Phishing bij de overheid in België
NAAM:
STUDENTNUMMER:
Peter Schoofs
851235922
DATUM:
9 december 2014
Phishing in relation to the Belgian
government
NAAM:
STUDENTNUMMER:
DATUM:
Peter Schoofs
851235922
9 december 2014
EERSTE BEGELEIDER / EXAMINATOR:
TWEEDE BEGELEIDER:
dr.ir. H.P.E. Vranken
dr.ir. A.J.F. Kok
T9232B - MASTER BUSINESS PROCESS MANAGEMENT AND IT
FACULTEIT MANAGEMENT, SCIENCE AND TECHNOLOGY
OPEN UNIVERSITEIT
Voorwoord
Voorwoord
Graag zou ik alle mensen willen bedanken die deze masterscriptie mogelijk gemaakt hebben.
Vooreest wil ik graag mijn begeleider dr. ir. Harald Vranken bedanken voor de constructieve
samenwerking, zijn goede raad en zijn aanstekelijk enthousiasme. Ik wil ook graag de geïnterviewden
bedanken voor de moeite die zij hebben willen nemen om mij van de nodige antwoorden te voorzien.
Verder wil ik Cegeka bedanken voor de financiële tegemoetkoming en de tijd die zij mij ter beschikking
hebben gesteld.
Een speciale dank aan mijn vrouw Heidi en mijn kinderen Tobias en Falke voor hun geduld, hun steun
en hun begrip tijdens mijn studies.
Peter Schoofs
December 2014.
4/110
Inhoudstabel
Inhoudstabel
Voorwoord .............................................................................................................................................. 4
Samenvatting .......................................................................................................................................... 8
1
2
Inleiding......................................................................................................................................... 11
1.1
Aanleiding tot het onderzoek ............................................................................................... 11
1.2
Probleemstelling ................................................................................................................... 11
1.2.1
Doelstelling ................................................................................................................... 11
1.2.2
Leeswijzer...................................................................................................................... 12
Onderzoeksopzet .......................................................................................................................... 13
2.1
3
Object van onderzoek ........................................................................................................... 13
2.1.1
Vraagstelling.................................................................................................................. 13
2.1.2
Afbakening .................................................................................................................... 13
2.1.3
Onderzoekspopulatie .................................................................................................... 15
2.2
Onderzoeksbenadering en –strategie ................................................................................... 16
2.3
Methode van literatuuronderzoek ....................................................................................... 17
2.4
Methode van onderzoek van het empirisch deel ................................................................. 18
2.4.1
Onderzoeksstrategie ..................................................................................................... 18
2.4.2
Bronnen......................................................................................................................... 18
2.4.3
Dataverzameling ........................................................................................................... 19
2.4.4
Steekproef - populatie .................................................................................................. 22
2.4.5
Betrouwbaarheid .......................................................................................................... 22
2.4.6
Validiteit ........................................................................................................................ 23
2.4.7
Ethiek ............................................................................................................................ 23
2.4.8
Analyse van de data ...................................................................................................... 24
Resultaten van het onderzoek ...................................................................................................... 25
3.1
Inleiding................................................................................................................................. 25
3.1.1
3.2
De term computer......................................................................................................... 25
L1/E1 - Wat is phishing? ........................................................................................................ 26
3.2.1
Oorsprong van de term phishing. ................................................................................. 26
3.2.2
De motieven voor phishing ........................................................................................... 26
3.2.3
Definitie van de term phishing ...................................................................................... 27
3.2.4
Empirische toets van de definitie van phishing ............................................................ 29
3.2.5
Definitie financiële instellingen in Nederland ten opzicht van Belgische overheid...... 29
3.2.6
Hoe gaat een phishingaanval in zijn werk? ................................................................... 29
3.3
L2/E1 - Welke soorten van phishing bestaan er? ................................................................. 31
5/110
Inhoudstabel
3.3.1
Deceptive phishing ........................................................................................................ 31
3.3.2
Malware-based phishing ............................................................................................... 32
3.3.3
Technieken toegepast om het slachtoffer te misleiden ............................................... 33
3.3.4
Op specifieke doelgroepen gerichte vormen van phishing .......................................... 35
3.3.5
Vergelijking van de soorten van phishing aangehaald in het onderzoek van Dreijer
(2012) en de soorten aangehaald in dit onderzoek. ..................................................................... 35
3.3.6
Soorten van phishing die voorkomen bij de Belgische overheid .................................. 36
3.3.7
Soorten phishing bij financiële instellingen in Nederland versus Belgische overheid.. 37
3.4
L3/E2 - Hoe vaak komt phishing voor? ................................................................................. 38
3.4.1
Cijfers van de APWG (niet-wetenschappelijke bron).................................................... 38
3.4.2
Cijfers van Symantec (niet-wetenschappelijke bron) ................................................... 41
3.4.3
Aantal phishingmeldingen tegen de Belgische overheid .............................................. 43
3.4.4
Aantal phishingmeldingen en misleidende technieken per soort bij de Belgische
overheid 45
3.4.5
Trend in het aantal phishingmeldingen bij de Belgische overheid ............................... 45
3.4.6
Wijze van registratie van phishingmeldingen bij de Belgische overheid ...................... 45
3.5
L4/E3 - Wat zijn de gevolgen van phishing? ......................................................................... 47
3.5.1
Gevolgen in cijfers ......................................................................................................... 47
3.5.2
Schade ........................................................................................................................... 47
3.5.3
Phishingincidenten bij de Belgische overheid............................................................... 48
3.5.4
Impact van phishing op diensten en onderdelen van de Belgische overheid .............. 49
3.5.5
Directe gevolgen van phishing voor de Belgische overheid ......................................... 50
3.5.6
Indirecte gevolgen van phishing voor de Belgische overheid....................................... 50
3.5.7
Doelwit van de phishers: Nederlandse financiële instellingen versus Belgische overheid
53
3.6
L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden? ............... 54
3.6.1
Gebruikerseducatie (sociale maatregelen) ................................................................... 54
3.6.2
Sociale maatregelen op maat van de overheid (literatuuronderzoek)......................... 55
3.6.3
Sociale anti-phishingmaatregelen bij de Belgische overheid (empirisch onderzoek) .. 55
3.6.4
Sociale maatregelen in Nederlandse financiële instellingen versus de Belgische
overheid 57
3.6.5
Juridische maatregelen ................................................................................................. 58
3.6.6
Het beleid in België ten aanzien van phishing (cybercriminaliteit) en de onderbouwing
van dat beleid................................................................................................................................ 58
3.6.7
Beleid van Nederlandse financiële instellingen versus Belgisch overheid ................... 60
3.6.8
Anti-phishingindicatoren (technische maatregelen) .................................................... 61
3.6.9
Technische maatregelen op maat van de overheid ...................................................... 64
6/110
Inhoudstabel
3.6.10 Technische anti-phishingmaatregelen genomen door de Belgische overheid (empirisch
onderzoek) .................................................................................................................................... 64
3.6.11
Verantwoordelijkheid: NVB – Belgische overheid ........................................................ 65
3.6.12 Technische maatregelen in Nederlandse financiële instellingen versus de Belgische
overheid 65
3.6.13
Uitdagingen ................................................................................................................... 66
4
Referentiemodel ........................................................................................................................... 67
5
Conclusies, aanbevelingen, product- en procesreflectie .............................................................. 68
6
5.1
Conclusies ............................................................................................................................. 68
5.2
Aanbevelingen voor verder onderzoek................................................................................. 74
5.3
Productreflectie .................................................................................................................... 74
5.4
Procesreflectie ...................................................................................................................... 75
Referenties .................................................................................................................................... 77
6.1
Wetenschappelijke bronnen ................................................................................................. 77
6.2
Niet-wetenschappelijke bronnen ......................................................................................... 78
Bijlage A: Gevonden en geselecteerde artikelen .................................................................................. 82
Bijlage B: Definities uit de literatuur ..................................................................................................... 83
Bijlage C: Operationalisering ................................................................................................................. 84
Bijlage D: planning ................................................................................................................................ 86
Bijlage E: Vragenlijst gericht aan de Belgische overheidsinstellingen verantwoordelijk voor
cyberbeveiliging .................................................................................................................................... 88
Bijlage F: Vragenlijst gericht aan de Vlaamse overheidsinstellingen verantwoordelijk voor
cyberbeveiliging .................................................................................................................................... 94
Bijlage G: Vragenlijst gericht aan de cyberspecialisten van de Vlaamse politieke partijen................ 100
Bijlage H: Begeleidende e-mail ........................................................................................................... 106
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten (beschikbaarheid
cijfermateriaal).................................................................................................................................... 107
Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355 ................................................. 109
Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten (voorlichting personeel) .... 110
7/110
Samenvatting
Samenvatting
De wereld is de laatste decennia sterk geëvolueerd naar een genetwerkte wereld door toedoen van
de opkomst van het internet. “De wereld is een dorp” is een uitspraak die nu meer dan ooit een hoog
waarheidsgehalte heeft. Mensen zijn steeds minder gebonden door hun fysieke locatie. Overheden
over heel de wereld gebruiken het internet steeds meer om in contact te treden met de burgers.
Loketten verdwijnen en de burgers kunnen hun administratieve interacties met de overheid online
afhandelen.
Het succes en de eindeloze mogelijkheden van het internet zijn ook de criminele elementen in de
maatschappij niet ontgaan. De fysieke grenzen waarmee criminelen geconfronteerd werden, zijn door
het internet grotendeels verdwenen. Cybercriminelen kunnen vanuit om of het even welk land
cybermisdrijven plegen over heel de wereld.
Phishing is één van de vele cybermisdrijven die door deze criminelen gepleegd worden. Iedere
internetgebruiker is bewust of onbewust al eens geconfronteerd met phishing. Phishing blijft
wereldwijd toenemen. De wereldwijde schade aangericht door phishing wordt geschat op meer dan
5,9 miljard dollar (EMC - RSA Corporation, 2014).
Dit onderzoek gaat op zoek naar phishing in relatie tot de Belgische overheid. De hoofdvraag van dit
onderzoek luidt:
Hoe gaat de Belgische overheid om met phishing?
Om een antwoord te formuleren op de hoofdvraag is een tweeledig onderzoek opgezet. In een eerste
deel is vanuit wetenschappelijke literatuur een referentiekader over phishing opgebouwd. Dit
referentiekader is vervolgens in het tweede deel empirisch getoetst bij de Belgische overheid. Deze
toetsing bestond uit het afnemen van interviews met cybersecurityspecialisten van de Vlaamse
partijen Groen, CD&V, N-VA en Open Vld en door het afnemen van een interview met een exsecurityconsultant van een cyberbeveiligingsinstelling van de Belgische (Vlaamse) overheid.
Uit het literatuuronderzoek blijkt dat er drie elementen dienen te bestaan om van phishing te spreken:
een vorm van communicatie, een misleidende techniek en een objectief van de phisher. Uit het
literatuuronderzoek is deze definitie voor phishing afgeleid:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle
logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende
informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het
uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit
het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren
van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische
objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot
middelen die toekomstige phishingaanvallen faciliteren.
Verder blijkt uit het literatuuronderzoek dat er vier categorieën bestaan waarin phishing of de
aanverwante technieken kunnen onderverdeeld worden:
-
Deceptive phishing: het phishingbericht bevat een list om het slachtoffer te misleiden, maar
bevat geen malware;
Malware-based phishing: het phishingbericht bevat een vorm van malware die zich op het
toestel van het slachtoffer nestelt;
8/110
Samenvatting
-
Op specifieke doelgroepen gerichte phishing: deze vorm maakt gebruik van de andere twee
soorten, maar richt zich op een specifieke doelgroep;
Misleidende technieken: dit zijn de technieken die toegepast worden in de verschillende
soorten van phishingaanvallen om het slachtoffer in de val te lokken.
Uit het empirisch onderzoek blijkt dat de Belgische overheid geconfronteerd wordt met de drie
soorten van phishing en met een aantal misleidende technieken. De meest voorkomende zijn emailphishing, spear-phishing, telefoonphishing in combinatie met een aantal misleidende technieken.
