Technorati
Delicious
Digg
LinkArena
Blinklist
Nujij
Reddit
eKudos
MSN
FavesNieuwe manieren om phishing te bestrijden
Introductie
In augustus vorig jaar werden er meer dan 5.000 computeraanvallen geregistreerd en in Europa waren ongeveer 25 banken het doelwit: de problemen als gevolg van phishing blijven als paddestoelen uit de grond schieten. Het doel van deze praktijken, ook bekend als “brand spoofing” (misbruik van een bestaande naam), is< geld of vertrouwelijke gegevens van internetgebruikers lospeuteren via e-mails die hen rechtstreeks naar valse websites leiden. De slachtoffers ontvangen een bericht dat echt van een bank, internetaanbieder of andere online dienstverlener lijkt te komen. In het bericht wordt de lezer gevraagd om vanwege een beveiligingsprobleem, zijn inloggegevens te bevestigen. Als de gebruiker vervolgens op de link in het bericht klikt, komt hij op een nagemaakte website terecht, die een perfecte kopie is van de website van de betreffende organisatie of onderneming. Klanten van verscheidene banken zijn al het slachtoffer geworden van dit soort fraude. Vorig jaar waren er zelfs valse liefdadigheidswebsites voor de slachtoffers van de tsunami. Ook Google is het doelwit geworden: internetgebruikers werden niet zo lang geleden gevraagd hun bankpasgegevens in te vullen op een exacte kopie van de website van de beroemde zoekmachine, om kans te maken op een prijs!
Gezien de omvang van het probleem zijn er oplossingen geïntroduceerd met een verbeterde gebruikersverificatie (bijv. domeinnaamverificatie), zoals het domeinnamenproject van Yahoo. Verschillende banken en andere dienstverleners gebruiken ook nieuwe technieken om ervoor te zorgen dat hun klanten een beter beveiligde toegang hebben tot hun online accounts. Hieronder volgen een aantal voorbeelden van deze hardware- en software-oplossingen.
Tokens en wachtwoorden voor eenmalig gebruik
Bij phishing-technieken worden het wachtwoord of de bankgegevens van het slachtoffer verkregen om zo toegang te krijgen tot de online rekening. Het gebruik van tokens, in combinatie met wachtwoorden die maar één keer kunnen worden gebruikt, kan dit soort scam voorkomen.. Het systeem is gebaseerd op een klein apparaatje dat lijkt op een zakrekenmachine dat automatische eenmalige wachtwoorden genereert. De gebruiker voert het door het token gegenereerde wachtwoord in om toegang te krijgen tot zijn rekening. Aan de andere kant bevindt zich de bank, die gebruik maakt van hetzelfde algoritme om het te genereren wachtwoord te bepalen. Als de twee wachtwoorden overeenkomen, wordt er toegang verleend. De gegenereerde wachtwoorden kunnen maar één keer worden gebruikt, waardoor het onmogelijk is ze te stelen en ermee te frauderen. Een groot aantal banken in Amerika en Europa , gebruiken zulke tokens nu, evenals internetaanbieders zoals AOL (voor klanten in de V.S.). Het systeem brengt echter wel wat extra kosten voor de klanten met zich mee, zij moeten betalen voor het token en zijn meestal ook een maandelijkse bijdrage kwijt voor het abonnement op deze dienst.Chipkaarten en USB-sleutels voor extra beveiliging
Om de wachtwoordbeveiliging te verbeteren, zijn sommige banken van plan om een extra identificatieproces in te voeren dat gebruik maakt van chipkaarten of USB-sleutels. Om toegang te krijgen tot hun online rekening, moeten klanten dan niet alleen een wachtwoord invullen, maar ook een chipkaart in een speciaal leesapparaatje of een USB-sleutel in hun computer steken. Het is zo onmogelijk voor phishing-fraudeurs om toegang te krijgen tot de rekening van de gebruiker, tenzij ze de kaart of sleutel weten te stelen. Het chipkaartsysteem heeft echter ook nadelen: het is duur en kan alleen met een speciaal leesapparaatje worden gebruikt. Specifieke USB-sleutels lijken een betere optie voor gebruik door de normale gebruiker.
Wachtwoord-hashing voor specifieke sites
Wachtwoord-hashing is een van de maatregelen die worden aangeraden door het werkgroep Anti-Phising. Het werkt heel goed tegen identiteitsdiefstal omdat het wachtwoord “opnieuw berekend” wordt en er gegevens aan worden toegevoegd die specifiek zijn voor de site waarvoor het bedoeld is. Vanuit het oogpunt van de gebruiker is het een eenvoudig systeem, hij hoeft alleen zijn wachtwoord in te vullen op een online formulier. De browser wijzigt dit wachtwoord vervolgens en voegt er andere informatie aan toe. Dit betekent dat het volledige wachtwoord dat door de gebruiker wordt ingevoerd niet zichtbaar is op de website waar het voor bedoeld is. Deze site ontvangt alleen het wachtwoord dat is “gehasht” en geeft dan toegang op basis van hetzelfde hashing-algoritme als dat van de gebruiker. Dus ook als een gebruiker zijn wachtwoord achterlaat op een phishing website, kan het niet door hackers worden gebruikt.
Beveiliging met behulp van sms-berichten
Met dit systeem moeten internetgebruikers transactie- of overschrijvingsverzoeken bevestigen door middel van het sturen van een sms-je vanaf hun mobiele telefoon. Het voordeel van dit systeem is dat de online transacties niet worden geautoriseerd totdat de bank een antwoord heeft ontvangen op hun sms-bericht. Om dit systeem te kunnen laten functioneren, moeten klanten wel het nummer van hun mobiele telefoon aan de bank doorgeven.