Pesterijen, gijzelacties en diefstallen via e-mail en het internet nemen toe in omvang en in ernst. Het slechte nieuws is: niets wijst op beterschap.
Een greep uit de vrachtlading ongewenste e-mails die dagelijks in onze digitale postbus wordt gedumpt: ene Sai An Jima heeft de oplossing voor onze financiële problemen, de ons volledig onbekende Assudei belooft een Rolex-horloge voor 200 dollar, concurrent James Humphrey verkoopt er zelfs eentje voor 75 dollar. Rinisa zegt ‘Thanks’zonder dat we haar ooit iets aangeboden hebben, Pierluigi Franco heeft ‘Details’ zonder dat we daar om gevraagd hebben. Lizzie Bgurawhn gelooft dat de grammaticaal scheve mededeling ‘Someone you know is acquiring finer because of this product’eerder mysterieus dan klungelachtig overkomt, Amos Whitehead wil ons verleiden met een ‘Puzzle’. Volgens Teresa Salgado hebben we slechts vijftien minuten nodig om ons klaar te maken voor een ‘night of love’, Vito Curtis probeert ons van slag te brengen met een ‘desirous’of ‘verlangende’ boodschap, terwijl Roberta Doherty en Rebecca Platt onze nieuwsgierigheid hopen te prikkelen met een mail zonder enige toelichting. En wat Josefina in haar winkel uitstalt, daar zullen we maar zedig over zwijgen. Wat ons plots doet beseffen dat we al enige tijd geen Viagra-verkopers meer over de vloer krijgen…
Geen idee wie ze zijn of waar ze vandaan komen, al die dubieuze marktkramers. Geen idee hoe ze ons gevonden hebben, geen idee waar ze het idee halen dat we vroeg of laat misschien toch zullen ingaan op hun verzoek. Hoe meer vreemde berichten van onbekenden, hoe sterker ons vermoeden van kwaad opzet. Resultaat: meer en meer mails verdwijnen ongeopend in de vuilbak. Zijn de verzenders zich bewust van de ergernis die ze teweegbrengen? Zeker. Alleen staat klanttevredenheid niet op hun prioriteitenlijst. Meer nog, ze zullen hun pesterijen pas staken wanneer echt niemand zich meer in de val laat lokken. En zover zijn we nog lang niet.
Spam, de verzamelnaam voor on- gewenste commerciële e-mails, vertegenwoordigt vandaag meer dan 60 procent van het totale e-mailverkeer. Dagelijks zijn miljoenen spamberichten onderweg. De kosten voor het aanmaken en verzenden van die berichten zijn bijna nihil. Volgens schattingen wordt minder dan 0,1 procent van de spam door de geadresseerde geopend. Dat lijkt verwaarloosbaar weinig maar levert in absolute cijfers nog steeds een aanzienlijk ‘lezerspubliek’ op. Bovendien gaan spammers steeds slimmer te werk bij het plaatsen van hun val. Ze voorzien hun boodschappen bijvoorbeeld van virussen die zich in het adressenboek van je e-mailprogramma nestelen en van daaruit besmette mails naar je vrienden en collega’s sturen zonder dat je iets in de gaten hebt. Die snode truc maakt het nagenoeg onmogelijk om valse berichten te herkennen. Met behulp van een virus zijn spammers zelfs in staat om talloze pc’s van over de hele wereld virtueel te kapen. Enige voorwaarde is dat de pc’s permanent met het internet verbonden zijn. Een voorwaarde waaraan alle thuiscomputers met een ADSL- of kabelverbinding voldoen. Door gekaapte pc’s in een virtueel netwerk onder te brengen, een zogenaamd botnet, kunnen spammers hun mails laten versturen door ontelbare nietsvermoedende en ongewilde handlangers. Vandaar dat de herkomst van de ongewenste post moeilijk te achterhalen valt.