Uit cijfers van de Anti-Phishing Working Group blijkt dat phishing blijft toenemen, ook voor overheden.
De cijfers voor België (CERT.be, 2014) geven ook een stijgende trend aan.
Uit het empirisch onderzoek blijkt dat sommige phishingaanvallen tegen de Belgische overheid gericht
waren op geldgewin (cyberincidenten van Rijksdienst voor Kinderbijslag en de Belgische fiscus) terwijl
andere gericht waren op het stelen van informatie (cyberincident bij het ministerie van Buitenlandse
Zaken). Daarnaast heeft de Belgische overheid ook last van ‘state-sponsored’-aanvallen, waarbij
phishing gebruikt wordt als middel om binnen te dringen en confidentiële informatie te stelen
(cyberincident Belgacom International Carrier Services).
Europees onderzoek geeft aan dat de burgers hun internetgedrag aanpassen door toedoen van
cyberincidenten. Het vertrouwen in de Belgische overheid om de online gegevens van de burgers te
beschermen blijkt ten opzichte van andere Europese landen nog mee te vallen. De Belgen hebben
zelfs meer vertrouwen in hun overheid dan in gewone websites om hun online gegevens te
beschermen.
Het literatuuronderzoek geeft aan dat er twee types van anti-phishingmaatregelen genomen kunnen
worden:
-
Sociale maatregelen: de gebruikers sensibiliseren om de phishingval te doorzien en er niet
meer in te trappen;
Technische maatregelen: op technologie gebaseerde anti-phishingsystemen die automatisch
of met behulp van de gebruiker de phishingaanvallen blokkeren.
Het empirisch onderzoek toont aan dat het merendeel van de Belgische overheidsadministraties
ervoor zorgt dat haar werknemers ingelicht zijn over de mogelijke gevaren van phishing en
cybermisdrijven. De Belgische overheid heeft ook reeds een sensibiliseringsbericht verstuurd via de
openbare omroep. Uit een enquête van Eurostat (TNS Opinion & Social, 2012) blijkt dat de Belgische
burger zich gemiddeld geïnformeerd voelt over de gevaren van cybercriminaliteit.
De Belgische overheidsadministraties zetten ook technische maatregelen in om phishing tegen te
gaan, de ene administratie al wat professioneler dan de andere.
Een opvallende vaststelling van het onderzoek was de niet-bestaande antwoordbereidheid bij de
Belgische cybersecurityinstellingen. Deze instellingen beschouwen de manier waarop zij omgaan met
cybercriminaliteit (phishing) als hun interne keuken. Zelfs wanneer federale parlementsleden
schriftelijke vragen indienen om meer inzicht te krijgen in de werkwijze van de
cyberbeveiligingsinstellingen van de Belgische overheid, dan nog is er sprake van een grote
terughoudendheid om informatie vrij te geven.
Uit de vergelijking tussen de manier waarop Nederlandse financiële instellingen met phishing omgaan
en de manier waarop de Belgische overheid met phishing omgaat komen vier verschillen naar voren.
9/110
Samenvatting
Ten eerste fungeert de NVB (Nederlandse Vereniging van Banken) als een centraal
coördinatiecentrum voor de bestrijding van phishing (cybercriminaliteit), daar waar de Belgische
overheid nog geen cybersecuritycentrum heeft1. Ten tweede beperkt het motief van phishers bij de
Nederlandse financiële instellingen zich tot geldgewin. De motieven van phishingaanvallen tegen de
Belgische overheid bestaan uit geldgewin en hoofdzakelijk uit diefstal van informatie. Ten derde krijgt
de Belgische overheid ook te maken met ‘state-sponsored’-phishingaanvallen. Tot slot kan gesteld
worden dat de Nederlandse financiële instellingen een stuk professioneler omgaan met
phishingbestrijding dan de Belgische overheid.
Uit de resultaten van het onderzoek kan geconcludeerd worden dat de Belgische overheid veel moeite
heeft met phishing. Ondanks initiatieven om cybercriminaliteit hoog op de agenda te krijgen, ondanks
initiatieven om een visie uit te werken en om een centraal superviserend cybersecuritycentrum op te
richten is er in de praktijk niets aan de precaire cybersecuritysituatie in België veranderd. Uit het
empirisch onderzoek blijkt dat noodkreten van cybersecurityspecialisten bij de overheid, die
teruggaan tot 2007, allemaal in dovemansoren zijn gevallen. Iedere overheidsdienst probeert naar
best vermogen phishing het hoofd te bieden. Het probleem wordt niet erkend en daardoor zijn er niet
voldoende mensen en budgetten voorzien. Uit een hele reeks incidenten blijkt dat het probleem
phishing (cybercriminaliteit) wel degelijk bestaat en veel schade berokkent aan de overheid en aan
het land.
Er is gelukkig een aantal lichtpunten in het onderzoek naar boven gekomen. Een aantal Vlaamse
partijen heeft blijk gegeven van een duidelijke visie over hoe er in de toekomst dient omgegaan te
worden met phishing (cybercriminaliteit). In het voorlopige regeerakkoord van de op handen zijnde
nieuwe Belgische regering is de bestrijding van cybercriminaliteit één van de topprioriteiten.
1
Nederland beschikt wel over een cybersecurity centrum: het NCSC (Nationaal Cyber Security Centrum). Het NCSC heeft als
taak om cybersecurity aangelegenheden in Nederland te coördineren.
10/110
Inleiding
1 Inleiding
1.1 Aanleiding tot het onderzoek
Sinds het einde van de 20e eeuw is de informatisering van de maatschappij steeds meer toegenomen.
