10207-011-01470 Hong, J. (2012). The State of Phishing Attacks. Communications of the ACM, 55(1), 74-81. doi: 10.1145/2063176.2063197 Hong, J. (2013). "Is the Computer Security Community Barking Up the Wrong Trees?". Communications of the ACM, 56(6), 10-11. doi: 10.1145/2461256.2461261 Jagatic, T. N., Johnson, N. A., Jakobsson, M., & Menczer, F. (2007). SOCIAL PHISHING. Communications of the ACM, 50(10), 94-100. Jansson, K., & von Solms, R. (2013). Phishing for phishing awareness. Behaviour & Information Technology, 32(6), 584-593. doi: 10.1080/0144929x.2011.632650 Jian, C., Venkatasubramanian, K. K., West, A. G., & Insup, L. E. E. (2013). Analyzing and Defending Against Web-Based Malware. ACM Computing Surveys, 45(4), 49-49:35. doi: 10.1145/2501654.2501663 Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing Detection: A Literature Survey. Ieee Communications Surveys and Tutorials, 15(4), 2091-2121. doi: 10.1109/surv.2013.032213.00009 Kirlappos, I., & Sasse, M. A. (2012). Security Education against Phishing: A Modest Proposal for a Major Rethink. IEEE Security and Privacy Magazine, 10(2), 24-32. Kruck, G. P., & Kruck, S. E. (2006). SPOOFING - A LOOK AT AN EVOLVING THREAT. Journal of Computer Information Systems, 47(1), 95-100. Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, L., & Hong, J. (2010). Teaching Johnny not to fall for phish. ACM Transactions on Internet Technology, 10(2), 1-31. Mannan, M., & van Oorschot, P. C. (2011). Leveraging personal devices for stronger password authentication from untrusted computers. Journal of Computer Security, 19(4), 703-750. doi: 10.3233/JCS-2010-0412 Mayhorn, C. B., & Nyeste, P. G. (2012). Training users to counteract phishing. Work-a Journal of Prevention Assessment & Rehabilitation, 41, 3549-3552. doi: 10.3233/wor-2012-1054-3549
77/110
Referenties Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic Perspectives, 23(3), 3-20. doi: 10.1257/jep.23.3.3 Oh, Y., & Obi, T. (2012). Identifying Phishing Threats in Government Web Services. International Journal of Information and Network Security (IJINS), 2(1), 32-42. Oravec, J. A. (2012). DECONSTRUCTING "PERSONAL PRIVACY" IN AN AGE OF SOCIAL MEDIA: INFORMATION CONTROL AND REPUTATION MANAGEMENT DIMENSIONS. International Journal of the Academic Business World, 6(1), 95-104. Purkait, S. (2012). Phishing counter measures and their effectiveness–literature review. Information Management & Computer Security, 20(5), 382-420. Ramzan, Z. (2010). Phishing attacks and countermeasures Handbook of Information and Communication Security (pp. 433-448): Springer. Sheng, S., Kumaraguru, P., Acquisti, A., Cranor, L., & Hong, J. (2009). Improving phishing countermeasures: An analysis of expert interviews. Proceedings of the 4th APWG eCrime Researchers Summit, 2, 4. Shirey, R. (2007). RFC4949 Internet security glossery. 2. Sinha, A., Haddad, I., Nightingale, T., Rushing, R., & Thomas, D. (2006). Wireless intrusion protection system using Distributed collaborative intelligence. Paper presented at the Performance, Computing, and Communications Conference, 2006. IPCCC 2006. 25th IEEE International. Vishwanath, A., Herath, T., Chen, R., Wang, J. G., & Rao, H. R. (2011). Why do people get phished? Testing individual differences in phishing vulnerability within an integrated, information processing model. Decision Support Systems, 51(3), 576-586. doi: 10.1016/j.dss.2011.03.002 Wall, D. S. (2008). Cybercrime, media and insecurity: The shaping of public perceptions of cybercrime. International Review of Law, Computers & Technology, 22(1/2), 45-63. doi: 10.1080/13600860801924907 Wenyin, L., Liu, G., Qiu, B., & Quan, X. (2012). Antiphishing through Phishing Target Discovery. IEEE Internet Computing, 16(2), 52-61. Workman, M. (2008). Wisecrackers: A theory-grounded investigation of phishing and pretext social engineering threats to information security. Journal of the American Society for Information Science and Technology, 59(4), 662-674. doi: 10.1002/asi.20779 Zhang, Y., Egelman, S., Cranor, L., & Hong, J. (2006). Phinding phish: Evaluating anti-phishing tools.
6.2 Niet-wetenschappelijke bronnen Anoniem. (2014). Interview over e-IB - Phishing bij Vlaamse overheid. In P. Schoofs (Ed.). Anti-Phishing Work Group Inc. (2014). About the APWG. Retrieved 22/6, 2014, from http://www.apwg.com/about-APWG/ APWG. (2014). Phishing Activity Trends Report. Retrieved 5/6, 2014, from http://www.antiphishing.org/ WETSVOORSTEL tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens wat de administratieve sancties, melding van lekken van gegevens, inzagerecht en informatieveiligheidsconsulenten betreft (2011). Belgisch Instituut voor postdiensten en telecommunicatie: over ons. (2014). Retrieved 1/6, 2014, from http://www.bipt.be/nl/consumenten/over-ons Belgische_Federale_Overheidsdiensten. (2012). Historische schets van de federalisering van België. Retrieved 1/6, 2014, from http://www.belgium.be/nl/over_belgie/land/geschiedenis/belgie_vanaf_1830/vorming_fed erale_staat/eerste_en_tweede_staatshervorming/ Belnet. (2014). Retrieved 1/6, 2014, from http://belnet.be/nl/over-ons/wie-zijn-we CD&V. (2014). Geschiedenis. Retrieved 17/9, 2014, from http://algemeen.cdenv.be/onzepartij/geschiedenis-0 Cert.be. (2014). Retrieved 1/6, 2014, from https://www.cert.be/nl CERT.be. (2014). Enkele cijfers. Retrieved 3/10, 2014, from https://www.cert.be/nl/enkele-cijfers
78/110