Hoe beland je als onschuldige surfer in het adressenbestand van een spammer? Dat gebeurt sneller dan je durft te vermoeden. Eén: door je e-mailadres achter te laten op websites die de regels van de privacy aan hun laars lappen en je persoonlijke gegevens verpatsen aan derden. Omdat je als bezoeker niet op voorhand weet wie sjoemelt en wie niet, kies je het best voor de veilige weg door persoonlijke gegevens enkel toe te vertrouwen aan websites van grote merken en bekende organisaties, die meer te verliezen dan te winnen hebben bij oneerlijke e-mailhandel. Twee: door software te downloaden waarin een programma verborgen zit dat via het internet stiekem verbinding legt met een spammer. In de categorie besmette software zitten veel illegale muziekbestanden en freeware, maar evengoed minuscule bestandjes die je moet binnenhalen om bijvoorbeeld animaties op een website te bekijken. Drie: bij toeval, doordat je wordt ontdekt door een spammer die in het wilde weg miljoenen potentiële (door de computer samengestelde) e-mailadressen aanschrijft en aan de hand van de ongeleverde retours kan zien of een e-mailadres al dan niet in gebruik is. Een simpel systeem met onmiddellijk resultaat, alleen niet geheel betrouwbaar, getuige de spam waarin je wordt aangesproken als prins Laurent terwijl je naam Filip is. Vier: mogelijk door middel van technieken waarvan we het bestaan nog niet kennen. De computergenieën die verantwoordelijk zijn voor spam en virussen, slagen erin om de producenten van beveiligingssoftware een stapje voor te blijven. En niets doet vermoeden dat ze die voorsprong dreigen te verliezen.
Spyware
De ontwikkelaars van antivirussoft- ware moeten met lede ogen toezien hoe spammers en virusschrijvers hun krachten bundelen. Virusschrijvers helpen spammers met het verzamelen van e-mailadressen en stellen hen in staat om boodschappen op maat naar hun slachtoffers te sturen. Terwijl ze vroeger eerder vanuit een anarchistisch ideaal dan vanuit winstbejag handelden, maken ze nu hun talent te gelde. ‘De toenemende convergentie tussen verschillende vormen van e-mailbedrog maakt dat het onderscheid tussen spam en virussen vervaagt’ zegt Engelsman Paul Wood, chef-veiligheidsanalist bij MessageLabs, dat e-mailbeveiligings- systemen ontwikkelt voor 8500 bedrijven over de hele wereld, gaande van The Bank of New York en Bertelsmann tot Orange en EMI Music. Ter illustratie: nagenoeg alle in 2004 onderschepte computervirussen waren uitgerust met spam-code.
Je zult producenten van antivirusprogramma’s en andere beveiligingssoft- ware niet snel horen zeggen dat de angst voor digitale kwalen overdreven is. Logisch, want dan spreken ze tegen hun eigen winkel. Kwatongen beweren zelfs dat ze stiekem zelf computervirussen de wereld in sturen, bij wijze van perverse marketingstunt. Een mens wordt brutaler dan een wolf als hij geld ruikt, dat is geen geheim, maar het blijft wachten op harde bewijzen van zulke gewetenloze handelspraktijken.
Hoe dan ook, het is duidelijk dat de beveiligingsindustrie geen schuld treft voor de groeiende plaag van pesterijen, gijzelacties en diefstallen via e-mail en het internet. Die plaag zegt namelijk meer over haar tekortkomingen dan over haar noodzaak. ‘Wat ons grote zorgen baart, is dat computercriminelen steeds minder tijd nodig hebben om een aanval voor te bereiden’ vertelt security engineer Johan Celis van Symantec, wereldwijd marktleider in de informatiebeveiliging. ‘Virussen maken gebruik van beveiligingslekken in software. Als kwaadwillige individuen zo’n lek opsporen, kunnen ze in geen tijd een virus ontwikkelen om door dat lek te glippen. Hoe korter het tijdsverloop tussen detectie en misbruik, hoe groter de gevaren. Uiteindelijk wordt zelfs de meest voorzichtige pc-gebruiker, die updates van antivirusprogramma’s zonder verwijl installeert, een vogel voor de kat.’
