“Phishing gaat niet meer weg. Het is te lucratief”
Een interview met Greg Aaron, Senior Research Fellow bij de Anti-Phishing Working Group
Een interview met Greg Aaron, Senior Research Fellow bij de Anti-Phishing Working Group
De Anti-Phishing Working Group (APWG) publiceerde onlangs zijn Q3-rapport over wereldwijde trends in phishing in 2021. De bevindingen zijn zorgwekkend. 2020 kende al een recordaantal phishingpogingen en 2021 lijkt dat aantal te gaan overtreffen. We spraken over deze trend en de rol van de domeinnaamindustrie met Greg Aaron, een autoriteit op het gebied van cybersecurity en domeinnaammisbruik. Greg is Senior Research Fellow bij APWG, president van adviesbureau Illumintel Inc. en lid van de Security and Stability Advisory Committee (SSAC) van ICANN.
“Dit soort verschijnselen gaan vaak in een golfbeweging. Wat we in 2020 zagen, was dat er veel meer melding werd gemaakt van phishing en dat is daarna op dat relatief hoge niveau gebleven. Ik was betrokken bij een afzonderlijk onderzoek door Interisle Consulting waarbij gebruik werd gemaakt van een omvangrijke dataset en wat we daar zagen was dat over een tijdsbestek van een jaar de hoeveelheid phishing met ongeveer 70 procent leek te stijgen. Phishing nam in 2020 toe en is sindsdien op dat niveau gebleven. Zoals ik het bekijk, zou het daar niet blijven als het niet effectief was. Wat phishing en cybercriminaliteit aantrekkelijk maakt, is dat de daders meestal niet in dezelfde gemeenschap wonen als de slachtoffers. Vanuit het oogpunt van een crimineel is het dus moeilijker om gepakt te worden.”
“Die wapenwedloop is er altijd geweest. Een phishingaanval is het meest effectief in de eerste zeven of acht uur nadat een site opduikt en onder de aandacht van mensen wordt gebracht. Onderzoek door Google en PayPal heeft dat aangetoond. De verminderde uptime heeft dus een relatief lage impact op de winstgevendheid, omdat de meeste inkomsten uit phishing worden gegenereerd in de eerste acht uur. En omdat de uptime van een site vaak wordt gemeten vanaf het moment dat de site wordt gedetecteerd, geven de officiële cijfers niet altijd een adequaat beeld van de werkelijke uptime en aangerichte schade. Dus zelfs als we ons werk als beveiligers goed doen, is het nog niet goed genoeg omdat cybercriminelen steeds meer sites lanceren. Wat ze niet zouden doen als het niet lucratief was.”
“De meeste domeinnamen die gebruikt worden voor phishing, worden kwaadwillig geregistreerd. In sommige gevallen kan een phisher inbreken in het hostingaccount van iemand anders en een phishingpagina op de website van een onschuldige partij plaatsen. En dan zijn de eigenaar en de provider van het domein gecompromitteerd en treft hen geen blaam. Maar in de meeste gevallen registreert een phisher zelf een aantal domeinnamen. Uit het COMAR-project, waarvoor SIDN Labs heel goed werk heeft verricht, kwam naar voren dat 60 procent van de domeinnamen die voor phishing werden gebruikt, kwaadwillige registraties waren.
Registry's en registrars kunnen deze kwaadwillig geregistreerde domeinen afsluiten zonder nevenschade te veroorzaken of onschuldige partijen overlast te bezorgen. Ik ben dat in 2007 bij een domeinnaamregistry gaan doen, zonder ’false positives’, en het is een effectieve en praktische werkwijze. Sommige registry's, zoals SIDN en Nominet, zijn in dat opzicht vooruitstrevend bezig, maar over het algemeen wordt er binnen de industrie geen haast gemaakt om effectief en uniform op te treden. Phishers kunnen nog steeds ongestraft grote aantallen kwaadaardige domeinen registreren.”
“Naar mijn mening, en die van de APWG, is de AVG te breed toegepast. Het ICANN-beleid staat registrars toe om contactgegevens van domeinnamen niet te publiceren, ongeacht waar de registrant of registrar zich bevindt en of de AVG al dan niet op de betrokkene van toepassing is. Dat is niet wat de AVG vereist en het is geen evenwichtige oplossing. Tijdens een recent onderzoek ontdekten we dat een dergelijke blokkering van gegevens in de Whois waarschijnlijk vijf of zes keer vaker voorkomt dan volgens de wet nodig is. In plaats daarvan zouden registry’s en registrars die gegevens moeten beschermen waarvoor dat wettelijk verplicht is en horen ze gegevens die niet door de wet worden beschermd te publiceren. Dat is precies wat de wetgevers hebben voorgesteld in de nieuwe NIS-richtlijn. De APWG en M3AAWG zijn de twee werkgroepen binnen de industrie die bestuderen hoe dit probleem de strijd tegen cybercriminaliteit heeft beïnvloed, en hun laatste bevindingen zijn in juni gepubliceerd op de M3AAWG-website.
“Nou ja, je hebt alleen controle over wat er in je eigen achtertuin gebeurt en de consensus onder deskundigen is dat het altijd de moeite loont om het criminelen moeilijker te maken. TLD's zoals .nl en .uk hebben een uitstekende reputatie omdat ze goed worden beheerd en ze weten dat ze goed moeten presteren om die reputatie te behouden. Veel nieuwe gTLD's hebben geprobeerd te concurreren op prijs, wat ze extra aantrekkelijk heeft gemaakt voor cybercriminelen.”
“Mijn persoonlijke mening is dat veel nieuwe TLD's door specifieke bedrijven worden geëxploiteerd voor hun eigen beperkte doeleinden, de promotie van hun merk (brand-TLD's, red.), en die zijn wat misbruik betreft geen probleem gebleken. De misbruikproblemen doen zich juist vooral voor in de algemeen beschikbare gTLD's, waar iedereen domeinen kan registreren en waar ze vaak tegen lage prijzen worden verkocht. Om de misbruikproblemen te bestrijden, zou het bestuur van ICANN betere antimisbruikbepalingen moeten opnemen in de contracten met zowel registry's als registrars. Misbruikbestrijding heeft alleen effect als beide schakels in de keten erbij betrokken zijn: registry én registrar.”
“e-ID zal op veel plaatsen nog wel even op zich laten wachten, maar ook zonder kun je een aantal zinvolle identiteitsvalidaties en -verificaties uitvoeren, helemaal in de markten waar je actief bent. Je kunt bijvoorbeeld achterhalen of een fysiek adres echt bestaat en of een bepaalde persoon op dat adres woont. De gegevens en diensten die daarvoor nodig zijn, kosten een paar cent per controle. En dan heb je al één manier om te verifiëren of de gegevens kloppen.”
“De APWG staat het meest bekend om zijn anti-phishingwerk, maar in bredere zin heeft het zich altijd gewijd aan het voorkomen van allerlei soorten online fraude en identiteitsdiefstal. Een van de dingen waar we ons recentelijk mee bezig hebben gehouden, is het runnen van een uitwisselingsplatform voor informatie over cryptocurrency's, omdat cryptocurrency vaak wordt gebruikt bij phishingpogingen en als betaling voor ransomware. Op ons platform delen we informatie over cryptoadressen en -wallets die zijn gebruikt bij criminele activiteiten. Deze informatie wordt bijvoorbeeld gebruikt door creditcardmaatschappijen, in hun fraudebestrijdingsprogramma's.
Cryptocurrency is voor veel mensen moeilijk te begrijpen. De gewone man heeft nog nooit cryptocurrency gehad, maar het lijkt erop dat er veel wordt geïnvesteerd om cryptocurrency breder beschikbaar en gebruiksvriendelijker te maken. MasterCard is bijvoorbeeld van plan om cryptocurrency aan te bieden als loyaliteitsbonus. Dit zal cryptocurrency aantrekkelijker maken voor de consument, maar het biedt ook kansen voor cybercriminelen.”
Greg Aaron is te bereiken via de website van zijn bedrijf Illumintel. Het meest recente Phishing Trends Report waaraan hij heeft bijgedragen is beschikbaar op de APWG-website.