Referenties CustomerReport.org. (2009). State of the Net 2009. Retrieved 26/6, 2014, from http://www.consumerreports.org/cro/magazine-archive/june-2009/electronicscomputers/state-of-the-net/state-of-the-net-2009/state-of-the-net-2009.htm Dedecker P. (2014). Interview N-VA phishing - overheid. In P. Schoofs (Ed.). Delafortrie, S., & Springael, C. (2014). Oprichting van het Centrum voor cybersecurity België - tweede lezing. Retrieved 6/10, 2014, from http://www.presscenter.org/nl/pressrelease/20140425/oprichting-van-het-centrum-voorcybersecurity-belgie-tweede-lezing Desey R, & Scharpé W. (2014). Interview CD&V phishing - overheid. In P. Schoofs (Ed.). Dreijer, K. (2012). Online hengelen zonder vergunning. (MSc), Open Universiteit Nederland, Heerlen. EMC - RSA. (2013). Phishing kits - The same wolf, just a different sheep's clothing. Retrieved 25/6, 2014, from https://www.google.be/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&ve d=0CDoQFjAD&url=http%3A%2F%2Fwww.brandprotect.com%2Fcatching-aphish.html&ei=M52qU7izIOLQ7AbX6YGIBA&usg=AFQjCNEXZMlAzeBUXdXRW0jadhpXhWctA&sig2=bb0pRIFACrlGB10MlES0Pw EMC - RSA Corporation. (2014). 2013 a year in review. from http://www.emc.com/collateral/fraudreport/rsa-online-fraud-report-012014.pdf Emigh, A. (2006). The crimeware landscape: Malware, phishing, identity theft and beyond. Journal of Digital Forensic Practice, 1(3), 245-260. FCCU RCCU. (2014). Retrieved 1/6, 2014, from http://www.polfedfedpol.be/org/org_dgj_FCCU_RCCU_nl.php Federale politie. (2013). Integrale en geïntegreerde aanpak van de criminele fenomenen: Globale cijfers Retrieved 4/10, 2014, from http://www.rapportannuel.policefederale.be/fenomenennl.php GROEN. (2014). Groen. Retrieved 17/9, 2014, from http://www.groen.be/ Gunter, O. (2007). The Phishing Guide: Understanding & Preventing Phishing Attacks. Retrieved 18/6/2014, 2014, from http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf Hofstee, H., Kusters, R. (2012). Afstudeertraject Business Process Management and IT. Heerlen: Open Universiteit. ICT,
e-government en informatie. (2014). Retrieved 1/6, 2014, from http://www.bestuurszaken.be/ict-e-government-informatie Lijnen N. (2013). Schriftelijke vraag nr. 5-10355. Retrieved from http://www.senate.be/www/?MIval=/Vragen/SVPrintNLFR&LEG=5&NR=10355&LANG=nl. Lijnen N, & Bynens L. (2014). Interview Open VLD: phishing - overheid. In P. Schoofs (Ed.). Lijnen N. (2013a). Schriftelijke vraag nr. 5-7583 - 5-7582 - 5-7581 - 5-7580 - 5-7579 - 5-7578 - 5-7576 5-7575 - 5-7574 - 5-7573 - 5-7572 - 5-7571 - 5-7570 - 5-7569 - 5-7568 - 5-7567 - 5-7566. Brussels: Retrieved from http://www.senate.be/www/?MIval=/Vragen/SchriftelijkeVraag&LEG=5&NR=7566&LANG=n l. Lijnen N. (2013b). Schriftelijke vraag nr. 5-8976. Brussels: Retrieved from http://www.senate.be/www/?MIval=/Vragen/SVPrint&LEG=5&NR=9393&LANG=nl. Lijnen N. (2013c). Schriftelijke vraag nr. 5-10266. Brussel: Retrieved from http://www.senate.be/www/?MIval=/Vragen/SchriftelijkeVraag&LEG=5&NR=10266&LANG= nl. Lijnen N. (2014). Schriftelijke vraag nr. 5-9393. Brussels: Retrieved from http://www.senate.be/www/?MIval=/Vragen/SVPrint&LEG=5&NR=9393&LANG=nl. N-VA. (2014). Geschiedenis. Retrieved 17/9, 2014, from http://www.n-va.be/over-n-va/geschiedenis Nationale Veiligheidsoverheid (NVO). (2012). Retrieved 1/6, 2014, from http://diplomatie.belgium.be/nl/over_de_organisatie/organogram_en_structuur/nvo/
79/110
Referenties Open
VLD. (2014). Onze geschiedenis. Retrieved 17*9, 2014, from http://www.openvld.be/?type=content&id=17&pageid=21772 OpenPGP Alliance. (2014). OpenPGP. Retrieved 28/6, 2014, from http://www.openpgp.org/ Phishing.org. (2014). Phishing Techniques. Retrieved 19/06/2014, 2014, from http://www.phishing.org/phishing-techniques/ Reijerman, D. (2011). Ssl-hacker claimt privésleutel GlobalSign in handen te hebben. Retrieved 27/11, 2014, from http://tweakers.net/nieuws/76640/ssl-hacker-claimt-privesleutel-globalsign-inhanden-te-hebben.html Saunders, M., Lewis, P., Thornhill, A., Booij, M., & Verckens, J. P. (2011). Methoden en technieken van onderzoek (5 ed.). Amsterdam: Pearson Education Benelux BV. Shirey, R. (2007). RFC4949 Internet security glossery. 2. SP.A. (2014). Geschiedenis. from http://www.s-p-a.be/partij/geschiedenis/ Stewart, J. (2014). CompTIA Security+ Review Guide: Exam SY0-401. Canada: Sybex. Symantec. (2014). Internet security threat report 2014. Retrieved 19/6/2014, 2014, from http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v19_21291018.en-us.pdf The Internet Society. (1998). S/MIME Version 2 Message Specification. Retrieved 28/6, 2014, from http://www.rfc-editor.org/info/rfc2311 TNS Opinion & Social. (2012). Special Eurobarometer 390: CYBER SECURITY. Van Hecke S. (2014). Interview Groen - Phishing - Belgische overheid. In P. Schoofs (Ed.). Vlaams Belang. (2014). Vlaams Belang. Retrieved 17/9, 2014, from http://www.vlaamsbelang.be/
80/110
Bijlagen
Bijlagen
81/110
Bijlage A: Gevonden en geselecteerde artikelen
Bijlage A: Gevonden en geselecteerde artikelen Tabel 16 geeft een overzicht van de gevonden en de gebruikte artikelen over phishing. Daarnaast is een overzicht gegeven van de publicatiejaren van de verschillenden bronnen. Er is doelbewust zoveel mogelijk gebruik gemaakt van recente artikelen omdat phishing een sterk evolutief fenomeen is (APWG, 2014). Gevonden artikelen Gebruikte artikelen
Wetenschappelijke bronnen 49 29
Jaartal publicatie van de gebruikte artikelen 2014 2013 5 2012 6 2011 3 2010 3 2009 2 2008 2 2007 2 2006 4 2005 1 1999 1 1998 Tabel 16: Overzicht van het aantal gevonden en gebruikte artikelen
Niet-wetenschappelijke bronnen 18 12
7 1 1 1 1 1
82/110
Bijlage B: Definities uit de literatuur
Bijlage B: Definities uit de literatuur DEFINITIE VAN PHISHING DOOR FOLSOM ET AL. (2005) IN HET ENGELS: The fraudulent attempt by Internet criminals to get consumers to respond to e-mails and divulge personal financial information. DEFINITIE VAN PHISHING DOOR JAGATIC ET AL. (2007) IN HET ENGELS: Phishing is a form of deception in which an attacker attempts to fraudulently acquire sensitive information from a victim by impersonating a trustworthy entity. DEFINITIE VAN PHISHING DOOR WORKMAN (2008) IN HET ENGELS: Phishing is a ruse designed to gain sensitive information from an intended victim by way of e-mail and Web pages or letters that appear to be from genuine businesses, that command the potential victim to supply information to prevent an account from being closed, or as part of a promotion or giveaway. DEFINITIE VAN PHISHING DOOR VISHWANATH ET AL. (2011) IN HET ENGELS: Phishing is an e-mail based deception where a perpetrator (phisher) camouflages e-mails to appear as a legitimate request for personal and sensitive information. DEFINITIE VAN PHISHING DOOR J. HONG (2012) IN HET ENGELS: Phishing is a kind of social-engineering attack in which criminals use spoofed e-mail messages to trick people into sharing sensitive information or installing malware on their computers. DEFINITIE PHISHING DOOR KHONJI ET AL. (2013) IN HET ENGELS: Phishing is a type of computer attack that communicates socially engineered messages to humans via electronic communication channels in order to persuade them to perform certain actions for the attacker’s benefit.
83/110
Bijlage C: Operationalisering
Bijlage C: Operationalisering De operationalisering van de eigenschapsbegrippen is gebeurd op basis van het referentiemodel dat afgeleid is uit de literatuurstudie (zie bijlage C).
Welke soorten van phishing komen voor bij de Belgische overheid? -
Definitie van phishing aangeven. Soorten van phishing aangeven: o Deceptive (misleidende phishing): E-mail, instant messaging, telefoon, SMiShing, Vishing, zoekmachines, spearphishing en whaling. o Malware-based phishing: Trojans, key loggers, screen grabbers, session hijacking, web-based delivery, Wi-phishing, spear-phishing en whaling. o Gebruikte misleidende technieken: Vervalste websites, URL hiding, systeem herconfiguratie, content injection, pharming, DNS cache poisoning en man-in-the-middle.
Hoe vaak komt phishing voor bij de Belgische overheid? -
Hoe vaak vinden phishingaanvallen plaats? Welk soort van aanvallen betreft het (aantallen in relatie tot eerste vraag)? o Deceptive (misleidende phishing). o Malware-based phishing. o Gebruikte misleidende technieken.
Wat zijn de gevolgen van phishing voor de Belgische overheid? -
-
Persoonlijke schade: o Identiteitsdiefstal, o Financiële schade. Overheidsschade: o Reputatieschade, o Vertrouwensschade bij de gebruikers (bijvoorbeeld van e-government).
Welke organisatorische, technische en sociale maatregelen worden door de Belgische overheid genomen? -
-
Organisatorisch maatregelen: o Hoe is de phishingbestrijding georganiseerd? o Welke instanties / departementen / ministeries / ministers zijn verantwoordelijk? Technische maatregelen: o Passieve indicatoren: Anti-phishingtoolbars / plug-ins in browsers, Gebruik SSL. o Actieve indicatoren: Op de client toestellen: • Desktop agenten (antivirus, antimalware, persoonlijke firewall …), • E-mail client hardening (geen automatische opening bijlages, geen rechtstreekse toegang tot internet), • Browser hardening (geen Java runtime, geen Active X toelaten, cookies niet automatisch opslaan …).
84/110
Bijlage C: Operationalisering
-
Op de servers: • E-mail authenticatie, • Web applicatie security, • Two-factor authentication, • Back-end analysis (verdacht verkeer blokkeren), • Gateway services (controle van in- en uitgaand data verkeer naar internet). Sociale maatregelen: o Gebruikerseducatie: Sensibiliseringscampagnes, Trainingen.
85/110
Bijlage D: Planning
Bijlage D: planning 1 Planning van het onderzoek 1.1 Contactpersonen In eerste instantie is er contact opgenomen met de verschillende instanties van de overheid die instaan voor cyberbeveiliging (zie paragraaf 2.1.3) om de namen te achterhalen van de woordvoerders van deze organisaties. Eenzelfde methode is toegepast voor de verschillende politieke partijen. Toen de namen van deze personen gekend waren, is de workflow, weergegeven in Figuur 22, gevolgd om de interviews te plannen. Mail sturen of persoon wenst mee te doen
> 3X Afspraak maken
Interview afnemen
Resultaat van interview laten controleren
Neen ≤ 3X
Start
Bellen
Neen
Persoon bereikt?
Ja
Ja
Persoon akkoord?
OR
Einde
Ja E-mail met vragen sturen
Antwoorden per e-mail ontvangen
Neen
Figuur 22: Onderzoeksworkflow gevolgd om de gegevens te bekomen
De personen werden gebeld om te vragen of zij wensten mee te doen aan het onderzoek. Wanneer na drie keren proberen op verschillende tijdstippen de persoon niet telefonisch bereikt kon worden, werd een e-mail met het verzoek tot deelname verstuurd. Als een persoon zich akkoord verklaarde, werd een afspraak gemaakt om ter plaatse of op afstand het interview te nemen. In tweede instantie was het ook mogelijk dat de vragenlijst per e-mail verstuurd werd naar de respondent, wanneer de respondent daarop aandrong. Na het afnemen van het interview werden de antwoorden naar de respondent ter controle gestuurd. Na het ontvangen van de gecontroleerde antwoorden of na het ontvangen van de rechtstreeks gestuurde antwoorden is de workflow afgerond en kon de analyse van de ontvangen data van start gaan.
1.2 Drie soorten vragenlijsten Er worden drie vragenlijsten opgesteld om als bijlage met de e-mail verstuurd te worden: -
De vragenlijst waarin sprake is van de Belgische overheid, De vragenlijst waar enkel sprake is van de Vlaamse overheid. De vragenlijst die vragen stelt aan de cyberbeveiligingsspecialist van de politieke partijen.
De Vlaamse overheid beschouwd zichzelf niet altijd als de Belgische overheid. Om politieke gevoeligheden te vermijden, worden er dus twee vragenlijsten opgesteld.