Dit fenomeen brengt heel wat voordelen met zich mee. Mensen kunnen met één druk op een knop
informatie van over heel de wereld op het scherm laten verschijnen binnen een tijdspanne van enkele
seconden. De geïnformatiseerde maatschappij heeft zelfs virtuele werelden doen ontstaan waarin
mensen handelingen kunnen uitvoeren via hun virtuele persoonlijkheid. Maar naast de voordelen zijn
er ook nadelen verbonden aan het informatiseringsfenomeen. Demchak (1999) stelt dat net de
eigenschappen die ervoor zorgen dat het web zoveel troeven biedt, met name ‘immediacy’ (het
onmiddellijke, realtime karakter), ‘anonymity’ (anonimiteit) en ‘critical interdepence’ (kritieke
afhankelijkheid tussen de verschillende netwerken), de deur opzetten voor onvoorziene,
ontwrichtende gebeurtenissen. Demchak (1999) geeft aan dat er twee types van storingen kunnen
optreden in de geïnformatiseerde maatschappij: systeem-falen veroorzaakt door de
gecompliceerdheid van de genetwerkte wereld en problemen veroorzaakt door intentionele
handelingen. Deze intentionele handelingen die leiden tot fouten en verstoringen worden meestal
uitgevoerd door hackers en worden aangeduid met de term cybercriminaliteit (Wall, 2008).
Organisaties die het slachtoffer worden van cybercriminaliteit wapenen zich met behulp van
technologische oplossingen tegen deze bedreiging. Hierdoor richten hackers zich op de zwakste
schakel in de beveiligingsketen: de mens. Social engineering is het manipuleren van mensen om een
bepaalde handeling uit te voeren of om een bepaalde vorm van gedrag aan te nemen. Binnen de
context van cybercriminaliteit wordt ermee bedoeld, mensen aanmoedigen en misleiden om
persoonlijke informatie vrij te geven (Al-Msloum & Al-Johani, 2013). Deze informatie wordt dan
misbruikt
om
logische
objecten
te
stelen:
data,
geheimen,
geld
…
.
Dit onderzoek richt zich naar één vorm van social engineering met name phishing. Phishing komt meer
en meer voor en de phishingboodschappen worden steeds beter waardoor hun verleidingskracht
steeds sterker wordt. In de geïnformatiseerde maatschappij wordt iedereen geconfronteerd met
phishing en wordt het steeds belangrijker dat mensen zich bewust zijn van dit gevaar. In dit onderzoek
wordt in kaart gebracht wat er verstaan wordt onder phishing, welke soorten van phishing er bestaan,
hoe vaak phishing voorkomt en welke maatregelen mogelijk zijn om phishing te bestrijden. Er wordt
vervolgens onderzocht hoe de Belgische overheid omgaat met het fenomeen phishing. De resultaten
van het empirisch onderzoek worden ten slotte vergeleken met de resultaten van het onderzoek van
Dreijer (2012) over phishing bij Nederlandse financiële instellingen.
1.2 Probleemstelling
1.2.1 Doelstelling
De doelstelling van het onderzoek is in kaart te brengen wat phishing betekent voor de Belgische
overheid. Heeft de Belgische overheid last van phishingaanvallen en hoe vaak doen dergelijke
aanvallen zich voor? Wat zijn de gevolgen van deze aanvallen voor de Belgische overheid? Op welke
manier is de Belgische overheid georganiseerd om phishing te bestrijden; wie is verantwoordelijk voor
welke aspect van cyberbeveiliging? Welke beleid voert de Belgische overheid en waarop is dat beleid
gebaseerd (op studies, op vroegere ervaringen, een bepaalde visie)? Welke sociale (vormen van
gebruikerseducatie) en technische maatregelen worden door de Belgische overheid genomen tegen
phishing? Hoe effectief zijn de door de Belgische overheid genomen anti-phishingmaatregelen?
De antwoorden op deze vragen worden vergeleken met de antwoorden die Dreijer (2012) heeft
gekregen in zijn onderzoek naar phishing bij Nederlandse financiële instellingen.
11/110
Inleiding
1.2.2 Leeswijzer
In de inleiding (hoofdstuk 1) is kort aangeraakt waar het onderzoek om draait.
‘Hoofdstuk 2: Onderzoeksopzet‘ beschrijft de wijze waarop het literatuuronderzoek en het empirisch
onderzoek zijn uitgevoerd.
‘Hoofdstuk 3: Resultaten van het onderzoek‘ beschrijft vraag per vraag de resultaten van het
onderzoek en maakt ook een vergelijking tussen de antwoorden van dit onderzoek met de resultaten
van het onderzoek van Dreijer.
‘Hoofdstuk 4: Referentiemodel‘ geeft het referentiemodel weer dat is gedestilleerd uit het
literatuuronderzoek en waarop de vragen van het empirisch onderzoek zijn gebaseerd.
‘Hoofdstuk 5: Conclusies, aanbevelingen, product- en procesreflectie‘ beschrijft de conclusies van het
onderzoek, mogelijke pistes voor verder onderzoek en geeft een persoonlijke noot van de auteur in
een product- en procesreflectie.
‘Hoofdstuk 6: Referenties‘ geeft het overzicht van de gebruikte bronnen opgedeeld in
wetenschappelijke en niet-wetenschappelijke bronnen.
In de bijlagen is additionele informatie opgenomen die minder geschikt is om in het onderzoeksverslag
op te nemen omdat het de leesbaarheid niet bevordert (bijvoorbeeld de vragenlijsten gebruikt in het
onderzoek), maar die toch een wezenlijk deel van het onderzoek uitmaken.
12/110
Onderzoeksopzet
2 Onderzoeksopzet
In dit hoofdstuk wordt het onderzoekskader toegelicht.
2.1 Object van onderzoek
2.1.1 Vraagstelling
Uit de doelstelling van het onderzoek (zie paragraaf 1.2.1) volgt de hoofdvraag:
Hoe gaat de Belgische overheid om met phishing?
Uit de hoofdvraag zijn deelvragen afgeleid die enerzijds met een literatuuronderzoek zijn beantwoord
en anderzijds via empirisch onderzoek.
Het theoretisch deel van het onderzoek is uitgevoerd aan de hand van vijf onderstaande
onderzoeksvragen. Deze vragen zijn, gebruikmakend van literatuur, vanuit twee perspectieven
beantwoord: het fenomeen phishing in zijn algemeenheid en phishing in relatie tot overheden.
-
L1 - Wat is phishing?
L2 - Welke soorten van phishing bestaan er?
L3 - Hoe vaak komt phishing voor?
L4 - Wat zijn de gevolgen van phishing?
L5 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden?
Op basis van de onderzoeksresultaten van het literatuuronderzoek is een referentiemodel (zie
hoofdstuk 4) over phishing uitgewerkt dat gebruikt is als uitgangspunt voor de volgende vier
empirische onderzoeksvragen:
-
E1 - Welke soorten van phishing komen bij de Belgische overheid voor?
E2 - Hoe vaak komt phishing voor bij de Belgische overheid?
E3 - Wat zijn de gevolgen van phishing voor de Belgische overheid?
E4 - Welke organisatorische, technische en sociale maatregelen worden door de Belgische
overheid genomen?
2.1.2 Afbakening
In het literatuuronderzoek is er naast de sociale en technische maatregelen voor de volledigheid ook
gekeken naar de juridische maatregelen die overheden kunnen nemen tegen phishing. De juridische
maatregelen behoren niet tot de scope van het empirisch onderzoek. Dit neemt niet weg dat soms
gebruik gemaakt wordt van wetsvoorstellen en wetteksten om bepaalde antwoorden van
respondenten te onderbouwen. De interviews zijn afgenomen op het ogenblik dat de Belgische
regering een regering in lopende zaken was. De onderhandelingen voor een nieuwe federale regering
liepen toen nog. Dit is de reden dat er in bepaalde antwoorden in voorwaardelijke wijs gesproken
wordt over het nieuwe regeerakkoord en de nieuwe federale regering.
Om respondentbias door cultuur- en taalverschil te vermijden (Saunders, Lewis, Thornhill, Booij, &
Verckens, 2011) is de opzet van het empirisch onderzoek beperkt tot het federale en het Vlaamse
niveau (zie ook Figuur 1 en Tabel 1). Gegevens van het Waalse gewest, de Franse gemeenschap en de
Duitstalige gemeenschap zijn enkel gebruikt in dit onderzoek als ze voor het behandelen van
cybercrime onder een federale overheidsinstelling ressorteren. Taal is een gevoelig onderwerp in
België en om iedere overheid met het nodige respect te benaderen zouden de vragen in de hoofdtaal
van dat gewest of die gemeenschap dienen gesteld te worden, waardoor de kans op
13/110
Onderzoeksopzet
interpretatieverschillen zou vergroot worden. Om dezelfde reden zijn enkel de cyberspecialisten van
de Vlaamse partijen opgenomen in het empirisch onderzoek.
Lagere overheden (gemeenten en provincies) en overheidsgesubsidieerde organisaties
(universiteiten, bibliotheken, onderzoekscentra) zijn niet expliciet mee in scope genomen. Deze
instanties zijn niet geïnterviewd. De cybersecurity die door de federale overheid is ingericht, biedt wel
een paraplu waaronder deze organisaties kunnen schuilen.
DE STAATSSTRUCTUUR VAN BELGIË.
De Belgische overheid is op zich een complex gegeven omdat er verschillende entiteiten (zie Figuur 1
en Tabel 1) zijn ontstaan na het doorvoeren van zes staatshervormingen die plaatsvonden tussen 1970
en 2014 (Belgische_Federale_Overheidsdiensten, 2012). De bevoegdheden van iedere instantie
worden kort weergegeven in Tabel 1.
Figuur 1: Overzicht van de Belgische overheden (Belgische_Federale_Overheidsdiensten, 2012)
Overheidsinstantie / term
Federale overheid
Gemeenschap2
Definitie / bevoegdheid
Binnen de federale overheid wordt de wetgevende macht uitgeoefend door
enerzijds het federaal parlement, dat is samengesteld uit twee vergaderingen
(de Kamer van volksvertegenwoordigers en de Senaat), en anderzijds de
koning. De koning oefent geen persoonlijke macht uit. Zijn ministers (de
federale regering) dragen de volle verantwoordelijkheid door de
wetsontwerpen, die door het parlement werden aangenomen, en de
Koninklijke besluiten mede te ondertekenen.
Een gemeenschap gaat uit van de taal.
De Vlaamse Gemeenschap oefent haar bevoegdheden uit in de Vlaamse
provincies en in Brussel; de Franse Gemeenschap in de Waalse provincies, met
uitzondering van de Duitstalige gemeenten, en in Brussel; de Duitstalige
Gemeenschap in de gemeenten van de provincie Luik die het Duitse
taalgebied vormen.
2
In Vlaanderen zijn de gemeenschaps- en gewestelijke instellingen samengesmolten. In Vlaanderen heeft men dus één
parlement en één regering.
14/110
Onderzoeksopzet
Overheidsinstantie / term
Gewest
Definitie / bevoegdheid
Er zijn drie gewesten. De benaming van de drie gewestelijke instellingen is
ontleend aan de naam die hun grondgebied draagt. Vandaar dat we spreken
(van noord naar zuid) van het Vlaamse Gewest, het Brussels Hoofdstedelijk
Gewest en het Waalse Gewest.
De gewesten hebben wetgevende en uitvoerende organen, die men het
gewestparlement en de gewestregering noemt. Deze worden om de 5 jaren
rechtstreeks verkozen.
Tabel 1: Definities van de verschillende overheidsniveaus (Belgische_Federale_Overheidsdiensten, 2012)
2.1.3 Onderzoekspopulatie
De onderzoekspopulatie bestaat uit twee groepen. De eerste groep zijn de mandatarissen die
verantwoordelijk zijn voor de verschillende overheidsinstellingen die bevoegd zijn voor
cyberbeveiliging in België (zie Tabel 2). Een tweede groep wordt gevormd door de specialisten
cybercriminaliteit van de verschillende Vlaamse politieke partijen (zie Tabel 3). Afhankelijk van de
samenstelling van de regering, bestaat deze groep uit mensen die het beleid mee bepalen (de
specialisten van de partijen die deelnemen aan de regering) of uit mensen die een controlerende
functie uitoefenen op de verschillende instanties vanuit het parlement (de oppositie).
Instelling
NVO
FedICT
BelNET
CERT
BIPT
FCCU
3
Kerntaken
De Nationale Veiligheidsoverheid (NVO) is de collegiale overheid die bevoegd is voor de afgifte
of de intrekking van veiligheidsmachtigingen, veiligheidsattesten en veiligheidsadviezen. De
NVO is bovendien verantwoordelijk voor het beheer en het toezicht op de goede beveiliging
van de geclassificeerde informatie in België. De NVO is samengesteld uit vertegenwoordigers
van verschillende federale overheden. Het voorzitterschap wordt bekleed door de FOD3
Buitenlandse Zaken, waar ook het secretariaat is ondergebracht. (Nationale
Veiligheidsoverheid (NVO), 2012).
Federale Overheidsdienst (FOD) Informatie- en Communicatietechnologie (FedICT)
Belnet is een dienst van de federale overheid, opgericht in 1993, en behoort tot het Federale
Wetenschapsbeleid. Er werken ruim 60 medewerkers in een dynamische high tech omgeving
aan:
Het Belnet-netwerk: het Belgische onderzoeksnetwerk voor universiteiten,
hogescholen, onderzoekscentra en overheidsdiensten.
Het BNIX-platform: het Belgische internetknooppunt dat data-uitwisseling aan hoge
snelheid mogelijk maakt tussen onder meer internetserviceproviders en
internetcontentproviders (Belnet, 2014).
CERT.be (Computer Emergency Response Team) is het federale cyber emergency team, dat
als neutrale specialist in internet– en netwerkveiligheid bedrijven of organisaties kan helpen
met het: coördineren bij cyberbeveiligingsincidenten, adviseren om een oplossing te vinden
wanneer er zich cyberbeveiligingsincidenten voordoen, bijstaan om deze
beveiligingsincidenten te voorkomen. CERT.be behoort tot BelNET (Cert.be, 2014).
Belgische Instituut voor Postdiensten en Telecommunicatie (BIPT). Het BIPT is de federale
overheid die de volgende functies uitoefent:
Het is de regulator van de elektronische-communicatiemarkt.
Het is de regulator van de postmarkt.
Het beheert het elektromagnetische spectrum van de radiofrequenties.
Het is een mediaregulator in Brussel-Hoofdstad. (Belgisch Instituut voor postdiensten
en telecommunicatie: over ons, 2014)
De Federal Computer Crime Unit (FCCU) maakt deel uit van de federale politie en is belast met
de bestrijding van de ICT-criminaliteit (ICT: Information and Communication Technology, de
computers en de netwerken die ze verbinden) met als doel ook in de cyberwereld de burgers
te beschermen tegen alle vormen van ’traditionele’ en ’nieuwe’ criminaliteit. Deze opdracht
omvat ook: de bestrijding van andere criminele fenomenen ondersteunen met
FOD: federale overheidsdienst
15/110
Onderzoeksopzet
Instelling
e-IB
ADIV
Kerntaken
gespecialiseerde recherche in ICT-omgeving. Ook pedofilie op het internet, internetfraude
(frauduleuze verkoop op het internet) en telecomfraude behoren tot de competenties. (FCCU
- RCCU, 2014)
Entiteit e-government en ICT-Beheer Vlaanderen. Opdracht:
Het aantal personen met toegang tot gevoelige, cruciale en waardevolle informatie
binnen de Vlaamse overheid neemt sterk toe. De activiteiten die deze personen
uitoefenen, vereisen daarom een gecoördineerde en coherente aanpak om een
effectieve en efficiënte beveiliging te realiseren. (ICT, e-government en informatie,
2014)
De Algemene Dienst Inlichting en Veiligheid (ADIV) is de Belgische militaire tegenhanger van
de (burgerlijke) staatsveiligheid. Deze dienst is in België beter bekend als 'militaire
inlichtingendienst'.
Tabel 2: Overzicht van de verschillende overheidsinstellingen die met cybercrime bezig zijn in België
Partij
N-VA
CD&V
Open Vld
sp.a
Groen
VB
Omschrijving
De Nieuw-Vlaamse Alliantie (N-VA) is een jonge partij met een lange voorgeschiedenis die wortelt
in het democratisch Vlaams-nationalisme. De N-VA ontstaat in 2001 uit de Volksunie (VU) die in
1954 was opgericht. (N-VA, 2014)
CD&V – Christen Democratisch & Vlaams: de Vlaamse Christendemocraten - is meer nog dan een
politieke partij, een brede beweging van geëngageerde mensen. CD&V profileert zich als
enthousiaste partner van gezinnen, ondernemers en verenigingen. CD&V levert vandaag de
Europese president Herman Van Rompuy. (CD&V, 2014)
De afkorting Vld staat voor Vlaamse Liberalen en Democraten. Vlaanderen is voor Open Vld het
eerste en voornaamste beleidsniveau. Open Vld wil de burgers nog meer inspraak geven in onze
democratie. Met de toevoeging ‘Open’ voor de afkorting benadrukken de Vlaamse liberalen dat
ze resoluut kiezen voor een open samenleving. (Open VLD, 2014)
Socialistische Partij Anders, afgekort als sp.a, is een Vlaamse sociaaldemocratische politieke partij
die in 2012 ongeveer 50 000 leden telde. De geschiedenis van sp.a is, net zoals die van vele andere
sociaaldemocratische partijen, geworteld in de sociaaleconomische strubbelingen van de 19de
eeuw.(SP.A, 2014)
Groen is een Vlaamse, progressieve en groene politieke partij. (GROEN, 2014)
Vlaams Belang (vaak afgekort als VB) is een Vlaams-nationalistische en rechts-conservatieve
politieke partij die onder meer bekend staat voor haar streven naar een onafhankelijk Vlaanderen,
de tegenstand met betrekking tot immigratie door personen die zich volgens de partij weigerachtig
opstellen tegen integratie of assimilatie naar westerse normen, de verdediging van de traditionele
normen en waarden, en het verzet tegen het oprukken in Europa van de politieke islam en het
moslimfundamentalisme. (Vlaams Belang, 2014)
Tabel 3: Overzicht van de Vlaamse politieke partijen die gecontacteerd worden
2.2 Onderzoeksbenadering en –strategie
De literatuurstudie is op inductieve wijze uitgevoerd waarbij een referentiemodel (zie hoofdstuk 4)
afgeleid is over het begrip phishing. Dit referentiemodel geeft op een beknopte wijze een overzicht
van wat phishing is, welke soorten er bestaan, wat de trends van phishing zijn, welke gevolgen
phishing heeft en wat er tegen gedaan kan worden. Op basis van dit referentiemodel is een
verkennend onderzoek bij de Belgische overheid uitgevoerd, gebruikmakend van een casestudie
(Saunders et al., 2011). Het verkennend onderzoek heeft geresulteerd in een situatieschets
(dwarsdoorsnede) van phishing bij de Belgische overheid. Het onderzoek richt zich naar de federale
Belgische overheid en naar de Vlaamse overheid. Beide overheden zijn in hun geheel, dus als een
holistische casestudie behandeld (Saunders et al., 2011). Uit het empirisch onderzoek is een
situatieschets ontstaan die getoetst is aan de resultaten van de literatuurstudie. Deze toetsing is
verder geanalyseerd tot er een duidelijk beeld gevormd kon worden over phishing van de Belgische
16/110
Onderzoeksopzet
overheid.
Dit
beeld
vormt
het
antwoord
op
de
hoofdvraag.
Figuur 2 geeft een schematisch overzicht van de verschillende stappen van het onderzoek:
1. Wetenschappelijke bronnen over phishing zijn gezocht, gecatalogeerd op relevantie en
vervolgens doorgenomen.
2. Op basis van de studie van deze wetenschappelijke bronnen is een referentiemodel over het
fenomeen phishing opgesteld waarin de definitie van phishing, de soorten van phishing, de
frequentie van phishing, de gevolgen van phishing en de anti-phishingmaatregelen zijn
opgenomen.
3. Dit referentiemodel is gebruikt om een verkennend onderzoek bij de Belgische overheid uit
te voeren m.b.v. een casestudie die gebaseerd is op vragenlijsten. De empirische vragen in
deze vragenlijsten zijn gebaseerd op de verschillende aspecten van het referentiemodel.
4. De antwoorden op de empirische vragen vormen een situatieschets van phishing bij de
Belgische overheid.
5. De antwoorden op de empirische vragen over phishing bij de Belgische overheid zijn getoetst
aan de antwoorden verkregen uit de literatuur. Een eerste toetsing is de vraag of phishing bij
de Belgische overheid vergelijkbaar is met de algemene trends over phishing die beschreven
worden in de literatuur. Een tweede toetsing is de vraag of phishing bij de Belgische overheid
vergelijkbaar is met phishing bij de sector overheid, zoals beschreven in de literatuur.
6. De antwoorden op de literatuurvragen zijn samen met de antwoorden op de empirische
vragen geanalyseerd.
7. Uit de analyse is een beeld naar voren gekomen over phishing bij de Belgische overheid. Dit
beeld is een situatieschets van de toestand van het fenomeen phishing bij de Belgische
overheid in de periode september – oktober 2014.
1. Literatuurstudie op inductieve wijze
3. Verkennend onderzoek m.b.v. casestudie
2. Referentiemodel over het fenomeen phishing
4. Situatieschets van phishing bij de Belgische overheid
5. Toetsing
Soorten van phishing bij de Belgische overheid
Prevalentie van phishing bij de Belgische overheid
Gevolgen van phishing bij de Belgische overheid
Anti-phishing maatregelen bij de Belgische overheid
6. Analyse
Definitie van phishing
Soorten van phishing
Prevalentie van phishing
Gevolgen van phishing
Anti-phishing maatregelen
7. Beeld van de phishing bestrijding door Belgische overheid
Figuur 2: Onderzoeksopzet, waarbij de nummering de volgorde aangeeft van de verschillende fasen
2.3 Methode van literatuuronderzoek
Het proces van literatuurstudie (Saunders et al., 2011) werd gevolgd om de nodige literatuur te vinden
die op iedere vraag een onderbouwd en kritisch antwoord kan formuleren. Dit proces zorgde voor een
verfijning en filtering van de bruikbare literatuur bij iedere iteratie:
-
Stap 1: parameters / trefwoorden definiëren;
Stap 2: zoeken;
Stap 3: literatuur vastleggen;
17/110
Onderzoeksopzet
-
Stap 4: beoordelen van de literatuur / notities nemen;
Stap 5: een conceptoverzicht maken.
De gevonden artikelen zijn met het softwarepakket Endnote X7 bewaard en geciteerd in de teksten.
De gebruikte referentiestijl is APA versie 6.
De gebruikte primaire literatuurbronnen bestaan voornamelijk uit wetenschappelijke, peer reviewed
artikelen uit internationale magazines. Daarnaast is er gebruik gemaakt van een aantal zoekmachines
(Google Scholar, Web of Science) die de mogelijkheid bieden om de geciteerde artikelen uit een
relevant artikel heel snel op te zoeken. Op die manier kon snel een relevante bibliografie opgebouwd
worden.
De via het internet gebruikte zoekmachines zijn Google en Google Scholar. De zoekmachines Web of
Science, EBESCO host en de IEEE Digital Library zijn via de digitale bibliotheek van de Open Universiteit
(portaalsite) gebruikt.
De gebruikte secundaire literatuurbronnen bestaan voornamelijk uit artikelen gepubliceerd door
securitybedrijven (bijvoorbeeld Symantec) en internationale anti-phishingorganisaties (bijvoorbeeld
de Anti-Phishing Working Group, APWG). Deze artikelen bestaan uit rapporten met cijfers over de
evolutie van phishing door de jaren heen. In bijlage A is een overzicht opgenomen van de gevonden
en de geselecteerde artikelen.
De volgende zoektermen zijn gebruikt: social engineering, phishing, phishing (counter)measures, antiphishing, phishing implications, phishing and government, phishing en overheid, cybercrimes,
cyberaanvallen en cybercriminaliteit.
