Inleiding

Al geruime tijd heeft de Universiteit Twente, evenals andere onderwijsinstellingen, last van e-mail berichten waarin verzocht wordt gebruikersnaam en wachtwoord bekend te maken, phishing. Hierin worden verschillende scenario's gebruikt om de ontvanger te overtuigen dat het nodig is, zoals voor het maken van meer ruimte en migraties.

Sommige berichten zijn bedrieglijk echt omdat er gebruik gemaakt wordt van specifieke

UT termen (ICTaccount) of omdat er gebruik gemaakt wordt van UT afzender adressen. Veel van deze berichten worden als spam verstuurd via gehackte computers. De oorspronkelijke afzender of opdrachtgever is dan niet te achterhalen. Er zit steeds meer georganiseerde misdaad achter dit soort overlast, vaak misdaad die vanuit het Oostblok of vanuit China georganiseerd wordt.

Helaas komt het wel eens voor dat een medewerker of student op zo'n bericht reageert en zijn gebruikersnaam en wachtwoord prijsgeeft. Het gevolg is dat diens account direct misbruikt wordt, doorgaans om spam te versturen.

Maatregelen

In samenwerking met andere universiteiten, en dan vooral in 3TU verband, heeft de UT een aantal maatregelen genomen om de impact en overlast van deze berichten te beperken.

1.

Voorkomen dat deze berichten worden afgeleverd bij de gebruiker :
De normale SPAM maatregelen houden een heleboel van deze berichten tegen, echter niet alle. Er zijn speciale filterregels gemaakt om die berichten die door de normale SPAM filtering glippen toch te detecteren en tegen te houden. Dit soort filters dient geregeld aangepast te worden aan veranderingen in de berichten, het gebruik van andere termen, het gebruik van andere reply-adressen.

2.

Procedure voor afhandelen:
Berichten die toch nog langs de filters glippen dienen gemeld te worden bij abuse@utwente.nl of security@utwente.nl. De berichten worden dan geanalyseerd om de filtering en blokkeringsmaatregelen aan te kunnen passen. Tevens wordt gecontroleerd of er per ongeluk niet iemand op gereageerd heeft, dit komt helaas wel eens voor. De informatie die verstrekt wordt, wordt in 3TU verband gedeeld om snel in te kunnen spelen op wijzigingen. Als een spammer bij de ene universiteit wordt geblokkeerd, schakelt hij misschien over naar de andere. Een snelle afhandeling voorkomt schade bij de andere universiteiten.

3.

Voorlichting:
Er is kleinschalig en grootschalig aan voorlichting gewerkt met persoonlijke e-mail berichten, massa mail, artikelen in UTnieuws, berichten op de website, voorlichting aan servicepunten en ICT ondersteuners. Anti-Phishing (identiteitsbescherming) is ook een van de onderwerpen in de landelijke security awareness campagne Hoger Onderwijs die in februari 2009 gestart is en waar de UT ook aan mee doet. Er is bij de UT voor gekozen om niet voor iedere phishing golf apart een waarschuwingsmail naar alle gebruikers te sturen. De ervaring heeft geleverd dat dit meer irritatie veroorzaakt bij gebruikers dan dat het de attentie verhoogd. Bovendien blijken deze berichten niet gelezen te worden. Reeds meerdere malen hebben medewerkers verontwaardigd gereageerd na ontvangst van een phishing-mail: “Waarom hier niet voor gewaarschuwd wordt?”

Effect van de reeds genomen maatregelen

1.

Filtering:
Deze maatregelen blijken zeer effectief. Er worden zeer geregeld batches van enige honderden zeer gerichte phishing e-mails onderschept en daarmee voorkomen dat deze bij de gebruiker worden afgeleverd. De effectiviteit van deze maatregel is wel afhankelijk van de actualiteit in de filterregels.

2.

Afhandeling procedure:
Deze procedure werkt reactief. Allereerst kan er pas iets gedaan worden als een bericht gemeld wordt maar komt het ook vaak voor dat berichten die aan veel personen gestuurd zijn, ook weer vaak doorgestuurd worden naar verschillende personen maar niet direct naar hen die er iets aan kunnen doen.

3.

Voorlichting:
Dit is niet effectief. Ondanks de vele kanalen die gebruikt zijn en de herhaling van de boodschap wordt dit integraal genegeerd totdat men zelf een phishing mail onder ogen krijgt. Men weet dan van niets en schreeuwt moord en brand. Toch zullen we moeten blijven voorlichten en mensen ook telkens verwijzen naar de bestaande uitingen.

Structurele maatregelen

Het misbruik van e-mail met ongewenste berichten zal nog lang overlast geven. Er zullen nog vele varianten komen die ons willen verleiden om websites te bezoeken of aankopen te doen, veelal met gevolg dat onze PC gecompromitteerd raakt. Pas op wat langere termijn zal deze overlast met structurele maatregelen ingeperkt kunnen worden. Op dit gebied zijn twee ontwikkelingen gaande:

Vertrouwde servers

Er wordt (internationaal) gewerkt aan structurele maatregelen tegen spam door in de email infrastructuur een vertrouwensstructuur in te bouwen. Dit houdt in dat e-mail servers alleen berichten accepteren van afzendende e-mail servers die zij vertrouwen. Het is niet waarschijnlijk dat alle e-mail servers hier ooit een meedoen, maar de vertrouwensklasse kan gebruikt worden om het vertrouwen in een e-mail bericht (of bij het ontbreken van een vertrouwensklasse: het wantrouwen) te bepalen en dit mede te gebruiken bij het bepalen of iets al dan niet spam is.

Vertrouwde personen

Een ander methode is alleen e-mail berichten te ontvangen of te behandelen van personen of afzenders die bekend en vertrouwd zijn. Dat zou gebaseerd kunnen zijn op de personen die in een adresboek staan, persoonlijk of organisatie breed. Dit biedt echter geen oplossing voor adresvervalsingen, die eenvoudig te doen zijn en veel gebruikt worden. Wanneer dit vertrouwen echter gebaseerd wordt op persoonlijke digitale handtekeningen dan biedt dit een goede basis. Hiermee kan zowel de afzender geverifieerd worden alsmede de integriteit van het ontvangen bericht. Dit wordt binnen de UT echter nog niets structureel aangepakt.