Voor Symantec en zijn concurrenten is tijd cruciaal. Hun succes hangt af van de snelheid waarmee ze een virus onschadelijk kunnen maken. De voorbije jaren hebben ze hun ‘reactietijd’ teruggeschroefd tot tien uur. De betere spamfilters worden zelfs om de zeven à acht minuten bijgewerkt. Mooie prestaties, die echter niets veranderen aan het probleem dat de misdaadbestrijders achter de feiten aanlopen. Pas wanneer ze in staat zijn om proactief in plaats van reactief in te grijpen, kunnen ze misbruiken uitsluiten. Want waartoe dient misdaadbestrijding als de misdaad al is gepleegd? Volgens analist Alex Shipp van MessageLabs is er nood aan een kleine revolutie in de informatiebeveiliging. ‘Terwijl kwaadwillige codes zich in razendsnel tempo hebben ontwikkeld, is antivirussoftware al 20 jaar gebaseerd op hetzelfde model.’
Het ’traditionele’ computervirus, dat databestanden vergiftigt of het toestel volledig doet crashen, maakt stilaan plaats voor spyware, de verzamelnaam voor programma’s die zich vasthaken aan de harde schijf in de pc en van daaruit de gebruiker bespioneren terwijl hij over het internet surft. Dat klinkt behoorlijk big brother, maar levensbedreigend? Sommige spyware heeft vrij onschuldige bedoelingen: ze brengt je surfgedrag in kaart met de bedoeling om je gepersonaliseerde reclameboodschappen te kunnen sturen. Op verzoek van adverteerders kan ze reclame binnenhalen die in een pop-upscherm verschijnt wanneer je een bepaalde website bezoekt. Surf je wekelijks naar autosites, dan zul je wellicht niet mopperen als je op de hoogte wordt gehouden van bijzondere kortingen bij merk x of y. Je haalt er misschien zelfs voordeel uit. Wat jammer genoeg niet van alle spyware kan worden gezegd. Naast de consumentvriendelijke variant is er de misdaadversie, die je vertrouwelijke paswoorden en bank(kaart)gegevens doorspeelt aan de makers van de spionagesoftware. Doordat een steeds grotere groep internetgebruikers online winkelt en betaalt met een Visa-kaart, wekt spyware geheel terecht onrust. En dan zijn er ook nog de zogenaamde dialers, spywareprogramma’s die bij internetgebruikers met een traditionele dial-upmodem dure 0903-nummers bellen, met een duizelingwekkende telefoonfactuur als resultaat.
Phishing
De recentste en kwalijkste vorm van internetterreur heet phishing, waarbij je via e-mail onder valse voorwendselen naar een frauduleuze website wordt gelokt. Je ontvangt een e-mail die afkomstig lijkt van je bank of je favoriete onlinewinkel en waarin melding wordt gemaakt van speciale promoties, up- dates van klantengegevens of andere kwesties die je aanzetten tot een bezoek aan de website van de bank of winkel. Als je de bijgevoegde hyperlink aanklikt, kom je terecht op een perfecte kopie van die site, maar wel uitgebaat door oplichters die je persoonlijke gegevens gebruiken om je bankrekening te plunderen. ‘De oplichters gaan bijzonder professioneel te werk en hun piraatsites zijn akelig getrouwe kopieën van de originele versie’ weet staatssecretaris Peter Vanvelthoven (SP.A) voor de Informatisering van de Staat, die een half jaar geleden al eens waarschuwde voor het nieuwe fenomeen. ‘Het zou dramatisch zijn als het vertrouwen van de mensen in het internet op deze manier wordt geschonden.’ Dat risico is inderdaad reëel, vooral omdat phishers de websites van grote en gevestigde financiële instellingen en winkels dupliceren, uitgerekend die websites die als volstrekt veilig worden aangeprezen. Wat ze, voor een goed begrip, ook zijn. Maar daar heb je natuurlijk geen boodschap aan als je gerold bent door een bende copycats.
In ons land zijn er vooralsnog geen gevallen van phishing bekend, maar in de Verenigde Staten hebben kredietkaartgebruikers de voorbije twaalf maanden voor bijna 1,2 miljard dollar schade geleden. In mei van dit jaar meldde het gerenommeerde studiebureau Gartner dat al 57 miljoen Amerikaanse meerderjarigen een of meer phishing attacks hadden ontvangen en dat 1,4 miljoen onder hen vertrouwelijke gegevens verloren hadden zien gaan. MessageLabs onderschepte in augustus 2003 amper veertien mails met betrekking tot phishing, maar zag dat aantal dit jaar oplopen tot meer dan 300.000 per maand. ‘Dagelijks komen er 80 tot 100 nieuwe phishing sites bij’, aldus Paul Wood.
