In augustus vorig jaar werden er meer dan 5.000 computeraanvallen geregistreerd en in Europa waren ongeveer 25 banken het doelwit: de problemen als gevolg van phishing blijven als paddestoelen uit de grond schieten. Het doel van deze praktijken, ook bekend als “brand spoofing” (misbruik van een bestaande naam), is< geld of vertrouwelijke gegevens van internetgebruikers lospeuteren via e-mails die hen rechtstreeks naar valse websites leiden. De slachtoffers ontvangen een bericht dat echt van een bank, internetaanbieder of andere online dienstverlener lijkt te komen. In het bericht wordt de lezer gevraagd om vanwege een beveiligingsprobleem, zijn inloggegevens te bevestigen. Als de gebruiker vervolgens op de link in het bericht klikt, komt hij op een nagemaakte website terecht, die een perfecte kopie is van de website van de betreffende organisatie of onderneming. Klanten van verscheidene banken zijn al het slachtoffer geworden van dit soort fraude. Vorig jaar waren er zelfs valse liefdadigheidswebsites voor de slachtoffers van de tsunami. Ook Google is het doelwit geworden: internetgebruikers werden niet zo lang geleden gevraagd hun bankpasgegevens in te vullen op een exacte kopie van de website van de beroemde zoekmachine, om kans te maken op een prijs!
Gezien de omvang van het probleem zijn er oplossingen geïntroduceerd met een verbeterde gebruikersverificatie (bijv. domeinnaamverificatie), zoals het domeinnamenproject van Yahoo. Verschillende banken en andere dienstverleners gebruiken ook nieuwe technieken om ervoor te zorgen dat hun klanten een beter beveiligde toegang hebben tot hun online accounts. Hieronder volgen een aantal voorbeelden van deze hardware- en software-oplossingen.
Om de wachtwoordbeveiliging te verbeteren, zijn sommige banken van plan om een extra identificatieproces in te voeren dat gebruik maakt van chipkaarten of USB-sleutels. Om toegang te krijgen tot hun online rekening, moeten klanten dan niet alleen een wachtwoord invullen, maar ook een chipkaart in een speciaal leesapparaatje of een USB-sleutel in hun computer steken. Het is zo onmogelijk voor phishing-fraudeurs om toegang te krijgen tot de rekening van de gebruiker, tenzij ze de kaart of sleutel weten te stelen. Het chipkaartsysteem heeft echter ook nadelen: het is duur en kan alleen met een speciaal leesapparaatje worden gebruikt. Specifieke USB-sleutels lijken een betere optie voor gebruik door de normale gebruiker.
Wachtwoord-hashing is een van de maatregelen die worden aangeraden door het werkgroep Anti-Phising. Het werkt heel goed tegen identiteitsdiefstal omdat het wachtwoord “opnieuw berekend” wordt en er gegevens aan worden toegevoegd die specifiek zijn voor de site waarvoor het bedoeld is. Vanuit het oogpunt van de gebruiker is het een eenvoudig systeem, hij hoeft alleen zijn wachtwoord in te vullen op een online formulier. De browser wijzigt dit wachtwoord vervolgens en voegt er andere informatie aan toe. Dit betekent dat het volledige wachtwoord dat door de gebruiker wordt ingevoerd niet zichtbaar is op de website waar het voor bedoeld is. Deze site ontvangt alleen het wachtwoord dat is “gehasht” en geeft dan toegang op basis van hetzelfde hashing-algoritme als dat van de gebruiker. Dus ook als een gebruiker zijn wachtwoord achterlaat op een phishing website, kan het niet door hackers worden gebruikt.
Met dit systeem moeten internetgebruikers transactie- of overschrijvingsverzoeken bevestigen door middel van het sturen van een sms-je vanaf hun mobiele telefoon. Het voordeel van dit systeem is dat de online transacties niet worden geautoriseerd totdat de bank een antwoord heeft ontvangen op hun sms-bericht. Om dit systeem te kunnen laten functioneren, moeten klanten wel het nummer van hun mobiele telefoon aan de bank doorgeven.