1.3 Drie soorten e-mails In het e-mail bericht gericht aan de Vlaamse ambtenaren, wordt een paragraaf toegevoegd waarin uitgelegd wordt dat, ondanks het feit dat in de titel enkel sprake is van de Belgische overheid, ook de Vlaamse overheid mee bevraagd wordt naar de omgang met phishing. De e-mails die verstuurd
86/110
Bijlage D: Planning worden naar de cyberbeveiligingsspecialisten van de politieke partijen heeft een licht afwijkende omschrijving daar het geen overheidsinstelling betreft, maar een natuurlijk persoon. Instelling NVO FedICT BelNET CERT BIPT FCCU e-IB
Naam van de respondent35 Dirk Nissen Mila Druwe Davina Luyten Davina Luyten
[email protected] Walter Coenraets Anoniem
Functie van de respondent Security officer Marcom manager Persverantwoordelijke Persverantwoordelijke ICT-afdeling Hoofd FCCU Ex-consultant
N-VA Peter Dedecker Federaal parlementslid CD&V Roel Deseyn Federaal parlementslid Open Vld Nele Lijnen Federaal parlementslid sp.a Dajo De Prins Onderzoeksmedewerker SPA Groen Stefaan Van Hecke Federaal parlementslid VB Niet bekend ICT-medewerkers Vlaams Belang Tabel 17: Overzicht van de instellingen die gecontacteerd zijn en de naam en functie van de gecontacteerden
35 Het feit dat de namen van de respondenten opgenomen zijn in deze tabel, betekent niet dat zij daadwerkelijk zullen antwoorden (geantwoord hebben) op de vragenlijst.
87/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
Bijlage E: Vragenlijst gericht aan de Belgische overheidsinstellingen verantwoordelijk voor cyberbeveiliging 1 Gegevens over de persoon die de vragenlijst invult I.
Wat is uw naam?
……………………………………………………………………………………………………………………………………………………………. II.
Voor welke organisatie werkt u?
……………………………………………………………………………………………………………………………………………………………. III.
Wat is uw functie / rol met betrekking tot phishingbestrijding?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie IV.
Wat is de volledige naam van uw organisatie? Wordt dit afgekort of zijn er andere aanduidingen voor uw organisatie?
……………………………………………………………………………………………………………………………………………………………. V.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw organisatie zijn?
……………………………………………………………………………………………………………………………………………………………. VI.
Behoort de organisatie tot een groter geheel of ressorteert zij misschien onder een andere overkoepelende organisatie? Welke?
……………………………………………………………………………………………………………………………………………………………. VII.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, van en over uw organisatie beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan de orde komen?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties VIII.
Welke andere organisaties die zich bezighouden met phishingbestrijding bij de overheid in België zijn u bekend?
……………………………………………………………………………………………………………………………………………………………. IX.
Werkt uw organisatie samen met transnationale of internationale anti-phishingorganisaties? Indien het antwoord ja is, gelieve de naam van deze organisaties ook in te vullen.
…………………………………………………………………………………………………………………………………………………………….
88/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
4 Categorie 1: 1 Welke soorten van phishing komen voor bij de Belgische overheid? Definitie uit de literatuurstudie: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren.
X.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen met de definitie van phishing die binnen uw organisatie wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………... XI.
Wordt uw organisatie geconfronteerd met phishing tegen de overheid?
……………………………………………………………………………………………………………………………………………………………. XII.
Met welke soorten van phishing wordt uw organisatie geconfronteerd? Gelieve de voorkomende soorten te omcirkelen of een kruisje in te vullen achter de soort. Indien uw organisatie met nog andere soorten geconfronteerd wordt, gelieve ook deze in de vullen in de lege vakken (Andere?) met een korte uitleg.
Soorten deceptive phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per email Phishingboodschap verstuurd via instant messaging bericht Phishingboodschap verstuurd via telefoon
Instant messaging phishing Telefoonphishing
X
Soorten malwarebased phishing Phishing m.b.v. Trojans Key loggers Screen grabbing
SMiShing
Phishingboodschap verstuurd per SMS
Session hacking
Vishing
Phishingboodschap verstuurd VOIP (Voice over IP)
via
Web-based delivery phishing
Zoekmachines
Phishingboodschap staat naast de zoekresultaten met aantrekkelijke aanbiedingen De phishingboodschap is gericht naar een specifieke groep van persoon of één persoon (CEO, CFO …).
Wi-Phishing
Spear-phishing whaling Andere?
Spearphishing whaling Andere?
Andere?
Andere?
XIII.
/
/
Korte uitleg
X
Door op de phishingboodschap te reageren zijn Trojans geïnstalleerd. Door op de phishingboodschap te reageren zijn Key loggers geïnstalleerd. Door op de phishingboodschap te reageren zijn screen grabbers geïnstalleerd die screenshots doorsturen naar de phishers Sessies naar webservers worden afgeluisterd of onderschept m.b.v. een sniffer Door op de URL te klikken in de phishingboodschap zal het slachtoffer naar een site gebracht worden die malware op de PC injecteert. De phisher maakt gebruik van een vals WiFi accesspoint. De phishingboodschap is gericht naar een specifieke groep van persoon of één persoon (CEO, CFO …).
Met welke misleidende technieken toegepast in een phishingaanval heeft u al te maken gehad? Gelieve deze te omcirkelen of een kruisje in te vullen achter de misleidende techniek. Indien er nog andere technieken bestaan waarmee u te maken heeft gehad, gelieve deze in de lege vakken (Andere?) in te vullen met een korte uitleg.
89/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen Misleidende technieken Vervalste websites URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning Man-in-the-middle
Korte uitleg
X
Legitieme websites worden nagemaakt om gebruikers gegevens afhandig te maken of om malware te installeren Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen, wordt het toestel meer vatbaar voor malware. De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te leiden naar een phishingsite De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een reversed proxy), waardoor de gebruikers naar phishingsite worden geleid De phisher positioneert een valse website tussen het slachtoffer en de echte website. Alle inloggegevens worden opgenomen en vervolgens doorgegeven aan de echte website
Andere?
Andere?
XIV.
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………... XV.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
90/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
5 Categorie 2: 2 Hoe vaak komt phishing voor bij de Belgische overheid? XVI.
Wat is het aantal phishingmeldingen binnen uw organisatie?
…………………………………………………………………………………………………………………………………………………………... XVII.
Kan u per soort van phishingaanvallen aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw organisatie? Indien u met nog andere aanvallen geconfronteerd bent, gelieve deze in de lege vakken (Andere?) in te vullen met hun aantallen.
Soorten deceptive phishing
Aantal
Soorten malware-based phishing Phishing m.b.v. Trojans Key loggers Screen grabbing Session hacking Web-based delivery phishing Wi-Phishing
E-mailphishing Instant messaging phishing Telefoonphishing SMiShing Vishing Zoekmachines Spear-phishing / whaling Andere?
Andere?
Andere?
Andere?
XVIII.
Aantal
Kan u per misleidende techniek aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw organisatie? Indien u met nog andere misleidende technieken geconfronteerd bent, gelieve deze in de lege vakken (Andere?) in te vullen met hun aantallen.
Misleidende technieken Vervalste websites URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning Man-in-the-middle Andere?
Aantal
Andere?
XIX.
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………... XX.
Op welke manier registreert / telt u phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
91/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
6 Categorie 3: 3 Wat zijn de gevolgen van phishing voor de Belgische overheid XXI.
Op welke aspecten / onderdelen / ministeries / diensten van de Belgische overheid heeft phishing een impact?
…………………………………………………………………………………………………………………………………………………………... XXII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………... XXIII.