Een nieuwe en uiterst geavanceerde phishing-variant ontvreemdt je bankgegevens zelfs zonder dat je in de valse mail de hyperlink aanklikt die naar de duplicaatsite leidt. Het volstaat dat je de volstrekt authentiek ogende mail opent. Een verborgen virus herschrijft de host files in je pc zodanig dat je automatisch naar de piraatsite wordt omgeleid wanneer je wilt internetbankieren. Eventuele waarschuwingen van banken om niet te antwoorden op e-mails die valselijk onder hun naam zijn verstuurd, verliezen hun waarde. Je zou voor minder je internetabonnement opzeggen!
Dat België (voorlopig) gespaard blijft, hebben we ongetwijfeld te danken aan het feit dat we zo’n klein land zijn. Hoezo? In tegenstelling tot de nagenoeg kostenvrije spam, vergt phish- ing aanzienlijke investeringen in informatica en logistiek, die enkel lonen als de ‘afzetmarkt’ groot genoeg is. Een ambitieuze phisher betaalt niet alleen een smak geld voor zijn duplicaatsite, hij geeft ook een fortuin uit aan zijn eigen bescherming. Phishing is immers geen spielerei, maar zware misdaad die je niet zomaar vanuit je slaapkamer organiseert. Niet dat er in België geen criminelen rondlopen die weten hoe ze uit de greep van de politie moeten blijven, het is alleen zoeken naar instellingen en winkelketens die genoeg klanten hebben om de complexe roofhandel rendabel te maken. Hoeveel winkels of winkelketens in ons land halen een omzet van vijf miljoen euro via onlineverkoop? Als het er twee zijn, hebben de VS er 200. Als het er vijf zijn, hebben de VS er 500. Enkel banken als Fortis en Dexia lijken in aanmerking te komen als phishing target. Ze hebben echter lang niet het ‘potentieel’ van de Amerikaanse CitiBank, het bekendste slachtoffer van phishing totnogtoe, met een klantenbestand van tientallen miljoenen bedrijven en burgers. Mocht de criminele handel toch naar België overwaaien, dan kun je maar hopen dat je niet als enige in de luren gelegd wordt. Als duizend rekeninghouders hun spaarcenten missen, is het makkelijker om de bank te overtuigen dat je dat geld niet in eigen zak hebt gestoken.
Doordat de commerciële belangen en criminele risico’s van spamming en internetfraude toenemen, stappen georganiseerde misdaadbendes naar voren en verdwijnen de hobbyisten uit beeld. Vijf jaar geleden was de typische viruskweker een 20-jarige informaticastudent die geen lief kon vinden en noodgedwongen zijn kicks zocht in bits en bytes, die wilde bewijzen dat je ook cool kan zijn met een ziekenfondsbril, dikke puisten en een kapsel uit 1964.
The Phonemasters, een elfkoppige hackersvereniging uit de Verenigde Staten die eind jaren ’90 inbrak in de computersystemen van telecomreuzen AT&T, British Telecom, MCI WorldCom en Sprint Corp, tilde de stiel naar een hoger niveau. The Phonemasters kraakten niet voor de fun, maar voor de poen. Ze verkochten hun diensten aan privé-detectives en de Siciliaanse maffia. Ze liepen niet op te scheppen over hun prestaties, maar werkten in alle discretie. Ze hadden zelfs geen naam voor hun club, het alias The Phonemasters kregen ze van de Amerikaanse binnenlandse inlichtingendienst FBI. Die had liefst vijf jaar nodig om voorman Calvin Cantrell bij de kraag te vatten. Tijdens zijn verdediging wees de 25-jarige computer- freak uit Dallas de rechter op het feit dat hij een aantal telecombedrijven geholpen had met het dichten van de gaten in hun computersystemen. Een goede daad die hem een strafvermindering tot twee jaar opsluiting opleverde.
