Vissen om phishing te voorkomen

Curieuze mailtjes waarin om persoonlijke gegevens wordt gevraagd. Ga er niet op in. Gophish wapent je en daagt je desnoods uit.

Iedereen heeft ze weleens in zijn inbox: de mailtjes van de Nigeriaanse prins die gouden bergen belooft. Of van de lokale directeur van een bank waarbij u niet zit in een dorp waar u nooit geweest bent. Maar phising wordt steeds geavanceerder en de gereedschapskistjes om deze mails te maken, staan tegenwoordig gewoon op internet. Gelukkig komt er ook steeds meer antiserum beschikbaar.

Voor phishing, waarbij wordt geprobeerd de ontvanger wachtwoorden of persoonlijke informatie af te troggelen, bestaan al jaren klantvriendelijke sites. Sinds kort is er nóg een handig gereedschap om phishingmails te prepareren. Deze dienst is alleen niet bedoeld voor boeven, maar voor it-afdelingen, om het personeel van bedrijven mee op de proef te stellen.

De nieuwe dienst heet Gophish, eenvoudig te downloaden en te installeren software. Je kunt een bestand met mailadressen invoeren, met de hand of door het importeren van een spreadsheet. Je kunt in een prettige omgeving een verleidelijke e-mail ontwerpen, die bijvoorbeeld de geadresseerde met de voornaam aanspreekt, en aangeeft dat door een probleempje de gebruikersnaam en wachtwoord opnieuw moeten worden ingevoerd na het klikken op deze link. De landing page waar het slachtoffer na klikken terechtkomt, kan ook in Gophish worden ontworpen, bijvoorbeeld door de inlogpagina van een bestaand bedrijf te kopiëren.

Digitale brandoefening

Het verschil met andere, meer dubieuze intiatieven is dat maker Jordan Wright en zijn product bonafide zijn. Gophish is bedoeld voor de it-afdelingen van bedrijven om hun eigen werknemers zo nu en dan een phishing mail te sturen, om ze alert te houden. 'Dit komt van een white hat (bonafide) hacker', zegt Jan Terpstra, security consultant bij Hewlett Packard Enterprise. 'Het is een educatiekit die laat zien wat er gebeurt als je op zo'n linkje klikt, en wat er gebeurt als je je gebruikersnaam en wachtwoord op die pagina achterlaat. Het is erg nuttig voor het management dat zo kan zien hoe het personeel hierop reageert. Het komt voor dat 80 procent op dat linkje klikt. Na een paar van die gesimuleerde aanvallen kun je dat snel terugbrengen tot de helft.' Een soort digitale brandoefening dus.

Dat deze software niet-crimineel is, blijkt onder andere uit het feit dat er geen geld voor wordt gevraagd. Gophish kan gratis worden gedownload en is ook open source, dat wil zeggen wie kan programmeren, kan zelf veranderingen aanbrengen en zo meebouwen aan een toekomstige versie. De klantenservice bestaat in dit geval uit maker Wright zelf. Hij is goed te benaderen via e-mail en helpt ons snel langs een technisch probleempje.

Maar kan een gereedschap als Gophish ook gebruikt worden om echte, criminele phishing mails rond te sturen? 'Jazeker, elk instrument voor beveiliging kan worden misbruikt. Maar de bad guys hebben alle spullen al die ze nodig hebben om aanvallen op te zetten. Gophish geeft de good guys de kans om een voorsprong te nemen door hun kwetsbaarheid voor dit soort aanvallen te meten, en om de kwetsbaarheid te verminderen door mensen te trainen.'

Eén stuk gereedschap dus, dat én geschikt is om de kantoortuin weerbaar te maken én ideaal oefenmateriaal vormt voor online-struikrovers in de dop. Met gepaste aarzeling geven we hier toch maar de website: getgophish.com.


Vijftien jaar script kiddies

Vijftien jaar geleden brak het Anna Kournikova-virus los. De maker, een inwoner van Sneek, bleek geen hacker of programmeur. Hij was een script kiddie, een jongen die op internet software had weten te vinden waarmee een virus kan worden gecreëerd. Deze virusgeneratoren markeren het begin van cybermisdaad als bedrijfstak. Voor het maken van kwaadaardige software was niet langer opleiding of ervaring nodig, en het ging veel sneller.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden