Phishing tegen gaan

[Fox]

Het zal jullie vast niet ontgaan zijn dat de bankaire wereld momenteel grote overlast ervaart van phishers. Vroeger werden vertrouwelijke (bank)gegevens nog afgetroggeld via schijnbaar amateuristische nep e-mailtjes, maar tegenwoordig moet je veel verstand hebben van IT security wil je helemaal zeker zijn dat je gegevens veilig worden gecommuniceerd.

Door middel van technisch zeer vernuftige malware (meestal zogenaamde man-in-the-browser trojans) worden mensen naar websites van derde partijen omgeleid, waar men vervolgens argeloos slachtoffer wordt.

Daadwerkelijke opsporing van de criminelen die hier achter zitten is een zware kluif. Ze zitten meestal in het buitenland (of werken via servers die daar staan) en de politie geeft er weinig prioriteit aan. Het interessante is dat het praktisch gezien weinig moeite kost om de problemen snel uit de wereld te helpen. Zo kan een goedgerichte dDoS aanval de malafide server in no time offline halen. Het grote nadeel hiervan is echter dat men in dit geval strafbaar is (op grond van art. 138b Sr). Een andere optie is het (laten) hacken van de boosdoenende server maar ook dan is er sprake van een strafbaar feit (o.a. 138a Sr).

Met de steeds verder toenemende schade door phishing zou ik mij kunnen indenken dat banken de overweging gaan maken of het begaan van deze strafbare feiten kunnen opwegen tegen het onschadelijk maken van phishing aanvallen. Het valt nog te bezien of men daadwerkelijk vervolgd wordt en de boete die er op staat valt in het niet bij de schade die de phishers anders veroorzaken.

Een heel lang verhaal om de volgende twee vragen te introduceren:
- Hoe staat jullie tegenover deze vorm van hacken? (oftewel, hacken om schade te voorkomen)
- Onder welk wetsartikel valt phishing?

Ben erg benieuwd naar jullie mening.

[Arnoud Engelfriet]

Dit riekt naar eigenrichting, en naast juridische bezwaren zijn er hele praktische: wat als je de verkeerde site op de korrel neemt? Dan ligt ineens een legitieme Antiguaanse offshore bank eruit. Zie bijvoorbeeld de recente DDoS-aanval op Scientology waarbij een Nederlandse school per ongeluk op de korrel ging.

De juridische kant van phishing wordt uitgebreid geanalyseerd in De phish wordt duur betaald.

Arnoud

[Fox]

Daar heb je absoluut gelijk in Arnoud, ik ontken ook zeker niet dat er hele grote haken en ogen aan zitten. Aan de andere kant heeft men vanuit de praktijk te maken met zeer ernstige schade die in theorie met weinig geld en moeite beperkt kan worden.

Ik ben geneigd de analogie te leggen met de Peter R de Vries aanpak, die ook gebruik maakte van middelen die wellicht niet helemaal brandschoon zijn maar wel een praktische oplossing voor het probleem boden.

Ik kan me ook nog een andere aanpak voorstellen:

- Een bank constateert een nieuwe phishing aanval en al snel is duidelijk waar de server staat waar het probleem zich rond centreert.
- De bank sommeert de hostingpartij om de kwalijke site per direct te verwijderen.
- Wanneer de host niet regeert (wat bij 99% van de gevallen zo is) neemt de bank het heft in eigen handen en laat de server offline halen dmv een dDos.

De schade voor derde partijen zal blijven, maar er zijn situaties denkbaar waarin de bank deze voor lief neemt. In werkelijkheid is in het gros van de gevallen de host een dubieuze russische partij die deksels goed weet wat er aan de hand is. Dat maakt de tegenstelling wet vs. praktijk het meest interessant.

[Arnoud Engelfriet]

Een DDoS-aanval kun je bijna nooit beperken tot 1 webhost. In veel gevallen tref je iedereen op diezelfde server (virtual hosting) of zelfs op hetzelfde netwerk/dezelfde provider. Een DDoS-aanval veroorzaakt ontzettend veel dataverkeer, en dat stoort alle klanten van die provider tenzij zijn netwerk daar goed op is voorbereid.

Daar komt nog bij dat je zo tegenaanvallen uitlokt, waar al helemaal niemand op zit te wachten. "Kom, laten we de site van de Russische maffia eens platleggen" lijkt me niet zo'n goed idee.

Maar ik ben principieel tegen dit soort vigilante-acties. Je kunt niet zomaar besluiten 'die site is een dubieuze Russische partij dus schiet maar neer'. Waarom mogen banken dat bij phishers en ik niet bij spammers?

Bij de PRdV-actie zie je precies het probleem: iedereen weet nu zeker dat Joran "het gedaan" heeft, terwijl nog niet eens vaststaat wat hij nu gedaan heeft. Laat staan of hij het wel was. Zat hij stoer te doen? Wist hij van de camera's en meende hij zo PRdV een loer te draaien? Neemt hij de schuld voor iemand anders op zich? Verdraait hij de feiten om zo slechts veroordeeld te worden voor "wegmaken van een lijk"?

Arnoud

[Michèle]

[Arnoud Engelfriet]

[Fox]

Ook met dat antwoord kan ik het helemaal eens zijn Arnoud. Ik constateer echter wel een lacune in de handhaving. Natuurlijk is het aan politie/justitie om hier actie tegen te ondernemen, alleen in feite gebeurt dit niet. Ik spreek uit ervaring als ik zeg dat er weinig tot geen moeite wordt gedaan om deze vorm van internetcriminaliteit aan te pakken. Dat is nog niet eens zo gek, aangezien het zeer moeilijk is om de daders te achterhalen, nog even daargelaten dat ze meestal ook nog eens buiten Europa verblijven. Het daadwerkelijk opsporen en vervolgen van phishers is ook dan een zeer moeilijk verhaal. Erg frustrerend wanneer, met een kleine technische handeling, de gevolgen van deze criminele acties sterk beperkt kunnen worden.

Mijn voornaamste punt is dat ik mij afvraag of er - buiten de opsporing van de daders - nog andere mogelijkheden te bedenken zijn om phishing te bestrijden. Laat ik het anders stellen: zou het voor de politie mogelijk zijn om een server uit de lucht te halen dmv technische ingrepen (DDoS, hacking)? Is er een bijzonder bevoegdheid die dit zou kunnen inkapselen?

[Fox]

[bona fides]

[Arnoud Engelfriet]

De banken kunnen natuurlijk net zoals iedereen een botnet huren om hun DDoS-aanval te ondernemen. Er zijn genoeg PC's die besmet zijn met trojan-software en aldus geprogrammeerd kunnen worden om een willekeurige site te bombarderen.

De boeven hebben het zwakke punt dat zij een server moeten adverteren, omdat de klant daarheen gelokt moet worden om de benodigde gegevens in te typen. Als je die uitschakelt, kunnen ze wel verhuizen maar dan moeten ze opnieuw hun mails uitsturen ook.

Ik begrijp de frustratie maar vind het dan te ver gaan om te gaan schieten op de site die er vermoedelijk achter zit.

Er zijn technisch genoeg dingen die je kunt doen als bank, in plaats van zo'n DDoS-aanval. Betere authenticatie is het belangrijkste. Weg met die TAN-codes, gebruik zo'n kastje waar een code uitkomt die 30 seconden geldig is.

Arnoud

[bona fides]

[Fox]

[bona fides]

[Fox]

Ik vind het wel een typische juristenbenadering: het mag niet en dat de politie er niets aan kan doen is jammer. Ik ben zelf jurist en ook altijd geneigd om zo te redeneren. Overigens precies de reden waarom zoveel commerciele bedrijven juristen liever kwijt dan rijk zijn, maar dat terzijde. Daar tegenover staat echter een probleem wat niet vanzelf weg gaat. Vroeg of laat zal er toch een reactie komen.

Is er, naar jullie mening, een voorwaarde te bedenken waaronder (in opdracht van justitie) op deze manier gehandeld kan worden? Eventueel in nieuwe wetgeving, that is.

Een ander puntje: onder welke bepaling in het WvSr achten jullie de strafbaarheid van Phishing te kunnen scharen?

[Arnoud Engelfriet]

Nou ja, een beetje flauwe reactie. Ik ben niet tegen omdat het in de wet verboden is, ik ben tegen vanwege de onzekerheid en het gebrek aan controle en toezicht. Je hoort niet als bank zelf te besluiten "die gasten phishen ons, platbombarderen die hap". Of het nou een DDoS of een bombrief is maakt voor mij niet uit. Er vallen onschuldige slachtoffers en daarom is het moreel onjuist om dit te doen.

Draai het eens om: stel een of andere Rus is er van overtuigd dat jij hem zwartmaakt en gaat jouw site DDoS'sen. Of hij valt jouw buurman aan maar omdat jij op hetzelfde netwerksegment zit, gaat jouw site ook onderuit.

Een betere manier zou zijn dat de bank identificeert welke site achter de phish zit, en dan Nederlandse providers verbiedt deze site door te geven.

Zodra de phish-site buiten Nederland zit, zou er iets van samenwerking met het andere land moeten zijn om op te kunnen treden zodat de site daar gesloten kan worden.

Als justitie zonder samenwerking met dat land een actie onderneemt om een Nederlands vonnis af te dwingen, kom je heel erg dicht in de buurt van wat diplomaten "onvriendelijke handelingen" noemen. Alleen al vanwege het risico dat Rusland of China gaan terugschieten, zou ik dit niet doen.

De strafbaarheid wordt besproken in dat artikel dat ik in mijn eerste reactie noemde. Verder zou de bank nog haar merkrecht in kunnen zetten, er wordt immers gebruik gemaakt van beeld- en woordmerken en er is evident verwarring bij de consument/klant.

Arnoud