Mariano Di Martino

‘Probleem van phishing is niet alleen de impact, maar ook de eenvoud ervan’

Voor de Universiteit Van Vlaanderen staat Mariano Di Martino stil bij de vraag hoe hackers met jouw identiteit aan de haal gaan.

Uit een statistisch onderzoek van Check Point uit 2021 bleek dat 90% van de data breaches (het lekken van persoonlijke of geheime informatie) veroorzaakt werden door phishing.

Het problematische van phishing is niet alleen de impact, maar ook de eenvoud waarmee quasi ieder individu een geloofwaardige mail kan creëren en verzenden naar eender wie op de planeet. Zo werden in 2020 de Twitter accounts van o.a. Elon Musk en Joe Biden overgenomen door een gecoördineerde phishing-aanval, uitgevoerd door enkele jongeren die zelfs geen professionele opleiding hadden genoten in informatica of cybersecurity.

Vaak wordt een zaak met een grote impact zoals deze al snel gelinkt aan een complexe technische aanval die veel abstracte kennis vereist. Maar in de realiteit is dit vaak het tegenovergestelde, zeker wanneer het gaat over cybersecurity.

Cybersecurity is meer dan alleen de technisch geavanceerde zwarte schermen met rode letters die verschijnen wanneer iemand roekeloos op een toetsenbord typt. Veel sociale aspecten liggen aan de voet van talloze phishing-campagnes waarmee er een gigantische hoeveelheid aan persoonlijke informatie en intellectual property gestolen wordt. Het overtuigen van een individu om hun bankrekeningnummer en pincode aan je te geven door middel van een simpel e-mailbericht is immers meer een psychologisch gegeven dan een technische aangelegenheid.

Hoe onlosmakelijk deze aspecten ook verbonden zijn wordt er desondanks nog steeds te weinig aandacht aan cyberaanvallen gespendeerd binnen de maatschappij. Met de meest eenvoudige computer (of zelfs smartphone) en een internetconnectie kan immers iedereen een phishing-aanval uitvoeren, waarvan de impact niet te overschatten is.

Maar niet alleen phishing is een relatief eenvoudig concept binnen cybersecurity waar nogal wat misvattingen over bestaan. Zo heb je de lokale bakker die zijn kleinzoon een website laat opzetten om bestellingen te kunnen plaatsen.

Ook hier is de eenvoud misleidend. Men kan dan wel een visueel aantrekkelijke website opzetten maar zonder de nodige kennis kan het achter de schermen van de website er vaak nogal chaotisch aan toe gaan. Het is dan voor de gemiddelde informatica student vaak geen moeilijke taak om wat simpele kwetsbaarheden op de website te vinden en misschien zelfs persoonlijke gegevens te kunnen ontfutselen.

Zo kwam ik als minderjarige voor de jeugdrechtbank omdat ik een veiligheidslek had gevonden op de website van een webhosting-bedrijf. Dit soort bedrijven onderhouden en vervaardigen verschillende websites voor hun klanten. Het veiligheidslek dat ik had gevonden was heel simpel, een klassiek geval zelfs. Maar door die fout kon ik wel -in theorie- gelijk welke website van hun klanten aanpassen, met alle gevolgen vandien. Een jeugdzonde, maar ook toen stelde men zich de vraag of het team van webontwikkelaars voldoende aandacht had besteed aan dit soort lekken, of dat de vereiste basiskennis eenvoudigweg niet aanwezig was.

Dat phishing en vele veiligheidslekken vaak conceptueel (relatief) eenvoudig zijn, gaat er bij heel wat mensen niet in. Net omdat het lekken van persoonlijke gegevens zowel juridisch als maatschappelijk een zware impact kan hebben, gebeurt het vaak dat de kennis van degene die de kwetsbaarheid vindt, overschat wordt, ook in de media.

Maar net zoals het cliché gaat, zien complexe concepten er altijd interessanter uit dan hun simpele variant. Met het logische gevolg dat artikels over cybersecurity vaak (onbedoeld) de indrukken wekken dat het gaat om complexe en nieuwe aanvallen. Zo werd er enkele jaren geleden een tweet van Donald Trump gemanipuleerd door een ethische hacker waarbij men de inhoud van een link die Trump plaatste, kon wijzigen. Hoewel deze techniek al jaren werd toegepast, liet men vaak toch uitschijnen dat dit de allernieuwste aanvalsvector was. Het is volgens mij dan ook problematisch dat er pas publieke aandacht wordt gehecht aan een bepaalde aanvalsvector van zodra het wordt misbruikt, in plaats van op het moment dat de techniek voor het eerste openbaard wordt.

Begrijp me niet verkeerd, cybersecurity is een breed en complex domein en bevat talloze nuances en onzekerheden in de werking. Maar het is niet altijd de complexiteit die de juiste oplossingen biedt.

Vraag het aan eender welke security engineer of cyber security consultant: er zijn voldoende mensen te vinden die belangrijke concepten binnen de cybersecurity verkeerd interpreteren door onduidelijke artikels in de media, of individuen met het Dunning-Kruger effect. In 2021 werd er door FOD Economie een video online gezwierd waarin verkeerdelijk gesuggereerd werd dat het groen slotje naast de URL balk bovenaan, een teken was dat de website waarschijnlijk geen phishing website was. Iets wat zelfs na jaren van debunking nog steeds de tijd der bureaucratie heeft kunnen doorstaan.
De gevolgen van dit alles worden pas duidelijk wanneer er voor de zoveelste keer een rekening wordt leeggeplunderd, socialmedia-accounts worden misbruikt voor identiteitsfraude of alle data op een PC wordt versleuteld in een geval van ransomware.

Daar staat tegenover dat er ook cyber-experten en wetenschappers zijn die zich niet willen uiten in de media. Het zijn zij die hun tijd volledig spenderen aan wat echt telt, namelijk het veiliger maken van onze systemen en ons bewust maken van de cyberrisico’s. Laten we hopen dat dit soort helden een positief vooruitzicht kunnen bieden op onze digitale wereld.

Partner Content