Phishing: ‘Overtuigen, opletten en brandjes blussen’

| Rense Kuipers

‘Phishing is als marketing, maar dan met criminele intenties. Het draait uiteindelijk om overtuigen.’ Was getekend, PhD-student Elmer Lastdrager. Hij onderzocht 700 duizend phishingmails en promoveert daar vrijdag op.

Van uiterst doorzichtige mailtjes van Nigeriaanse prinsen tot overtuigende mailtjes in de huisstijl van je eigen bank, Lastdrager zag ze allemaal voorbijkomen. De crux of cybercriminelen wel of geen succes boeken met phising zit ‘m in de moeite die ze nemen, concludeerde hij. ‘Je kunt het zien als een trade-off. Je hebt in één mailtje de kans om mensen te overtuigen dat het klopt wat je zegt. Steek je er veel moeite in en ga je gericht te werk, dan is de kans op een effectieve aanval vrij groot. Een massalere aanval die minder persoonlijk van aard is, heeft minder kans van slagen.’

Aanvallers spelen slim in op het gedrag van hun potentiële slachtoffers, vertelt de jonge onderzoeker. Lastdrager heeft een dataset van phishingmeldingen bij de fraudehelpdesk verwerkt tot een heatmap met daarop een weekoverzicht en tijdstippen. Een piek op de maandagochtend valt direct op. ‘Dan starten mensen hun werkweek en checken ze hun e-mail. Aanvallers zien dan hun kans schoon.’

Zwakste schakel

De mens als zwakste schakel bij cybersecurity ligt volgens Lastdrager voor de hand. Hij denkt dat iedereen op een moment in zijn of haar leven slachtoffer kan worden van een phishingaanval. ‘Criminaliteit is een fact of life. Juist omdat het internet iedereen verbindt, is het zo makkelijk om aanvallen te plegen. En slachtoffer worden kan de besten overkomen, ieder mens maakt fouten. Eén moment van onoplettendheid, zwakte dus, kan al genoeg zijn.’

Kinderen traninen

Lastdrager trainde tijdens zijn onderzoek ook kinderen van 8 tot 13 jaar in phishingpreventie. ‘Waarom we juist die specifieke groep trainden? Ik vond het best schokkend dat 80 procent een eigen e-mailadres heeft. Als zij de computer van hun ouders gebruiken en in een phishingmail trappen, is die computer geïnfecteerd.’

De anti-phishing training had wel degelijk effect op de kinderen, zag Lastdrager. Al was het slechts op korte termijn. ‘Na vier weken waren ze weer terug op hun oude niveau’, vertelt hij. ‘Die termijn geldt doorgaans ook voor volwassenen. Als je dat afzet tegen het gedrag van aanvallers, zie je iets opvallends. Zij versturen dezelfde phishingmails doorgaans drie à vier keer. De periode die ertussen zit, is gemiddeld 49 dagen. Het lijkt alsof ze weten dat de kennis en oplettendheid van hun slachtoffers in de tussentijd verwatert.’

Brandjes blussen

Gelukkig kunnen we ons wapenen tegen phishing. Het begint allemaal met gezond verstand, weet Lastdrager. ‘Check wie de afzender is en klik niet zomaar op een link die in een e-mail staat. Zo’n phishing-e-mail is vaak urgent van aard, met een oproep om binnen een paar uur actie te ondernemen. Anders wordt bijvoorbeeld je pinpas geblokkeerd. Bij twijfel, wacht gewoon een aantal uren of zelfs een dag.’

Dat maakt namelijk groot verschil, vertelt de PhD-student. ‘Er is een constante strijd om de infrastructuur van hackers weg te halen. Het is brandjes blussen, maar dat gaat zeker goed. Doorgaans zijn phishingwebsites binnen een paar uur weer offline en loop je geen gevaar. Totdat het volgende mailtje zich weer aandient…’