Tijdens zijn promotietraject aan de Universiteit Twente verdiepte Elmer Lastdrager zich zes jaar lang in allerlei aspecten van phishing. Hij analyseerde 700.000 phishingmails. “Ontvangers beoordelen de geloofwaardigheid vooral op basis van de inhoud, afzender en lengte van de e-mail en ze kijken te weinig naar de technische aspecten.” Op 9 februari promoveert Lastdrager op zijn onderzoek.
Jaarlijks versturen aanvallers miljarden phishingmails. Elmer Lastdrager verdiepte zicht tijdens zijn promotieonderzoek aan de Universiteit Twente in allerlei aspecten van phishing. “Een belangrijk wapen dat aanvallers gebruiken is gevoel voor urgentie creëren. Klik nú, anders wordt je betaalpas geblokkeerd.” Een doorzichtige truc, maar wel een effectieve. Ontvangers beoordelen de mail waarin een beroep wordt gedaan op het gevoel van urgentie positiever en zijn eerder geneigd om waarschuwingssignalen (zoals meldingen van de computer dat klikken op de link gevaarlijk kan zijn), te negeren. “Een ander bekend, maar toch effectief middel, is het claimen van autoriteit. Aanvallers maken daarom bijvoorbeeld dankbaar gebruik van de namen van gerespecteerde financiële instellingen.”
Herkennen
Lastdrager legt uit dat het kinderlijk eenvoudig is om een phishingmail te herkennen. “Kijk altijd goed naar de afzender van het bericht. Een bank zal je bijvoorbeeld nooit aanschrijven vanaf een Gmail-adres. En kijk vooral goed waarheen de link waarop je moet klikken verwijst; zonder er uiteraard op te klikken.” Uit het onderzoek van Lastdrager kwam echter naar voren dat consumenten in de praktijk meestal niet naar deze ‘technische aspecten’ van een phishingmail kijken. “Ze beoordelen doorgaans de geloofwaardigheid op basis van de inhoud, afzender en lengte van de e-mail.”
Het herkennen van phishingmails is relatief makkelijk aan te leren. Lastdrager ontwikkelde bijvoorbeeld een korte training waarin kinderen van 8 tot 13 jaar in 40 minuten leerden hoe ze phishingmails kunnen herkennen. Helaas blijkt de kennis snel weg te zakken, zoals ook uit andere onderzoeken naar voren komt. Vier weken na de training scoorden de kinderen weer hetzelfde als ervoor. Lastdrager pleit daarom voor permanente aandacht voor het onderwerp.
700.000 berichten
Bij de Fraudehelpdesk, waar mensen phishingmails kunnen melden, komen per maand gemiddeld 70 duizend phishingmails binnen. 64 procent hiervan is afkomstig van een privé-emailadres. Lastdrager analyseerde in totaal 700.000 van deze mails en zocht naar patronen in dit enorme databestand. Zo blijken aanvallers dezelfde berichten regelmatig vaker te gebruiken. De phishingmails (waarover minimaal vijf meldingen waren binnengekomen bij de Fraudehelpdesk) werden gemiddeld 3,6 keer gerecycled met een gemiddelde tussentijd van 49 dagen.
Phishingmails worden redelijk goed verspreid over de dag verstuurd, met een piekje rond 13.00 uur. Aanvallers verzenden de meeste berichten aan het begin van de week. Op vrijdagen, en zeker in het weekend, zijn het er aanzienlijk minder. Gebruikers openen de mails doorgaans tijdens werktijden, ook die van de privé-emailadressen. De grootste piek is te zien op maandagochtend.
Het leeuwendeel van de berichten (70 tot 83 procent) gaat in Nederland over de financiële sector, zoals berichten van ‘banken’. Lastdrager vergeleek dit met de grootst beschikbare dataset uit de VS. Opvallend was dat de berichten daar veel vaker dan in Nederland uit naam van winkels, internetproviders en telecombedrijven werden verstuurd.
Van de mensen die bij de Fraudehelpdesk toelichten waarom ze denken dat een bericht een phishingmail is, meldt 69 procent dat ze geen relatie hebben met het bedrijf uit wiens naam de mail is gestuurd.
Onderzoek
Op vrijdag 9 februari verdedigt Lastdrager zij proefschrift getiteld From fishing to phishing. De openbare verdediging vindt plaats om 16.30 uur in de Prof.dr. G. Berkhoff – Zaal van gebouw de Waaier op de campus van de Universiteit Twente. Bij zijn onderzoek werd hij begeleid door promotoren Pieter Hartel (vakgroep Services, Cybersecurity and Safety) en Marianne Junger (vakgroep Industrial Engineering and Business Information Systems). Momenteel is Lastdrager werkzaam bij SIDN Labs, de researchafdeling van SIDN, de operator van het .nl-domein.