Wat zijn de direct gevolgen van phishing die u waarneemt? (Financiële schade, identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………... XXIV.
Wat zijn de indirecte gevolgen van phishing die u waarneemt? (Groeiend wantrouwen van de gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
92/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
7 Categorie 4: 4 Anti-phishingmaatregelen XXV.
Zijn er richtlijnen of een beleid opgesteld over het omgaan met phishingaanvallen? Waarop is dit beleid gestoeld (op studies, op vroegere ervaringen, een bepaalde visie)?
…………………………………………………………………………………………………………………………………………………………... XXVI.
Welke sociale maatregelen neemt uw organisatie om phishing te bestrijden? (Training van de gebruikers in het herkennen van phishingboodschappen, phishingaanval simulaties, sensibiliseringscampagnes, boodschappen van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………... XXVII.
Welke technische anti-phishingmaatregelen neemt uw organisatie om phishing bij de overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of er een kruisje bij te zetten.
Anti-phishingmaatregel Het gebruiken van antiphishingtoolbars en plug-ins in browers SSL Desktop agenten installeren op de PCs
E-mail client hardening Browser hardening E-mail controle op de server Web applicatie security Two-factor authentication Back-end analysis Gateway services Gecentraliseerd portaal voor online overheidsdiensten
XXVIII.
Korte uitleg In de browsers software componenten toevoegen die waarschuwingen geven aan de gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een persoonlijk intrusion detection systeem, een persoonlijke antispam software en een spyware detectie software. HTML gebaseerde mails verhinderen om automatisch naar het internet te laten connecteren. Automatisch openen van bijlages blokkeren. Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning De server automatisch laten controleren of de DNS gegevens in de mails kloppen. Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP) Gebruiken van een vorm van web application firewalling Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een paswoord Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren. Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de phishingboodschappen, virussen en malware filtert. De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die uw organisatie neemt die niet vernoemd zijn? Welke?
…………………………………………………………………………………………………………………………………………………………... XXIX.
Heeft u nog andere informatie over phishing bij de overheid die niet aan bod gekomen zijn in de vragenlijst? Kan u deze kort toelichten?
…………………………………………………………………………………………………………………………………………………………... Ik dank u en uw organisatie hartelijk voor het invullen van deze vragenlijst en de deelname aan het onderzoek.
93/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
Bijlage F: Vragenlijst gericht aan de Vlaamse overheidsinstellingen verantwoordelijk voor cyberbeveiliging 1 Gegevens over de persoon die de vragenlijst invult I.
Wat is uw naam?
……………………………………………………………………………………………………………………………………………………………. II.
Voor welke organisatie werkt u?
……………………………………………………………………………………………………………………………………………………………. III.
Wat is uw functie / rol met betrekking tot phishingbestrijding?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie IV.
Wat is de volledige naam van uw organisatie? Wordt dit afgekort of zijn er andere aanduidingen voor uw organisatie?
……………………………………………………………………………………………………………………………………………………………. V.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw organisatie zijn?
……………………………………………………………………………………………………………………………………………………………. VI.
Behoort de organisatie tot een groter geheel of ressorteert zij misschien onder een andere overkoepelende organisatie? Welke?
……………………………………………………………………………………………………………………………………………………………. VII.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, van en over uw organisatie beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan de orde komen?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties VIII.
Welke andere organisaties die zich bezighouden met phishingbestrijding bij de overheid in België zijn u bekend?
……………………………………………………………………………………………………………………………………………………………. IX.
Werkt uw organisatie samen met transnationale of internationale anti-phishingorganisaties? Indien het antwoord ja is, gelieve de naam van deze organisaties ook in te vullen.
…………………………………………………………………………………………………………………………………………………………….
94/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
4 Categorie 1: 1 Welke soorten van phishing komen voor bij de Belgische en Vlaamse overheid? Definitie uit de literatuurstudie: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van de waardevolle logische objecten of uit het surfen van het slachtoffer naar vervalste websites van betrouwbare instanties waar de waardevolle logische objecten ontvreemd worden of waar er ongemerkt malware op het toestel van het slachtoffer geïnstalleerd wordt, die de waardevolle logische objecten naar de phisher doorstuurt. X.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen met de definitie van phishing die binnen uw organisatie wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………... XI.
Wordt uw organisatie geconfronteerd met phishing tegen de overheid?
……………………………………………………………………………………………………………………………………………………………. XII.
Met welke soorten van phishing wordt uw organisatie geconfronteerd? Gelieve de voorkomende soorten te omcirkelen of een kruisje in te vullen achter de soort.
Soorten deceptive phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per e-mail
Instant messaging phishing Telefoonphishing
Phishingboodschap verstuurd via instant messaging bericht Phishingboodschap verstuurd via telefoon
SMiShing
Phishingboodschap verstuurd per SMS Phishingboodschap verstuurd via VOIP (Voice over IP)
Session hacking Web-based delivery phishing
Phishingboodschap staat naast de zoekresultaten met aantrekkelijke aanbiedingen De phishingboodschap is gericht naar een specifieke groep van persoon of één persoon (CEO, CFO …).
Wi-Phishing
Vishing
Zoekmachines
Spear-phishing whaling
XIII.
/
X
Soorten malwarebased phishing Phishing m.b.v. Trojans Key loggers Screen grabbing
Man-in-themiddle
Korte uitleg
X
Door op de phishingboodschap te reageren zijn Trojans geïnstalleerd. Door op de phishingboodschap te reageren zijn Key loggers geïnstalleerd. Door op de phishingboodschap te reageren zijn screen grabbers geïnstalleerd die screenshots doorsturen naar de phishers Sessies naar webservers worden afgeluisterd of onderschept m.b.v. een sniffer Door op de URL te klikken in de phishingboodschap zal het slachtoffer naar een site gebracht worden die malware op de PC injecteert. De phisher maakt gebruik van een vals WiFi accesspoint. De phisher positioneert een valse website tussen het slachtoffer en de echte website. Alle inloggegevens worden opgenomen en vervolgens doorgegeven aan de echte website
Met welke misleidende technieken toegepast in een phishingaanval heeft u al te maken gehad? Gelieve deze te omcirkelen of een kruisje in te vullen achter de misleidende techniek.
Misleidende technieken URL hiding Systeem herconfiguratie
Korte uitleg
X
Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen, wordt het toestel meer vatbaar voor malware.
95/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen Misleidende technieken Content injection Pharming DNS cache poisoning
XIV.
Korte uitleg
X
De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te leiden naar een phishingsite De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een reversed proxy), waardoor de gebruikers naar phishingsite worden geleid
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………... XV.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
96/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
5 Categorie 2: 2 Hoe vaak komt phishing voor bij de Belgische en Vlaamse overheid? XVI.
Wat is het aantal phishingmeldingen binnen uw organisatie?
…………………………………………………………………………………………………………………………………………………………... XVII.
Kan u per soort van phishingaanvallen aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw organisatie?
Soorten deceptive phishing E-mailphishing Instant messaging phishing Telefoonphishing SMiShing Vishing Zoekmachines Spear-phishing / whaling
XVIII.
Soorten malware-based phishing Phishing m.b.v. Trojans Key loggers Screen grabbing Session hacking Web-based delivery phishing Wi-Phishing Man-in-the-middle
Aantal
Kan u per misleidende techniek aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw organisatie?
Misleidende technieken URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning
XIX.
Aantal
Aantal
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………... XX.
Op welke manier registreert / telt u phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
97/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
6 Categorie 3: 3 Wat zijn de gevolgen van phishing voor de Belgische en Vlaamse overheid XXI.
Op welke aspecten / onderdelen / ministeries / diensten van de Vlaamse overheid heeft phishing een impact?
…………………………………………………………………………………………………………………………………………………………... XXII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………... XXIII.
Wat zijn de direct gevolgen van phishing die u waarneemt? (Financiële schade, identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………... XXIV.
Wat zijn de indirecte gevolgen van phishing die u waarneemt? (Groeiend wantrouwen van de gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
98/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
7 Categorie 4: 4 Anti-phishingmaatregelen XXV.
Zijn er richtlijnen of een beleid opgesteld over het omgaan met phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………... XXVI.
Welke sociale maatregelen neemt uw organisatie om phishing te bestrijden? (Training van de gebruikers in het herkennen van phishingboodschappen, phishingaanval simulaties, sensibiliseringscampagnes, boodschappen van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………... XXVII.
Welke technische anti-phishingmaatregelen neemt uw organisatie om phishing bij de overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of er een kruisje bij te zetten.
Anti-phishingmaatregel Het gebruiken van antiphishingtoolbars en plug-ins in browers SSL Desktop agenten installeren op de PCs
E-mail client hardening Browser hardening E-mail controle op de server Web applicatie security Two-factor authentication Back-end analysis Gateway services Gecentraliseerd portaal voor online overheidsdiensten
XXVIII.
Korte uitleg In de browsers software componenten toevoegen die waarschuwingen geven aan de gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een persoonlijk intrusion detection systeem, een persoonlijke antispam software en een spyware detectie software. HTML gebaseerde mails verhinderen om automatisch naar het internet te laten connecteren. Automatisch openen van bijlages blokkeren. Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning De server automatisch laten controleren of de DNS gegevens in de mails kloppen. Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP) Gebruiken van een vorm van web application firewalling Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een paswoord Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren. Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de phishingboodschappen, virussen en malware filtert. De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die uw organisatie neemt die niet vernoemd zijn? Welke?
…………………………………………………………………………………………………………………………………………………………... Ik dank u en uw organisatie hartelijk voor het invullen van deze vragenlijst en de deelname aan het onderzoek.
99/110
Bijlage G: Vragenlijst Vlaamse partijen
Bijlage G: Vragenlijst gericht aan de cyberspecialisten van de Vlaamse politieke partijen 1 Gegevens over de persoon die de vragenlijst invult I.
Wat is uw naam?
……………………………………………………………………………………………………………………………………………………………. II.
Voor welke organisatie / partij werkt u?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie III.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw partij zijn?
……………………………………………………………………………………………………………………………………………………………. IV.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, parlementaire vragen beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan de orde komen m.b.t. de overheid?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties V.
Welke organisaties die zich bezighouden met phishingbestrijding bij de overheid in België zijn u bekend?
…………………………………………………………………………………………………………………………………………………………….
100/110
Bijlage G: Vragenlijst Vlaamse partijen
4 Categorie 1: 1 Welke soorten van phishing komen voor bij de Belgische overheid? Definitie uit de literatuurstudie: Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen faciliteren.
VI.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen met de definitie van phishing die binnen uw partij wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………... VII.
Wordt de Belgische overheid, voor zover u weet, geconfronteerd met phishing?
……………………………………………………………………………………………………………………………………………………………. VIII.
Met welke soorten van phishing wordt de Belgische overheid, voor zover u weet, geconfronteerd? Gelieve de voorkomende soorten te omcirkelen of een kruisje in te vullen achter de soort. Indien u kennis heeft dat de overheid met nog andere soorten geconfronteerd wordt, gelieve ook deze in de vullen in de lege vakken (Andere?) met eventueel een korte uitleg.
Soorten deceptive phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per email Phishingboodschap verstuurd via instant messaging bericht Phishingboodschap verstuurd via telefoon
Instant messaging phishing Telefoonphishing
X
Soorten malwarebased phishing Phishing m.b.v. Trojans Key loggers Screen grabbing
SMiShing
Phishingboodschap verstuurd per SMS
Session hacking
Vishing
Phishingboodschap verstuurd VOIP (Voice over IP)
via
Web-based delivery phishing
Zoekmachines
Phishingboodschap staat naast de zoekresultaten met aantrekkelijke aanbiedingen De phishingboodschap is gericht naar een specifieke groep van persoon of één persoon (CEO, CFO …).
Wi-Phishing
Spear-phishing whaling Andere?
IX.
/
Spearphishing whaling Andere?
/
Korte uitleg
X
Door op de phishingboodschap te reageren zijn Trojans geïnstalleerd. Door op de phishingboodschap te reageren zijn Key loggers geïnstalleerd. Door op de phishingboodschap te reageren zijn screen grabbers geïnstalleerd die screenshots doorsturen naar de phishers Sessies naar webservers worden afgeluisterd of onderschept m.b.v. een sniffer Door op de URL te klikken in de phishingboodschap zal het slachtoffer naar een site gebracht worden die malware op de PC injecteert. De phisher maakt gebruik van een vals WiFi accesspoint. De phishingboodschap is gericht naar een specifieke groep van persoon of één persoon (CEO, CFO …).
Met welke misleidende technieken toegepast in een phishingaanval wordt de Belgische overheid geconfronteerd (voor zover u weet)? Gelieve deze te omcirkelen of een kruisje in te vullen achter de misleidende techniek. Indien u kennis heeft dat de overheid met nog andere soorten geconfronteerd wordt, gelieve ook deze in de vullen in de lege vakken (Andere?) met eventueel een korte uitleg.
101/110
Bijlage G: Vragenlijst Vlaamse partijen
Misleidende technieken Vervalste websites URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning Man-in-the-middle
Korte uitleg
X
Legitieme websites worden nagemaakt om gebruikers gegevens afhandig te maken of om malware te installeren Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen, wordt het toestel meer vatbaar voor malware. De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te leiden naar een phishingsite De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een reversed proxy), waardoor de gebruikers naar phishingsite worden geleid De phisher positioneert een valse website tussen het slachtoffer en de echte website. Alle inloggegevens worden opgenomen en vervolgens doorgegeven aan de echte website
Andere?
Andere?
X.
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………... XI.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
102/110
Bijlage G: Vragenlijst Vlaamse partijen
5 Categorie 2: 2 Hoe vaak komt phishing voor bij de Belgische overheid? XII.
Heeft u een idee over het aantal phishingmeldingen tegen de Belgische overheid?
…………………………………………………………………………………………………………………………………………………………... XIII.
Kan u per soort van phishingaanvallen aangeven hoe vaak een bepaalde soort per tijdeenheid is waargenomen? Indien u kennis heeft dat de overheid met nog andere soorten geconfronteerd wordt gelieve (Andere?) in te vullen met hun aantallen.
Soorten deceptive phishing
Aantal
Soorten malware-based phishing Phishing m.b.v. Trojans Key loggers Screen grabbing Session hacking Web-based delivery phishing Wi-Phishing
E-mailphishing Instant messaging phishing Telefoonphishing SMiShing Vishing Zoekmachines Spear-phishing / whaling Andere?
Andere?
Andere?
Andere?
XIV.
Aantal
Kan u per misleidende techniek aangeven hoe vaak aanvallen aangeven hoe vaak een bepaalde techniek per tijdeenheid is waargenomen? Indien u kennis heeft van nog andere misleidende technieken waarmee de Belgische overheid geconfronteerd wordt, gelieve deze in de lege vakken (Andere?) in te vullen met hun aantallen.
Misleidende technieken Vervalste websites URL hiding Systeem herconfiguratie Content injection Pharming DNS cache poisoning Man-in-the-middle Andere?
Aantal
Andere?
XV.
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………... XVI.
Weet u op welke manier phishingaanvallen tegen de Belgische overheid geregistreerd worden?
…………………………………………………………………………………………………………………………………………………………...
103/110
Bijlage G: Vragenlijst Vlaamse partijen
6 Categorie 3: 3 Wat zijn de gevolgen van phishing voor de Belgische overheid XVII.
Op welke aspecten / onderdelen / ministeries / diensten van de Belgische overheid heeft phishing een impact?
…………………………………………………………………………………………………………………………………………………………... XVIII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………... XIX.
Wat zijn de directe gevolgen van phishing tegen de overheid die u heeft waargenomen? (Financiële schade, identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………... XX.
Wat zijn de indirecte gevolgen van phishing tegen de overheid die u heeft waargenomen? (Groeiend wantrouwen van de gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
104/110
Bijlage G: Vragenlijst Vlaamse partijen
7 Categorie 4: 4 Anti-phishingmaatregelen XXI.
Zijn er voor zover u weet, richtlijnen of een beleid opgesteld over het omgaan met phishingaanvallen? Weet u waarop is dit beleid gestoeld (op studies, op vroegere ervaringen, een bepaalde visie)?
…………………………………………………………………………………………………………………………………………………………... XXII.
Welke sociale maatregelen, voor zover u weet, worden door Belgische overheid genomen om phishing te bestrijden? (Training van de gebruikers in het herkennen van phishingboodschappen, phishingaanval simulaties, sensibiliseringscampagnes, boodschappen van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………... XXIII.
Welke technische anti-phishingmaatregelen worden door de Belgische overheid genomen om phishing bij de overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of er een kruisje bij te zetten.
Anti-phishingmaatregel Het gebruiken van antiphishingtoolbars en plug-ins in browers SSL Desktop agenten installeren op de PCs
E-mail client hardening Browser hardening E-mail controle op de server Web applicatie security Two-factor authentication Back-end analysis Gateway services Gecentraliseerd portaal voor online overheidsdiensten
XXIV.
Korte uitleg In de browsers software componenten toevoegen die waarschuwingen geven aan de gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een persoonlijk intrusion detection systeem, een persoonlijke antispam software en een spyware detectie software. HTML gebaseerde mails verhinderen om automatisch naar het internet te laten connecteren. Automatisch openen van bijlages blokkeren. Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning De server automatisch laten controleren of de DNS gegevens in de mails kloppen. Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP) Gebruiken van een vorm van web application firewalling Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een paswoord Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren. Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de phishingboodschappen, virussen en malware filtert. De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die de Belgische overheid neemt, die niet vernoemd zijn? Welke?
…………………………………………………………………………………………………………………………………………………………... XXV.
Heeft u nog andere informatie over phishing bij de overheid die niet aan bod gekomen zijn in de vragenlijst? Kan u deze kort toelichten?
…………………………………………………………………………………………………………………………………………………………... Ik dank u en uw partij hartelijk voor het invullen van deze vragenlijst en de deelname aan het onderzoek.
105/110
Bijlage H: Begeleidende e-mail
Bijlage H: Begeleidende e-mail
106/110
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten (beschikbaarheid cijfermateriaal) Parlementaire vraag
Overheidsinstelling / verantwoordelijke
5-7583
Ambtenarenzaken en Openbare Diensten
Cijfers over cyberincidenten?
Cijfers vrijgegeven?
Cijfers
Gedeeltelijk
Ja
Dienst Vreemdelingenzaken Commissariaat-Generaal voor Vluchtelingen en Staatlozen
Ja
Neen
Op 6 maanden 1 of 2 incidenten -
Ja
Neen
-
Raad voor Vreemdelingenbetwistingen
Ja
Neen
-
Federaal Agentschap voor opvang van asielzoekers Programmatorische Overheidsdienst (POD) Maatschappelijke Integratie, Armoedebestrijding en Sociale Economie Staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister, en staatssecretaris voor de Regie der gebouwen, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken Fonds voor Arbeidsongevallen
Ja
Neen
-
Neen
-
Ja
Neen
-
Gedeeltelijk
Neen
-
-
-
Neen
-
Federale Overheidsdienst (FOD) Mobiliteit
Nog niet Via externe dienst Ja
Neen
-
FOD Volksgezondheid en Leefmilieu
Gedeeltelijk
Neen
-
5-7578
Minister van Werk
Ja
Neen
-
5-7576
Minister van Justitie Minister van Overheidsbedrijven, Wetenschapsbeleid en Ontwikkelingssamenwerking, belast met Grote Steden Minister van Landsverdediging Minister van Middenstand, KMO's, Zelfstandigen en Landbouw
Ja
Neen
-
Gedeeltelijk
Neen
-
Ja
Neen
-
Federaal Agentschap voor de Veiligheid van de Voedselketen
Ja
Ja
In 2012 3000 inbreuken
Centrum voor Onderzoek in Diergeneeskunde en Agrochemie
Gedeeltelijk
Neen
-
Belgisch Interventie- en Restitutiebureau
Ja
Ja
5-7582
5-7581
5-7580
Modernisering
van
de
Fonds voor de Beroepsziekten Rijksdienst voor Kinderbijslag voor Werknemers
5-7579
5-7575 5-7574
5-7573
5-7572
Via dienst
externe
In 2012 8 incidenten 1 incident in 10 jaren
Rijksinstituut voor de Sociale Verzekeringen der Zelfstandigen Minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen FOD Volksgezondheid
Neen
Ja
Gedeeltelijk
Neen
-
FOD Sociale zekerheid
Ja
Neen
-
Rijksinstituut voor Ziekte- en Invaliditeitsverzekering
Ja
Neen
Rijksdienst voor Sociale Zekerheid
Ja
Ja
40 per maand
107/110
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten
Parlementaire vraag
Overheidsinstelling / verantwoordelijke Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Overheidsdiensten Hulp- en Voorzorgskas voor Zeevarenden Dienst voor de Overzeese Sociale Zekerheid Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen Kruispuntbank van de Sociale Zekerheid + eHealthplatform Minister van Binnenlandse Zaken en Gelijke Kansen Centrale Diensten
5-7571
Cijfers over cyberincidenten?
