Naar inhoud

Komende tijd forse groei verwacht van phishing en ransomware

In de komende jaren wordt een sterke toename verwacht van cybercriminaliteit in de vorm van phishing en ransomware. Dit is een direct gevolg van het toenemend inzetten van bedrijven op digitale facturering. Integrale toepassing van de Mijn Omgeving vormt de enige mogelijkheid om het tij te keren. Banken en de overheid moeten zich in alle ernst afvragen of zij hier niet een méér sturende en voortrekkende rol in kunnen vervullen. In één en dezelfde inspanning biedt dit mogelijkheden om ransomware van zijn belangrijkste medium te beroven. Waarschijnlijker is echter dat er pas serieus actie wordt ondernomen wanneer phishing en ransomware volstrekt onbeheersbaar dreigen te worden. Dit maakt de recente casuïstiek van plofkraken helaas maar al te goed duidelijk.

Tot enkele jaren geleden leek het er serieus van te komen: een gezamenlijke maatschappelijke inspanning om phishing scams een halt toe te roepen. Overheidsinstanties, banken en verzekeraars gingen samen de strijd aan tegen phishing. Ze vormden als het ware een cordon sanitaire gericht op het ontmoedigen van het versturen van linkjes via e-mail. Zo kon je er als consument op vertrouwen dat de overheid, de banken en de verzekeraars jou geen inlog- of betaallinks via e-mail zouden toesturen. Daardoor kon u zowel phishing mails als malafide links naar ransomware – ook wel gijzelsoftware genoemd – direct als vals herkennen en meteen weggooien. Probleem opgelost, toch?

Enorme groei van betaalverzoeken via social media

Helaas heeft de verregaande adaptatie van social media in combinatie met het toenemend inzetten van bedrijven op digitale facturering dit aanvankelijke cordon sanitaire definitief om zeep geholpen. Want wat is er aan de hand? Steeds meer bedrijven ontdekken de voordelen van facturering via social media: laagdrempelig, betrouwbaar en vlot factureren via e-mail, sms of app. Met de opkomst van digitale betaaldiensten als AcceptEasy (voorheen AcceptEmail), Mail to Pay en Tikkie lijkt de strijd tegen phishing en ransomware weer vol in de achteruit te zijn geschakeld. Het wordt namelijk steeds normaler om een betaallink toegestuurd te krijgen via e-mail, sms of app. Een bonafide betaalverzoek via Tikkie dat je toegestuurd krijgt van een vriend of bekende, is over het algemeen nog prima te onderscheiden van een malafide betaallink. Maar met het versturen van verzoeken tot betalen via AcceptEasy of Mail to Pay wordt die scheidslijn al een stuk vager. Gelijkende e-mails met malafide betaallinks zijn namelijk uiterst eenvoudig te falsifiëren door de gemiddelde internetcrimineel.

Zie het onderscheid maar eens te maken tussen een echt en een vals verzoek via AcceptEasy of Mail to Pay. Dat vergt een zorgvuldig nagaan of jouw aanbieder dergelijke berichten überhaupt verstuurt, of jij een dergelijk betaalverzoek verwacht en uiteindelijk het checken welke uniform resource locator (URL) er precies achter de link of button schuilgaat. Misschien toch nog even bellen met de klantenservice om na te gaan of er daadwerkelijk een dergelijke e-mail naar jou is verzonden? Het zal je dus niet verwonderen dat dit voor veel mensen vanwege hun drukke bestaan te veel gevraagd is. Dit betekent dus winst voor de internetcrimineel die zijn hand er niet voor omdraait om duizenden of tienduizenden van dit soort e-mailtjes te versturen. Kansberekening garandeert zo als het ware zijn criminele inkomsten. De conclusie is vervolgens eenvoudig te trekken. Zolang het doen van betaalverzoeken via social media blijft toenemen, zullen phishing scams en ransomware-aanvallen daarvan dankbaar profiteren en eveneens in omvang toenemen.

Mijn Omgeving vormt de allerbeste verdediging tegen phishing en ransomware

Je kunt vooruitgang nu éénmaal moeilijk tegenhouden, zult u waarschijnlijk zeggen. Klopt, maar het wrange is dat er al die tijd een uitstekend alternatief bestaat voor dergelijke digitale betaalverzoeken. Jullie kennen allemaal de Mijn Omgeving van jouw zorgverzekeraar, energiemaatschappij of verzekeringsmaatschappij. Deze Mijn Omgeving vormt een uitstekend alternatief om betaalverzoeken, zoals bijvoorbeeld iDEAL-betalingen, klaar te zetten. Een aankondigingsbericht per e-mail – zonder link uiteraard – en klaar! In deze persoonlijke omgeving op de website van jouw aanbieder kun je met jouw eigen gebruikersnaam en wachtwoord inloggen. Een korte bekende URL gecombineerd met uw eigen inloggegevens, eventueel met tweestapverificatie, garandeert de authenticiteit van de gereedstaande betaalverzoeken. Bedrijven die deze persoonlijke omgeving gebruiken om je betaalverzoeken toe te sturen, bewijzen hun klanten daarmee bovendien een extra dienst. Immers, elke schijnbare e-mail, sms of app van dit bedrijf met een concrete betaallink kun je direct naar de prullenbak verwijzen als zijnde een phishing scam of ransomware-aanval.