Een groep Californische studenten zorgde vervolgens voor opschudding met een zorgvuldig voorbereide aanval op de websites van internetgiganten Yahoo!, Amazon, eBay, CNN en Excite. Com. De getroffen bedrijven leden 1,2 miljard dollar schade. Het einde van het kattenkwaadtijdperk. ‘De spamindustrie anno 2004 wordt geleid door de georganiseerde misdaad’, stelt Johan Celis van Symantec. ‘Professionele criminelen die zich beroepen op maffiapraktijken om veel geld te verdienen.’ De inzet verhoogt, de misdaad professionaliseert, de technologie verfijnt… Spontaan verschijnen doembeelden van wereldwijde computercrashes en spectaculaire bankovervallen met een toetsenbord. Een lekkere brok voor James Bond, maar niet voor Symantec. ‘Ik ben pessimistisch’, geeft Johan Celis toe. ‘We moeten daar eerlijk in zijn: er is geen wondermiddel in de maak om de gebruikers van e-mail en internet te bevrijden van alle criminelen.’
Locks & Laws
De ICT-industrie pleit voor een strenge en internationaal uniforme wetgeving inzake internetmisdaad, maar ziet voorlopig weinig beweging op het politieke front. De vraag is trouwens wanneer de wet wordt overtreden. Wanneer een spammer een miljoen e-mails verstuurt? Wanneer zijn provider de mails tegenhoudt? Er is weinig discussie over schuld en onschuld als een spammer gebruik maakt van duizenden gekaapte pc’s en probeert om mensen naar frauduleuze websites te lokken, maar spamming heeft niet altijd een misdadig karakter. Bovendien druist een systematische controle op de inhoud van e-mails in tegen de regels over de bescherming van de privacy. ‘We moeten een evenwicht vinden tussen de locks en de laws,’ meent Paul Wood. ‘We moeten ijveren voor juridische en politieke oplossingen, hoe moeilijk het ook wordt om die uit te werken. En we moeten werken aan goede beveiligingssoftware, hoe moeilijk het ook wordt om daarmee alle misdaad te bestrijden. Ieder zijn taak.’
En nu? De enige garantie in het leven is de dood, maar dat neemt niet weg dat je jezelf aardig kunt beschermen tegen onheil. Installeer om te beginnen een virus- en spywarescanner op je pc en vergeet niet om de updates van die programma’s binnen te halen. Doe er voor het gemak meteen een spamfilter bij. Providers als Skynet en Telenet houden zelf een hoop rotzooi tegen, UPC en sommige kleinere aanbieders doen minder moeite. Hou alle systemen in je computer up to date, zeker populaire programma’s als Internet Explorer van Microsoft, geliefd bij computercriminelen en dus kwetsbaar. Haal geen software bij obscure websites en laat er zeker geen persoonlijke gegevens achter. Grote en gevestigde merken houden hun websites proper en beschermen de bezoekers. Hoewel er sinds de opkomst van phishing geen garantie op veiligheid meer bestaat. Verwijder e-mails waarin persoonlijke informatie wordt gevraagd, want die hebben oneerbare bedoelingen. Wees voorzichtig met attachments in mails van vreemde origine, want daarin zou wel eens een virus kunnen schuilen. Denk eraan: de meeste virussen worden pas actief na het openen van een attachment. Als je de afzender van een e-mail niet kent en de melding in de onderwerpregel je verdacht lijkt: niet openen. Al is dat advies waardeloos wanneer je de ‘ultieme’ virusmail in de bus krijgt: afkomstig van een vriend(in) en met een vertrouwd klinkende boodschap in de onderwerpregel. De perfecte vermomming, mogelijk door toedoen van een wormvirus, dat zichzelf kopieert door een e-mail te sturen naar alle personen in het adressenboekje van je e-mailprogramma. Je wordt dus niet aangeschreven door wildvreemden, maar door kennissen en collega’s. Doordat wormen ook titels van oude berichten durven kopiëren, kun je het bedrog onmogelijk detecteren. Slaat de angst je om het hart? Straks opnieuw alles met de fax!
Bart Vandormael
‘De spamindustrie anno 2004 wordt geleid door de georganiseerde misdaad.’
‘Uiteindelijk wordt zelfs de meest voorzichtige pc-gebruiker een vogel voor de kat.’