Cijfers vrijgegeven?
Cijfers
Neen
-
-
Gedeeltelijk
-
-
Ja
Neen
-
Ja
Neen
-
?
-
-
Ja
Neen
-
Algemene Directie Instellingen en Bevolking
Gedeeltelijk
Neen
-
Algemene Directie Civiele Veiligheid
Ja Niet toepassing
Neen
-
-
-
Algemene Directie Crisiscentrum
van
Minister van Pensioenen 5-7570 5-7569 5-7568
Rijksdienst voor Pensioenen
Ja
Neen
-
Pensioensdienst voor de overheidssector
Ja
Neen
-
Minister van Economie, Consumenten en Noordzee Minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken Minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
Ja
Neen
-
Gedeeltelijk
Neen
-
Niet relevant 1 tot 2 incidenten 5-7566 Eerste minister Ja Ja in 6 maanden Tabel 18: Overzicht van de antwoorden op de parlementaire vragen over de beschikbaarheid van cijfermateriaal m.b.t. cybercriminaliteit (Lijnen N., 2013a) 5-7567
Ja
Ja
108/110
Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355
Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355 Deze uitspraak is gegrepen uit een presentatie van Christian Van Heurck (coördinator van CERT.be bij Belnet) gegeven tijdens de recente Belgian Internet Security Conference – BISC 2013. De presentatie kan in PDF-vorm gevonden worden op de volgende locatie: http://bisc.belnet.be/sites/default/files/Presentation%20of%20Christian%20Van%20Heurck_0.pdf De teneur van de presentatie is dat er nog steeds een gebrek is aan bewustwording (awareness) op het gebied van cybersecurity in het algemeen: awareness bij het grote publiek, bij bedrijfsleiders, binnen overheidsinstellingen, ja zelfs binnen de politiek. De presentatie geeft ook aan (aan de hand van de ervaringen van die mensen die in het veld staan) dat de problemen op het gebied van cybersecurity niet afnemen maar eerder toenemen en dit zal ook zeker zo zijn naar de toekomst toe. Bovendien leiden de meeste cybersecurityproblemen meer en meer tot misbruik door cybercriminelen. Indien er niet meer bewustzijn ontstaat in alle lagen van de bevolking, zullen de problemen die het gevolg zijn van cybersecurity en cybercrime enkel toenemen, wat uiteindelijk onze maatschappij veel geld kost en een negatieve impact heeft op de algemene veiligheid van onze samenleving. Cybercriminelen werken immers wel samen, gebruiken steeds meer gesofisticeerde technieken en staan niet stil. De uitspraak “We are losing this battle” moet dan ook in deze context worden gezien. Deze uitspraak werd bewust confronterend gedaan met als bedoeling om meer bewustwording te creëren. Immers door bewustwording komt een erkenning van de ernst van de problematiek. En erkenning is de eerste en meest fundamentele stap in een efficiënte aanpak van het probleem. De erkenning van de cyberdreiging is ook één van de pijlers van de Belgische Cybersecurity Strategie. (Lijnen N, 2013).
109/110
Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten
Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten (voorlichting personeel) Parlementaire vraag 5-7583 5-7582
Overheidsinstelling / verantwoordelijke Ambtenarenzaken en Modernisering van de Openbare Diensten Dienst Vreemdelingenzaken Commissariaat-Generaal voor Vluchtelingen en Staatlozen Raad voor Vreemdelingenbetwistingen
Personeel voorgelicht? Ja Ja Ja Enkel ICTmedewerkers Ja Ja
Federaal Agentschap voor opvang van asielzoekers Programmatorische Overheidsdienst (POD) Maatschappelijke Integratie, Armoedebestrijding en Sociale Economie 5-7581 Staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister, en Neen staatssecretaris voor de Regie der gebouwen, toegevoegd aan de minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken 5-7580 Fonds voor Arbeidsongevallen Ja Fonds voor de Beroepsziekten Ja Rijksdienst voor Kinderbijslag voor Werknemers Neen 5-7579 Federale Overheidsdienst (FOD) Mobiliteit Ja FOD Volksgezondheid en Leefmilieu Ja 5-7578 Minister van Werk Ja 5-7576 Minister van Justitie Nog niet 5-7575 Minister van Overheidsbedrijven, Wetenschapsbeleid en Ja Ontwikkelingssamenwerking, belast met Grote Steden 5-7574 Minister van Landsverdediging Ja 5-7573 Minister van Middenstand, KMO's, Zelfstandigen en Landbouw Federaal Agentschap voor de Veiligheid van de Voedselketen Ja Centrum voor Onderzoek in Diergeneeskunde en Agrochemie Ja Belgisch Interventie- en Restitutiebureau Ja Rijksinstituut voor de Sociale Verzekeringen der Zelfstandigen Ja 5-7572 Minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale Culturele Instellingen FOD Volksgezondheid Ja FOD Sociale zekerheid Ja Rijksinstituut voor Ziekte- en Invaliditeitsverzekering Ja Rijksdienst voor Sociale Zekerheid Ja Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Ja Overheidsdiensten Hulp- en Voorzorgskas voor Zeevarenden Neen Dienst voor de Overzeese Sociale Zekerheid Ja Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen Neen Kruispuntbank van de Sociale Zekerheid + eHealth-platform Ja 5-7571 Minister van Binnenlandse Zaken en Gelijke Kansen Centrale Diensten Neen Algemene Directie Instellingen en Bevolking Ja Algemene Directie Civiele Veiligheid Neen Algemene Directie Crisiscentrum Neen 5-7570 Minister van Pensioenen Rijksdienst voor Pensioenen Ja Pensioensdienst voor de overheidssector Ja 5-7569 Minister van Economie, Consumenten en Noordzee Ja 5-7568 Minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken Ja 5-7567 Minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken Ja 5-7566 Eerste minister Ja Tabel 19: Overzicht van de antwoorden op de parlementaire vragen over de opleiding van het personeel om met cybercriminaliteit om te gaan (Lijnen N., 2013a)
110/110