Helaas lijkt deze meest logische en veilige oplossing om digitale betaalverzoeken klaar te zetten steeds minder toegepast te worden. Waarom, want technisch gezien is het toch niet ingewikkelder dan om een betaalverzoek via e-mail, sms of app te versturen? Wat waarschijnlijk een rol speelt, is dat het logistiek gezien iets complexer is om verschillende betaalverzoeken in verschillende Mijn Omgeving-domeinen klaar te zetten. Een berichtje sturen met een betaallink is dus eenvoudiger. En wellicht vinden bedrijven het eveneens niet onprettig dat hen hiermee de juridische verantwoordelijkheid voor potentieel betalingsmisbruik of pogingen tot een ransomware-aanval uit handen wordt genomen. Enerzijds gebeurt dat door het digitaal factureren volledig over te laten aan derde partijen, anderzijds door elk risico op betalingsmisbruik of pogingen tot een ransomware-aanval op deze manier volledig bij de consumenten neer te leggen. Het is dus sneller, goedkoper én juridisch slimmer om betaalverzoeken via de e-mail, sms of app te versturen. Echter, dit is verre van veiliger en vanwege de toename van phishing scams en pogingen tot ransomware-aanvallen wordt hiervoor naar verwachting uiteindelijk een hoge prijs betaald!

Cordon sanitaire tegen phishing en ransomware is noodzakelijk

Momenteel is de landelijke inspanning in Nederland vooral gericht op voorlichting en op het melden van valse berichten bij jouw aanbieder of bank. Blijkens de gestaag oplopende schadepost van phishing – 3,1 miljoen in de eerste helft van 2019, terwijl van de schade van ransomware weinig betrouwbare gegevens voorhanden zijn – lijkt deze strategie inmiddels achterhaald. Met een dergelijke ouderwetse strategie valt namelijk geen winst meer te behalen nu veel vormen van phishing en ransomware nauwelijks meer van echt zijn te onderscheiden en internetcriminelen bovendien pijlsnel van de ene naar de andere succesvolle phishing scam of ransomware-aanval omschakelen.

Ik wil bedrijven daarom met klem oproepen nog eens serieus te kijken naar het benutten van hun Mijn Omgeving voor het klaarzetten van hun betaalverzoeken. Banken en de overheid moeten zich bovendien in alle ernst afvragen of zij hier niet een méér sturende en voortrekkende rol in kunnen vervullen. Landelijke toepassing van de Mijn Omgeving in Nederland vormt de enige mogelijkheid om dit tij te keren. Een nationaal cordon sanitaire tegen phishing en ransomware is inmiddels hoogst noodzakelijk geworden!

Handel betaalverzoeken in de tussentijd altijd af via de app voor mobiel bankieren

In de tussentijd handel je betaalverzoeken bij voorkeur af via je app voor mobiel bankieren. Malafide pogingen tot phishing of ransomware-aanvallen benutten namelijk bij uitstek de inherente onveiligheid van jouw webbrowser op computer, tablet of smartphone. Vooralsnog is geen enkele phishing-crimineel er echter in geslaagd om zogenaamde niet-toegestane betalingen – lees: plundering van jouw rekening – via de app voor mobiel bankieren gedaan te krijgen. Opent de betaallink toch consequent in jouw mobiele browser, ga er dan maar gevoeglijk van uit dat er iets niet klopt en sluit alle betalingshandelingen dan ook direct af!

Oplichting middels spookfacturen die je verleiden tot betalingen van diensten die je niet geleverd hebt gekregen, blijft natuurlijk wel mogelijk via de app voor mobiel bankieren. Plundering van jouw volledige rekening door zogenaamde niet-toegestane betalingen kun je via die applicatie echter succesvol voorkomen!

Art Huiskes is onderzoeksjournalist. Eerder heeft hij onderzoek gedaan naar de veiligheid van elektronisch bankieren bij grote Nederlandse banken. Ook heeft hij een tweetal life hacks beschreven om elektronisch bankieren veiliger te maken.

Bron: CustomerTalk
0

Reacties

Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie