Een Belgische firewall in de strijd tegen phishingfraude

(tags: )

STOP bordVorig jaar konden handige fraudeurs maar liefst 3 miljoen euro buit maken bij gebruikers van internetbankieren. Tijdens de eerste drie maanden van dit jaar was dat maar liefst 1,27 miljoen euro, een sterke toename dus. Een mogelijke oplossing ligt volgens mij in de inschakeling van de omstreden "Big Belgian Firewall".

De “Big Belgian Firewall” is een koosnaampje voor het systeem dat sinds 2009 gebruikt wordt door de Belgische autoriteiten om de toegang tot bepaalde sites te blokkeren. Hiermee worden de grote internetproviders (zoals Belgacom en Telenet) gevraagd in hun DNS-servers bepaalde domeinnamen te blokkeren en te laten doorverwijzen naar een pagina van de FCCU. Onder meer de website www.stopkinderporno.com en aanverwanten worden op dit moment op deze manier geblokkeerd, net als thepiratebay.org en websites van niet-geregistreerde online gokdiensten.

Great Firewall of China

Met deze techniek dient bijzonder voorzichtig omgesprongen te worden. De stap naar censuur zoals bij de The Great Chinese Firewall is immers niet zo groot. Bovendien is de blokkering uiterst makkelijk te omzeilen: simpelweg het instellen van 8.8.8.8 als DNS-server of andere op het internet uitvoerig beschreven aanpassingen maken het mogelijk om, voor wie dat echt wil, de websites in kwestie te bezoeken. Het effect van dergelijke blokkering is dus gering voor de ervaren internaut. Gelukkig maar, misschien, gezien de link met censuur.

logo FCCUMaar waar de Big Belgian Firewall wel haar nut zou kunnen bewijzen, is in de strijd tegen de massale PC Banking fraude waarbij achteloze gebruikers via phishing mails, die zogezegd van hun bank afkomstig zijn, gevraagd worden om “in te loggen” op hun PC Banking Service en een “activatie” moeten bevestigen, maar in werkelijkheid op een uitstekend nagemaakte webpagina van de fraudeur belanden en allerlei transacties uitvoeren zoals overschrijvingen aan de fraudeur. Dit is momenteel een massale plaag voor de Belgische banken. Snelle adequate blokkering van de betrokken (valse) domeinnamen door bijvoorbeeld de FCCU zou op z'n minst de achteloze gebruiker kunnen beschermen.

Daarvoor dient er natuurlijk over gewaakt te worden dat niet eender wat geblokkeerd wordt, en dat operatoren beschermd zijn tegen schadeclaims van derden bij een onterechte blokkering op vraag van bepaalde overheidsinstanties. Transparantie inzake welke domeinen er geblokkeerd zijn, bijvoorbeeld door het publiekelijk oplijsten van de geblokkeerde websites, is dan ook een absolute noodzaak, net als een omzichtig omspringen met dit instrument om te vermijden dat vele mensen alsnog de blokkering omzeilen (bvb om illegale content te downloaden) en zo niet langer met deze techniek beschermd zijn tegen dergelijke vorm van phishing. De internetvrijheden moeten ten allen tijde gegarandeerd blijven.

Ik heb dit voorstel dan ook voorgelegd aan minister Vande Lanotte in de Kamer en verwacht eerstdaags een antwoord.

62 reacties

Anoniem's picture

Hoe zie je dit technisch in zijn werk gaan?
Om een site te blokkeren zoals piratebay is dit mogelijk maar om sites te gaan blokkeren die maar 24 tot 48u nut hebben is dit volgens mij heel moeilijk. Hoe zou je willen voorkomen dat er slachtoffers vallen, die phishing mails worden met duizenden tegelijk gestuurd, ga je wachten tot mogelijke slachtoffers melding maken van zo'n mail, dan ben je misschien voor vele andere al te laat. Of ga je systematisch alle mensen hun mail screenen? Dit lijkt me al een inbruik op de privacy en dan nog eens bijna onmogelijk, dit zou kunnen voor mensen die hun mail lezen bij Belgische internet providers maar wat met hotmail, gmail enz?
Het aanpassen van de DNS server om blokkeringen te omzeilen heeft trouwens niks met een firewall te maken, sites moet je gaan blokkeren op IP niveau en niet op naam dat heeft totaal geen nut.
Dit is een heel mooi verhaaltje, maar zou toch eens graag weten hoe je dit in werkelijkheid ziet uitgevoerd worden.

Peter Dedecker's picture

De techniek bestaat vandaag al en wordt ook al gebruikt, maar helaas om andere redenen waarvoor die absoluut niet doeltreffend is, zoals ik zei. Men kan The Pirate Bay "blokkeren", maar wie die site wil bezoeken, omzeilt die blokkage.

Voor phishing heb je een centraal meldpunt nodig. De banken (of gewone internetgebruikers maar liefst ook "filters" bij mailboxproviders) moeten phishingmails gewoon kunnen doorsturen naar pakweg de FCCU, waar nagegaan wordt of het effectief om phishing gaat, en waarna de domeinnaam geblokkeerd wordt. Dat gebeurt inderdaad massaal, maar vergeet niet dat een URL in een phishing mail ook voldoende lang actief moet blijven. De achteloze gebruiker die in dergelijke vallen trapt, is meestal niet diegene die hele dagen achter de PC zit, maar gewoon even zijn/haar mail checkt. Op het moment dat de mail gelezen wordt, enkele uren tot een dag na het verzenden, moet die URL nog altijd werken, anders heeft de fraudeur er niets aan. Als tegen dan die URL geblokkeerd is, heeft het systeem gewerkt. Het is zeker geen 100% garantie, maar wel een goede poging, denk ik. Elke geblokkeerde phishing-url is een stap vooruit en kan geen slachtoffers meer maken.

Dit zal ook sterk Belgisch zijn. Een phishing mail moet vertrouwen wekken. Dat is al moeilijker in het Nederlandse taalgebied, en men beperkt zich ook tot de banken waar de mensen een account bij hebben: vooral de grootbanken KBC, ING, BNP Paribas Fortis en Belfius worden geviseerd. Die phishingmails haal je er snel uit, en als die domeinnen geblokkeerd zijn, na rapportering vanuit bvb een telenet-mailbox, zijn ook de gebruikers van hotmail en co beschermd.

Een DNS-blacklist is strikt technisch inderdaad geen firewall, uiteraard niet, maar de naam "firewall" klinkt voor de niet-kenners al een stuk vertrouwder dan DNS-blacklist.

Anoniem's picture

Een DNS blacklist kan 1x succes hebben en daarna niet meer. Die mensen die phishing mails maken zijn ook geen dommerikken. Als ze achter hun klik "hier" dan http://10.10.10.10/kbc steken ipv http://ikgauwgegevenskraken.be/kbc heeft uw oplossing al 0,0 succes want van een IP moet geen DNS lookup gedaan worden en zal dus gewoon blijven werken.
Zo heeft de piratebay ook nog een tijd gewerkt en zo zal dit ook werken en het is net iets meer werk om een IP te gaan blokkeren dan om DNS gegevens aan te passen.
Nog een oplossing is dat ze mensen vragen een reply te sturen op de mail om de URL die ze nodig hebben aan te vragen. Hier kunnen ze dan een auto reply systeem opzetten dat random een lijst van honderden URL kan sturen. Iemand die in phishing mails gelooft zal ook geloven als je zegt dat je om veiligheidsredenen de URL niet direct kan geven maar deze onmiddelijk zal doorsturen wanneer ze antwoorden op de mail.

Peter Dedecker's picture

Je laatste punt is inderdaad een zeer sterk argument. Wel vreemd dat deze techniek bij mijn weten nog niet zoveel gebruikt is. Gegevens invullen omdat je iets gewonnen hebt waarna men je belt, dat gebeurt al meer en daar zijn mensen al voorzichtiger in, weliswaar nog onvoldoende.

Anoniem's picture

Men moet hier toch omzichtig mee omspringen.
Zo bevat bvb. de website van The Pirate Bay een blog waarin de oprichters hun meningen rond de politieke en juridische aspecten van de copyrightwetgeving uit de doeken doen.
In Belgie wordt ook de toegang tot dit blog botweg geweigerd door de wetgever. Op de keper beschouwd is dit niets minder dan het censureren van bepaalde politieke meningen die afwijken van de politieke mainstream en/of indruisen tegen de belangen van bepaalde pressiegroepen.

Misschien moeten 'de mensen' eens wat meer eigen verantwoordelijkheid opnemen en tweemaal nadenken alvorens ze hun geheime codes via email of telefoon weggeven?

Peter Dedecker's picture

Het mag inderdaad geen censuur worden. In tegendeel. Best zet men bij de lijst met "geblokkeerde" sites ook meteen informatie over hoe dat te omzeilen. Het mag uitsluitend ter eigen bescherming zijn.

Skender's picture

Waarom zou je zoiets bij de overheid willen centraliseren? Zijn providers niet veel beter geplaatst om dit zelf te doen? Net zoals providers vandaag al spam filters en virus scanners draaien op het email verkeer van hun klanten.

Anoniem's picture

Ik heb vroeger het spel World of warcraft gespeeld en ik heb ooit een aantal jaren geleden mijn email adress op een forum gezet, tot op de dag van vandaag krijg ik scamming e-mailsvoor mijn WoW account, wat opvalt is dat za bij iedere mail een nieuw website adress hebben voor hun phisingsite, ik kan er honderden tot duizenden posten voor alleen 1 spel.

Het is onmogelijk om mensen indienst te nemen een WEERAL een onderdeel in de overheid opterichten wat niks anders doet dan hele dagen sites blokkeren, wat misschien dan weer meer kost dan de 3 miljoen verlies die we erop maken.

als ik rechuit mag zijn vind ik dit censuur, de staat heeft hetzelfde geprobeerd met thepiratebay, nu weten zelfs de grootste computer leken hoe die blokkade omzeild moet worden, wat een naieve en zielige indruk geeft naar de staat toe, internet criminaliteit valt niet te overwinnen, het enige wat kan helpen is op lange termijn mensen meer en meer betrekken bij internet veiligheid, mijn ouders die internetbankieren kijken iedere keer het ssl certificaat na van hun bank(groene slotje in url balk).

Anoniem's picture

Even reageren op de vorige posters. Je kan dit niet bij de overheid centraliseren enkel de providers zelf kunnen dit doen.

Het wordt ook helemaal geen censuur als men enkel sites zou blokkeren die puur gericht zijn op het oplichten van mensen. Dat is bescherming net zoals de politie je zou moeten beschermen tegen een overval.

Het enige wat ik wil zeggen is dat men hier inderdaad veel geld gaat in investeren voor iets wat niet te voorkomen is het enige wat je gaat bereiken is dat de criminelen hierachter nog slimmer tewerk zullen gaan.

Je zegt dat ze ineens op de site zouden moeten zetten hoe je het kan omzeilen. Dit is niet mogelijk bij een echte IP block, tenzij met een open proxy ergens op het internet maar dat is zeker niet veilig. Als je zou werken met een DNS block zoals je voorsteld dan is het inderdaad makkelijk te omzeilen dan zou je zelfs een link op de waarschuwingspagina kunnen zetten die je ineens wel doorstuurt naar de gevraagde site. MAAR, dan is het zoals eerder al gezegd voor de hackers enkel maar een http site in de mail steken die naar een IP verwijst en niet naar een DNS naam en je manier van blokkeren wordt onmogelijk.

Je antwoorden zijn politiek zeer correct en je idee ook. Maar ik vrees dat dit zeer slecht overkomt bij mensen die over deze materie iets meer kaas gegeten hebben.

Maarten Schenk's picture

Peter, nu stel je me toch teleur. Met zo'n maatregel legitimeer je de 'censuurinfrastructuur' nog verder (na 'het is tegen kinderporno' en 'het is tegen illegaal gokken') en uiteindelijk zal er toch misbruik van gemaakt worden door de overheid.

Het is eigenlijk al zover, want de eerste site die ermee geblokkeerd werd was... een anti-kinderpornosite (zoals je zelf al aanhaalde). En over de juridische geldigheid van die blokkering is het laatste woord ook nog niet gezegd volgens mij.

Er werd toen een heel brede interpretatie gebruikt van één of ander artikel i.v.m. het in beslag nemen van IT-materiaal om de blokkering te onderbouwen. Een blokkering die moest dienen om de privacy van veroordeelde pedofielen te beschermen. Nu, dat kan best een goede reden zijn geweest, maar het zat niet bij de redenen die werden aangehaald om The Belgian Firewall op te zetten... Toont nog maar eens aan wat voor slippery-slope zo'n systeem veroorzaakt.

Zo'n anti-phishing systeem is best iets wat geïntegreerd zit in de browser en wat de gebruiker zelf kan in- en uitschakelen. Ongeveer zoals Google Chrome het al doet (je krijgt een waarschuwing maar je kan wel verder surfen op eigen risico). Dat houdt de macht bij de burger/gebruiker. Uiteraard mag de overheid de lijst van gerapporteerde phishing links altijd doorsturen aan de browsermakers, als publieke dienstverlening zeg maar.

Ik hoop dus dat je dit voorstel nog zwaar aanpast/intrekt, iedereen maakt wel eens een fout :-)

Dieter's picture

Zoals eerder gezegd: dit is een nutteloze bescherming met een wellicht veel te hoge prijs.

De overheid zou - in het belang van de burger - beter investeren in sterk doorgedreven informatiecampagnes: maak de burger slimmer, zodat hij gewapend is tegen misbruik van deze vorm.
Bovendien creëer je dan bewustwording en zal de burger ook kritischer zijn tegenover andere vormen van internetmisbruik (die vandaag misschien nog niet eens gebruikt worden).

Wil je daarboven toch een meer "technische" maatregel, gebruik dan wat er al is: spamfilters. Die slagen er nu al in een hoog percentages van phishing mails tegen te houden. 100% sluitend is dit uiteraard niet, zoals met spam in het algemeen.

Anoniem's picture

Wil je wel eens van mijn internet afblijven !!!
Als mensen nu gewoon niet slimmer zijn en hun prive details via de telefoon doorgeven, misschien moeten we de mensen dan eens slimmer proberen te maken... Hoeveel mensen kennen bvb het verschil tussen een Factuur, Creditnota of Debetnota ??? Van wat we op werk zien, weet dus 3% van hen niet wat een Creditnota is, die reklameren waarom ze nog eens dat bedrag moeten betalen :-)

Anoniem's picture

@Dieter, volledig akkoord met je eerste stuk.

Uw technische maatregel kan enkel voor een gedeelte helpen, dit kan enkel gedaan worden voor mensen die enkel een mailbox hebben bij Belgische internet providers. Wat met zelfstandigen of zelfs particulieren die een eigen domein naam hosten misschien zelfs een eigen mailserver draaien?

Anoniem's picture

Hoe wil je dit niet laten escaleren naar censuur? Het IS censuur in zijn puurst vorm. Politici hebben zich net te moeien met ons recht op informatie, wat zich uitrekt naar een vrij internet. Computer- en netwerkbeveiliging is een zeer actief ecosysteem in handen van zeer capabele mensen, software, bedrijven en communities. En dat 'zeer actief' werkt in twee richtingen; enerzijds de bestrijding van malafide zaken, maar anderzijds het opduiken van nieuwe boosdoeners. Een groeiende censuurlijst houdt dit nooit bij.

Josse's picture

Ik vind het al ten eerste zeer interessant om te weten dat dit gebeurt. Daarvoor is het al goed dat men het erover heeft.

Het is echter een verkeerde oplossing voor het probleem. Het probleem is dat mensen te vaak geconfronteerd worden met phishing-aanvallen en andere securrityproblemen en dus beter hiertegen beschermd zouden willen worden.

De oplossingen hiervoor (bv. in bedrijven) zijn niet enkel DNS servers met blacklists, maar kan even goed aan de hand van http proxies of het kan al geblokkeerd worden door het Belgacom/Telenet/... bakje zelf zoals al eerder aangehaald dat er ook een vraag is bij de doeltreffendheid voor phishing. Dus er kan hier gerust wat creativiteit overgelaten worden aan de providers. Wat ik vermoed dat de burger wil, is enerzijds hiervoor een bescherming hebben zonder daarvoor iets te moeten doen, maar anderzijds goed geïnformeerd worden over wat er eventueel geblokkeerd wordt en die blokkage op een simpele manier kunnen afzetten. (liefst zelfs op een manier dat hij gemakkelijk kan bepalen wat wel en wat niet)

De overheid zou dus geblokkeerde sites (of zelfs stukken van sites) kunnen aanbieden als open data en verplichten aan providers het geadviseerd beleid door de regering aan te bieden vanaf het laagste abonnement (eisen hiervoor zo laag mogelijk houden) en een meer advanced al dan niet in optie. Die policy zou ook aangeraden kunnen worden door de banken en de banken zouden kunnen helpen om de open data op te stellen. Dit maakt het ook mogelijk dat de gebruiker geïnformeerd is.

Mijn open vraag blijft echter waarom de providers dit al niet uit eigen beweging zouden doen. Eigenlijk gaat het over een stuk gebruiksvriendelijkheid die we vragen aan de providers om toe te voegen en dat is misschien niet de prioriteit voor Belgacom/Telenet/... (Heb wel al eens reclame van Voo in die richting gehoord)

Christophe Ochal's picture

Peter,

Je kan phishing *ABSOLUUT NIET* tegenhouden via een dns-blok, de enige manier is om de banken te verplichten zich ook naar de gebruiker toe te authenticeren, door bv voor elke transactie een sms te sturen naar de gebruiker met een omschrijving van de transactie én een code die ingegeven moet worden.

Dit voorkomt man in the middle attacks en is de *ENIGE* mogelijke oplossing om phishing in kader van banken tegen te houden.

De FCCU of om het wat welke organisatie carte blanche geven om zaken op die dns blokkage lijst te zetten is een slippery slope richting Chinese toestanden en de lijst openbaar maken ondermijnt de argumentatie die gebruikt werd om dat gedrocht sowieso in gebruik te maken.

Je pakt het probleem aan aan de bron: de authenticatie tussen partijen, niet lapmiddeltjes zoeken die de verdere werking van het internet ondermijnen. Als je dit dns-blok idee niet laat varen zal N-VA mijn steun volledig verliezen.

Josse's picture

Ik kan als man in the middle ook een sms versturen (al kan dan misschien getraceerd worden van waar)... Authenticiteit wordt misschien best bewezen ahv certificaten. Misschien zijn er wel creatieve ideeën als een proxy die nagaat of je websites bezoekt die eruitzien als die van uw bank en willen gebruikers zelf die data delen? Security blijft een complex probleem.

Wim's picture

Het is geldverspilling Peter, hoe goedbedoeld ook. Praat eens met de echte hackers bij bv Dimension Data. Die leggen je uit hoe je als phisher een PDF zero day exploit voor peanuts op de kop tikt. Van de nietsvermoedende internauten opent de helft de pdf bijlage en wordt geïnfecteerd. Je loopt dus altijd achter de feiten. Antivirus scanners stellen niks voor om hierbij te helpen.

Wil je per-se op DNS niveau iets doen dan moet je een soort cloud dienst aankopen die continu je DNS update met de laatste nieuwe threats. Infoblox en andere grote spelers bieden dit maar vnl gericht op Amerikaanse markt. Maar wie gaat dat betalen, wie gaat dat onderhouden, en wie richt de helpdesk in om false positives op te vangen? Want elke gebruiker die iets niet kan gaat onvermijdelijk meteen de schuld op de grote belgische vuurmuur steken.

Manueel laten blokkeren is onbegonnen werk en zal door echte hackers die achter geld aanzitten op 1-2-3 omzeild worden. Gegeven de gemiddelde IT kennis van onze rechters zullen er ook heel wat krakkemikkige vonnissen afgeleverd worden.

Ik raad je echt aan te gaan spreken met de professionals, liefst met penetration testers en system engineers van grote integratoren en fabrikanten, en niet met de gemiddelde pc-boer die ze at random in het VRT journaal opvoeren.

Christophe Ochal's picture

Josse,

Proxies zijn uit den boze. ISP's of anderen hebben geen zaken met wat ik online doe en maar een lap middel. Nu moet jij je authenticeren aan de bank maar omgekeerd moet niet en daar zit'm het probleem.

Yennick Schepers's picture

Deze oplossing is niet doeltreffend en is zelfs gevaarlijk!

Het is beter om in samenspraak met de internet providers en de banken een voor de eindgebruiker optionele spam-filter op poten te zetten waarin e-mails die claimen afkomstig te zijn van banken en met verwijzingen naar websites die niet in een whitelist staan automatisch naar de prullenbak te verwijzen. Efficiënter, transparanter en de kans op censuur is beperkter.

Ik heb gemerkt dat mijn Amerikaanse e-mail provider er wel in slaagt om phishing op een goede manier te detecteren en mij hiervoor te verwittigen.

Maarten Schenk's picture

Ja, die omzeilinformatie erbij zetten... geldt dat ook voor de geblokkeerde kinderporno- en goksites?

Peter Dedecker's picture

Een zeer interessante, onderbouwde reactie van de specialisten ICT-recht van Mylex vind je hier: http://ictrecht.be/2013/05/09/p-dedecker-steunt-voorzichtig-gebruik-big-...

Josse's picture

Peter en Mylex,

Omfloerser zou je een tekst niet kunnen schrijven. Voor de blokkering van die phishing sites wordt een techniek voorgesteld die overeenkomt met die van de piratebay en die techniek op zich deugt al niet, terwijl hier al meermaals aangestuurd is op een aanpak waarbij banken, overheid en providers kijken hoe het aangepakt kan worden waarbij de gebruikers een overzichtelijke opt-out hebben indien al nodig.

Voor de rest kan ik vanuit die tekst wel begrijpen dat het niet oneerbaar bedoeld is, maar als het deftig aangepakt moet worden, zal iets meer nodig zijn dan de juridische kijk op het verhaal en dan is de vraag of men phishing sites vanuit overheid moet blokkeren zelfs meer dan waarschijnlijk overbodig. Het is niet omdat een kwaad minder erg is, dat we het moeten toestaan.

Peter Dedecker's picture

@Yannick: zeer interessant punt mbt de Amerikaanse provider. Probleem is natuurlijk dat we een klein taalgebied zijn waarvoor dergelijke oplossingen niet optimaal werken. Dat was ook lang ons geluk, want niemand die zich op het Nederlandstalig publiek richtte voor minder bonafide doeleinden. Maar blijkbaar zijn we ondertussen wel een stuk verder en worden de phishing mails in steeds beter Nederlands opgesteld.

Anoniem's picture

Ik vind dit :
Blijf met je poten van het internet af.
Het internet zou eens hard terug kunnen slaan.

Een zeer interessante, onderbouwde reactie

Anoniem's picture

Probleem is natuurlijk dat we een klein taalgebied zijn waarvoor dergelijke oplossingen niet optimaal werken.Wat heeft taal daar nu mee te maken machine taal ip nummers zijn universeel typish nva is de schuld van .....

Peter Dedecker's picture

Voor sommigen is taal blijkbaar een groter probleem dan voor anderen :-)

Wat ik bedoel: een phisher probeer zoveel mogelijk geld binnen te halen. Mensen zijn niet dom: slechts een kleine minderheid trapt in de val. Om succesvol te zijn, moet je dus zoveel mogelijk mensen een phishing mail sturen in de hoop dat er toch een paar in trappen. Engelstalige of Franstalige phishingmails hebben geen succes in een Nederlands taalgebied: iedereen weet dat de Belgische (groot)banken hun klanten altijd aanspreken in hun eigen taal. Bovendien zijn diegenen die in phishingmails trappen dikwijls ook niet altijd vreemde talen machtig. Je bent als phisher dus beter af door je te richten op een groot taalgebied: dat is minder moeite om meer potentiële slachtoffers te bereiken. Daarin hadden we dus geluk.

Het omgekeerde geldt natuurlijk ook: een systeem ontwikkelen om phishing tegen te gaan op basis van spamdetectie en controle van de inhoud van mails, is moeilijker en duurder voor een kleiner taalgebied. Minder potentiële klanten, resulteert ook in een hogere ontwikkelkost per klant.

Anoniem's picture

Doe liever iets om de buitenlandse goksites te deblokkeren als je je nuttig wil maken en op dit thema wenst te profileren. =)
Vermoed dat deze blokkage strijdig is met enkele EU-regels. (we zijn het enige EU-land die dit doet)

Anoniem's picture

Voor sommigen is taal blijkbaar een groter probleem dan voor anderen :-) beetje zoals de materie waar over uw intersant probeerd te doen ?

Anoniem's picture

Ik vraag me eigenlijk af of we verzekert zijn tegen phising, betaalt de bank het verloren geld terug zoals bij diefstal van een kredit card? Want in dit geval zouden wij als burger met deze oplossing NOG maar eens geld moeten uitgeven (belastinggeld) om de banken kosten te besparen. Dat hebben we de laatste jaren echt al meer dan genoeg gedaan.

François's picture

Beste meneer De Decker,
Phishen of hengelen naar gegevens. Hoe kun je het voorkomen? Nog niets van gelezen in dit blogbericht.
Je bedoelingen zijn misschien goed , anderzijds vind ik zelf dat het meer dan hoogtijd word dat de overheid er werk van maakt om de burger veilig te leren internetten, veilig leren e-mailen . Ik denk dat dit heel wat goedkoper voor de belastingbetaler zal uitkomen dan de Big Belgian Firewall.
In het openingsbericht van dit blogbericht lees ik een sterke toename . Wanneer men erop klikt word men doorgelinkt naar datanews.knack.be
Ik argumenteer dit maar enkel als voorbeeld.
Stel dat deze blog dubieuze en kwaadwillige bedoelingen heeft , en heb hiervan geen enkel vermoeden , ga op sterke toename klikken en in de val gelokt word.
Anderzijds ben ik iemand die zijn voorzorgen neemt, en eerst ga controleren zonder te klikken om te controlreren naar welke website ik zal doorgelinkt worden.
Zeer eenvoudig te controleren, maar 95 % van de internetgebruikers weet niet hoe , en tja phishers en internetfraudeurs weten dit maar al te best, met de gevolgen erbij.

Peter Dedecker's picture

@ (een van de vele) Anoniem: de bank garandeert enkel dat zij van haar kant haar uiterste best zal doen om de veiligheid te garanderen. Als de site van de bank gehackt wordt, dan zal de bank verantwoordelijk zijn voor eventuele schade bij de klanten. Maar wanneer een klant nalaat om zelf zijn kant van het verhaal te beveiligen of goedgelovig in een of andere val trapt, kan die daar niets aan doen en hoort die ook geen schade te vergoeden. Sommigen zullen misschien wel een commerciële geste doen, maar dat is lang niet gegarandeerd. Als ik met mijn voorstel enkele honderden mensen kan beletten pakweg 3000 euro te verliezen, doe ik dat graag. Zeker omdat het wellicht vooral over de zwaksten en kwetsbaarsten in de maatschappij zal gaan, voor wie 3.000 euro een enorm bedrag is.

@François: dergelijke informatie wordt massaal verspreidt, ook door de banken. "Uw bank zal nooit per mail of telefoon vragen uw pincode in te geven" staat op alle websites en in elke communicatie van de banken. Toch doen mensen dat. Het zijn net de zwaksten die je niet met dergelijke informatie bereikt, die hier het slachtoffer zijn. Uiteraard sluit mijn voorstel niet uit dat er verder aan sensibilisering gedaan wordt, in tegendeel: terechtkomen op zo'n stop-pagina van een geblokkeerde website zou je moeten verplichten tot het lezen van een en ander, of op z'n minst een (gratis) telefoonnummer geven waarop je kan bellen voor een persoonlijke uitleg.

Glenn De Backer's picture

Die "massale" verspreiding valt toch mee. Het valt mij toch op dat ik nog geen (goeie) informatie campagne heb gezien ivm phishing vanuit de bankensector. Ze zouden zelf een gezamenlijke (lijkt mij in ieders voordeel) media campagne kunnen opzetten om die ene regel onder de aandacht te brengen. Het zou misschien ook nuttig zijn dit ergens in het leerplan te integreren rond het thema internet veiligheid bijvoorbeeld.

Dat lijkt mij toch beter dan de kosten voor een grote firewall weer op de belastingsbetaler te verhalen. Vooral omdat ik er redelijk zeker ben dat in praktijk het weinig impact zal hebben. Het internet "route" rond dergelijke problemen gewoon heen, kijk naar de piratebay. En als ze vandaag het al nodig vinden om die dingen zo goed mogelijk in het Nederlands op te stellen, zullen ze zeker ook tijd en energie investeren om rond die 'firewall' te werken. En een DNS blokkade is eigenlijk niet zo'n groot probleem.

Pas op als IT'er ben ik blij dat er wat meer aandacht gespendeerd wordt aan Informatica. Er zijn volgens mij echter wel nog veel meer zaken die aandacht zouden moeten krijgen en die ik zelf logischer vind, maar dan zijn we volgens mij een paar uur bezig.

Christophe Ochal's picture

Peter,

Nogmaals, de énige manier om phishing (in kader van banken) te stoppen is door wederzijdse authenticatie en het beste nog over gescheiden kanalen.

Practisch voorbeeld:

Je logt je in op bank.be en wenst een transactie uit te voeren. Je geeft alles in en klikt op 'uitvoeren'. De bank stuurt nu een sms met een opsomming van de verrichting en een code die je moet indienen als bevestiging. Je heeft de code in en klaar is kees.

Als een phishing site hier tussen zit en ze slagen erin je te doen inloggen hebben ze nog steeds het probleem dat ze geen controle hebben over het 2de kanaal en kunnen dus niets uitvoeren zonder dat je expliciet ingelicht wordt via het 2de kanaal. Via dit 2de kanaal bevestigd de bank dus dat je wel degelijk met je bank spreekt.

Simpeler als dit kan ik het niet uitleggen en dit is een benadering die de banken zonder problemen kunnen implementeren (en zouden implementeren moesten ze aansprakelijk zijn voor alle gevallen van phishing, het is *HUN VERDOMDE VERANTWOORDELIJKHEID* om ervoor te zorgen dat de klant weet dat hij met de bank spreekt)

Christophe Ochal's picture

"@Maar wanneer een klant nalaat om zelf zijn kant van het verhaal te beveiligen of goedgelovig in een of andere val trapt, kan die daar niets aan doen en hoort die ook geen schade te vergoeden."

De bank is verantwoordelijk voor de implementatie van PC Banking. Als deze implementatie vatbaar is voor phishing of man-in-the-middel aanvallen dan is de bank verantwoordelijk. Niet de klant die dom genoeg is om in een phishing site alles in te geven, maar de bank om niet alles in het werk te stellen om dit onmogelijk te maken.

Zolang we de bank niet verplichten zich ook naar de gebruiker toe te authenticeren zal men geplaagd blijven door phishing & man in the middle attacks.

"Als ik met mijn voorstel enkele honderden mensen kan beletten pakweg 3000 euro te verliezen, doe ik dat graag. Zeker omdat het wellicht vooral over de zwaksten en kwetsbaarsten in de maatschappij zal gaan, voor wie 3.000 euro een enorm bedrag is."

Met je voorstel verlaag je de drempel om blokkages in te voeren op het internet, hoe lager die drempel ligt hoe sneller we in een (nog groter) gecensureerd net belanden. Nu is het kinderporno en illegaal downloaden. Na je voorstel komt daar ook 'phishing sites' bij, voor je het weet vallen andere sites er ook onder omwille van god weet welke vage redenen.

Elke legitimatie van dit DNS blok systeem is er een te veel.

Peter Dedecker's picture

Je maakt een fout: de door jou beschreven 2w authenticatie geeft jr nog steeds niet de garantie dat je met debbank spreekt. Iedereen kan die sms versturen. Google en Facebook werken zo maar hiermee weten zij enkel dat jij aan de pc zit of je gsm in de buurt is. Het kan enkel werken als jij zelf de SMS moet sturen naar een vooraf afgesproken nummer waarvan je zeker weet dat het van de bank is. Maar dan nog valt mensen van alles wijs te maken opdat ze die SMS naar een ander nr zouden sturen.

Christophe Ochal's picture

Neen Peter, het feit dat de phishers kunnen sms'n helpt niet want ze kunnen geen overschrijving uitvoeren zonder de code die de *BANK* genereerde. Zonder je sms'n te onderscheppen kunnen ze dus *NIETS* doen.

Anoniem's picture

@Christophe de bank authenticeert zich wel degelijk naar de gebruiker toe. En wel via het SSL-certificaat. Tenzij men ook de root-CA compromitteert zal een MITM-aanval door je browser gedetecteerd worden (breuk in de chain of trust) en een stevige waarschuwing zal getoond worden. De meeste mensen klikken dan op 'OK' zonder de waarschuwing te lezen; dit heet in het Engels ietwat poetisch de "weak binding between service and certificate."

Anoniem's picture

Christophe, het is juist de bedoeling van de man in the middel dat iemand live meedoet wat jij op dat moment doet. Misschien zelfs met je aan de telefoon hangt. Dus die sms code is echt geen oplossing.
Wat wel een oplossing is is de gebruiker een VPN client laten installeren en enkel via die weg toegang geven naar de bank en gebruik dan geen simpele SSL vpn die nog kan nagemaakt worden of simpel aangepast gebruik iets wat moeilijk te installeren is en waar de internet leek geen benul van heeft hoe hij het kan aanpassen. Ok dit zal voor veel extra werkuren zorgen bij de bank maar het is wel veilig.

Peter, ik zou graag eens een berekening zien van wat uw voorstel aan de belastingbetaler zou kosten want je zegt wel wat je mensen bespaard, maar je praat nergens over het kostenplaatje van je voorstel.

Uw hameren op het beschermen van de zwaksten en meest kwetsbare in de maatschappij doet mij denken dat jij in de verkeerde partij zit. Dit is inderaad een voorstel dat ik van een socialist zou verwachten door de volgende redenen:
-Zwakke kennis van het onderwerk maar klinkt goed bij de burger
-Hulp aan de zwakken maar het kost de iets beter gegoeden meer dan het opbrengt voor de minder gegoeden.
-Voorstellen doen waarvan men de impact op de begroting niet weet of niet publiek durft maken.

En kom nu aub niet af met belachelijk lage prijzen, ik heb een goed idee wat banken betalen aan de grote netwerk beheerders in Belgie, die 300.000€ die je de burger zou besparen is peanuts.

Anoniem's picture

Best zet men bij de lijst met "geblokkeerde" sites ook meteen informatie over hoe dat te omzeilen.
Tijd voor de http://www.youtube.com/watch?v=xH-XSdnU0kQ
vrachtwagenchauffeur tuut tuut

François's picture

Beste Peter, ik denk dat u niet alles gelezen hebt in mijn bijdrage.
François (not verified) zei op donderdag 9 mei 2013 om 20:22:
Ik heb het hier niet over Phishing alleen maar ook over internetfraude , waarbij ik dan internetfraude algemeen bedoel.
Voorbeeldjes hiervan zijn het bekende politievirus, het Sabam virus enz...... , waarbij de computergebruiker op zijn beeldscherm te zien krijgt, computer geblokkeerd wegens illegale activiteiten. Om de computer te deblokkeren dient eerst een boete betaald te worden .
Dit heeft nu eens niets met Phishing te maken, maar met onveilig computergebruik.Niet weten hoe men zijn computer en internet degelijk moet beveiligen. Niet weten dat men zijn software en zijn besturingssysteem moet up to date houden. Niet weten hoe men veilig moet e-mailen en noem maar op.
Test je kennis en behaal het certificaat. Zelf ik de certificaten zonder problemen behaald.
https://www.certifiedsecure.com/certificatedetails/view/35

François's picture

Juiste link voor de training veilig internet
https://www.certifiedsecure.com/certificatedetails/all

Anoniem's picture

@Francois, ik heb even die test gedaan. Die vragen zijn ronduit achterlijk :)
Het installeren van updates en een antivirus is ergens een hulp maar is geen perfecte bescherming. Het controlleren van een link zoals je aanhaalt, ik snap niet goed wat je bedoelt. Hij kijk je na naar welke site je doorgelinkt wordt? Doe jij voor elke site eerste een nslookup en ga je dan het ip verifieren om te zien of het welk van dat bedrjif komt? Download je eerst met een save link as de pagina en open je die in bvb notepad om de HTML code uit te pluizen. Gewoon even kijken welke naam de link is heeft totaal geen nut, DNS kan gehacked zijn of de site waar je naartoe gaat kan gehacked zijn. In dat geval heeft de nslookup en IP verificatie ook geen zin.

Francois's picture

Sorry Peter, dit had ik nu helemaal niet verwacht.
Helemaal bovenaan in je blog, ga met je muisaanwijzer op het grote stopbord staan.
kijk linksonderaan in je beeldscherm , en daar verschijnt de juiste link naar welke site zal doorgelinkt worden.
Ga met je muisaanwijzer op een sterke toename staan, en kijk linksonderaan in je scherm.
Idem in een e-mail bericht. Ga met de muisaanwijzer op de link staan, niet klikken en je krijgt de juiste link te lezen naar welke site je zal doorgelinkt worden.

François's picture

Sorry voor de vergissing Peter, mijn bericht was aan anoniem bedoelt.
Als anoniem zijn beveiliging geen gehackte site blokkeert , dan scheelt er wat hoor aan je beveiligingssoftware.

Anoniem's picture

@Francois
Jij snapt echt mijn uitleg niet?
Ooit al gehoord van nslookup, dns, host file...
Je klinkt als iemand die eens een cursus PC gebruik gevolgd hebt in avondschool en gaat hier komen verkondigen hoe we ons kunnen beschermen. Het kost mij waarschijnlijk 10sec om er voor te zorgen dat als jij www.hln.be intypt uitkomt op www.destandaard.be wat maakt het dan uit welke link je onderaan je browser ziet? Je pc en jij zullen beide denken dat je naar www.hln.be gaat gaan maar achterliggend wordt je naar www.destandaard.be gestuurd zonder dat jij dit op voorhand kan zien. Toch niet op de manier dat jij het uitlegt.

Anoniem's picture

@Francois, uw beveiligingssoftware loopt gemiddeld 1a2 dagen achter op het uitkomen van virussen, dus een nieuw gehackte site of nieuw virus wordt niet gedetecteerd.

François's picture

Anoniem, je haalt hier gehackte websites aan. Hoe zeker ben jij dat je computer niet in een botnet staat , om gebruikt te worden om massaal frauduleuze e-mails te verzenden?
En ik wacht nog altijd vol ongeduld om ook eens zo een valse frauduleuze e-mail te ontvangen, of is dit gewoon toeval dat het bij mij nog niet gebeurt is.
En ik heb het over verborgen linken. Klik hier, waar in hier een verborgen link staat , niet wetend naar waar ik zal doorgelinkt worden.

Anoniem's picture

@Francois, ik ben 1000% zeker dat ik niet in een botnet zit je maakt echt geen indruk met termen naar mijn hoofd te slingeren :)
Ik heb er geen probleem mee om via een wireshark elk IP packet dat van mijn PC vertrekt te ontleden en te weten wat dit doet. Ik twijfel eraan dat jij het verschil weet tussen layer 2, layer 3 en layer 4. Waar arp nodig is op een netwerk en waarvoor je IP gebruikt. Welke protocols gebruik maken van TCP en welke van UDP en waarom dit een belangrijk verschil is.
Maar ik ga het hierbij laten want volgens mij ken jij meer van security dan bvb Nir Zuk.

Wim's picture

Nogmaals Peter, als ik zie wat hier door sommigen geschreven wordt, ga aub met de echte specialisten van de grote integratoren (Dimension Data, Securelink, ...) en de grote fabrikanten (Check Point, Palo Alto, Infoblox, RSA etc...) praten om je degelijk te informeren. En daarmee bedoel ik pentesters, system engineers en developers van die firma's, geen sales- of marketing mensen of bloggers, pc boeren, journalisten e.d. die graag door de media worden opgevoerd.

Er zijn veel die denken er iets van te kennen, weinigen kennen er ook echt iets van.

Syndicate content

Politiek engagement

N-VA logo

Kom op Tegen Kanker

logo Loop naar de Maan

Steun Kom op Tegen Kanker en laat me naar de maan lopen!

cover boek "Een Zuil van Zelfbediening"

Blik op mijn agenda

Je vindt me ook terug op

Facebook logo

Twitter logo

YouTube logo

Contact

Je kan me steeds contacteren via het contactformulier of rechtstreeks:
Muilaardstraat 60, 9000 Gent (privé)
Leuvenseweg 21, 1000 Brussel (kantoor) 
Peter.Dedecker@N-VA.be
0486/152320

Disclaimer

Dit is de website van Peter Dedecker. Alle teksten mogen, tenzij anders vermeld, overgenomen worden mits bronvermelding. Een link wordt altijd geapprecieerd. Dit alles is mijn persoonlijke opinie. Organisaties waar ik lid van (geweest) ben of voor (ge)werk(t heb) kunnen in geen geval aansprakelijk gesteld worden voor wat ik hier schrijf. Zie de volledige disclaimer.