2.4 Methode van onderzoek van het empirisch deel
2.4.1 Onderzoeksstrategie
De onderzoeksstrategie is gebaseerd op een casestudie. Een casestudie maakt het mogelijk om
holistische en zinvolle begrippen van real-life-events in het onderzoek te beschrijven (Saunders et al.,
2011). Het real-life-event van het empirisch onderzoek betreft phishing bij de Belgische overheid. De
casestudie in het empirisch onderzoek is uitgevoerd op basis van interviews, waarbij de vragen
‘waarom?’ ‘wat’ en ‘hoe’ met betrekking tot phishing, in vragenlijsten vervat zijn. Deze interviews zijn
telefonisch afgenomen indien de respondent daarvoor open stond en in de andere gevallen heeft de
respondent zelf de vragenlijst ingevuld en per e-mail verstuurd. Het onderzoek richt zich naar het
fenomeen phishing bij de federale Belgische overheid en naar het fenomeen phishing bij de Vlaamse
overheid. Beide overheden zijn in hun geheel, dus als een holistische casestudie behandeld (Saunders
et al., 2011).
2.4.2 Bronnen
De geraadpleegde bronnen bestaan uit de cyberbeveiligingsinstellingen van de overheid,
weergegeven in Tabel 2 en uit de specialisten van cybercriminaliteit van de verschillende Vlaamse
politieke partijen weergegeven in Tabel 3. Deze tweede groep bestaat, afhankelijk van de
samenstelling van de regering, uit mensen die het beleid mee bepalen (de specialisten van de partijen
die deelnemen aan de regering) of uit mensen die een controlerende functie uitoefenen op de
verschillende instanties vanuit het parlement (de oppositie). De respondenten van de tweede groep
laten zich meestal bijstaan door medewerkers die gespecialiseerd zijn in bepaalde onderwerpen zoals
phishing (cybersecurity). In Tabel 5 is Laurens Bynens (medewerker van Nele Lijnen) daar een
voorbeeld van. De respondenten van de regeringspartijen ontvangen hun informatie rechtstreeks van
de overheidsinstanties die instaan voor cyberbeveiliging. De respondenten van de oppositiepartijen
18/110
Onderzoeksopzet
verkrijgen hun informatie via parlementaire vragen. Een derde bron is een ex-consultant, die voor een
overheidsinstelling heeft gewerkt als securityspecialist. In Tabel 4 is een overzicht gegeven van de
potentiële respondenten en hun functie binnen hun organisatie.
Instelling / partij
NVO
FedICT
BelNET
CERT
BIPT
FCCU
e-IB
Naam contactpersoon
Mila Druwe
Davina Luyten
Davina Luyten
Naam van de
respondent
Dirk Nissen
[email protected]
Walter Coenraets
Anoniem
potentiële
Functie van de contactpersoon /
potentiële respondent
Security officer
Marcom manager
Persverantwoordelijke
Persverantwoordelijke
ICT-afdeling
Hoofd FCCU
Ex-securityconsultant
N-VA
Peter Dedecker
Federaal parlementslid
CD&V
Roel Deseyn
Federaal parlementslid
Open Vld
Nele Lijnen
Federaal parlementslid
sp.a
Dajo De Prins
Onderzoeksmedewerker SPA
Groen
Stefaan Van Hecke
Federaal parlementslid
VB
Niet bekend
ICT-medewerkers Vlaams Belang
Tabel 4: Overzicht van de contactpersonen, potentiële bronnen en hun functies binnen hun organisatie
In de volgende paragraaf 2.4.3 ‘Dataverzameling’ wordt uitgelegd hoe de namen van de potentiële
respondenten in Tabel 4 verkregen zijn.
2.4.3 Dataverzameling
Alle cyberbeveiligingsinstanties van de overheid in België en in Vlaanderen zijn telefonisch benaderd
om de naam van de persoon te pakken te krijgen die via een interview de vragenlijsten zou kunnen
beantwoorden. Dit is ook gebeurd voor de Vlaamse partijen. Tabel 4 geeft de namen weer van de
personen waarmee er contact is geweest en de namen van potentiële respondenten. Enkel wanneer
er geen naam verkregen is voor een potentiële respondent, is de naam van de contactpersoon
ingevuld.
Om een interview in te plannen is er gebruik gemaakt van een workflow (zie Figuur 3). De personen
werden gebeld om te vragen of zij wensten mee te doen aan het onderzoek. Wanneer na drie keren
proberen op verschillende tijdstippen de persoon niet telefonisch bereikt kon worden, werd een email met het verzoek tot deelname verstuurd. Als een persoon zich akkoord verklaarde, werd een
afspraak gemaakt om ter plaatse of op afstand het interview te nemen. In tweede instantie was het
ook mogelijk dat de vragenlijst per e-mail verstuurd werd naar de respondent, wanneer de respondent
daarop aandrong. Na het afnemen van het interview werden de antwoorden naar de respondent ter
controle gestuurd. Na het ontvangen van de gecontroleerde antwoorden of na het ontvangen van de
rechtstreeks gestuurde antwoorden is de workflow afgerond en kon de analyse van de ontvangen data
van start gaan.
19/110
Onderzoeksopzet
Mail sturen of
persoon wenst
mee te doen
> 3X
Afspraak
maken
Interview
afnemen
Resultaat van
interview laten
controleren
Neen
≤ 3X
Start
Neen
Persoon
bereikt?
Bellen
Ja
Ja
Persoon
akkoord?
OR
Einde
Ja
E-mail met
vragen sturen
Antwoorden
per e-mail
ontvangen
Neen
Figuur 3: Onderzoeksworkflow gevolgd om de gegevens te bekomen
Tabel 5 geeft een overzicht van het aantal ontvangen antwoorden en de vorm van deze antwoorden.
De interviews met Peter Dedecker (N-VA) en Stefaan Van Hecke (Groen) zijn telefonisch op een eenop-een basis afgenomen. De vragenlijsten zijn voor het interview per e-mail verstuurd omdat dit de
respondenten een duidelijk beeld over de context van het onderzoek gaf en het ook eenvoudiger
maakte voor de respondenten om antwoorden te geven. Deze één-op-één interviews hadden de
voorkeur omdat de vragen en de verschillende begrippen complex van aard zijn. Wanneer de
respondent een bepaald begrip niet goed begreep, is dit onmiddellijk verduidelijkt. Een ander
voordeel van de één-op-één interviews was het feit dat de interviewer de mogelijkheid had om op
bepaalde antwoorden van de respondent dieper in te gaan waardoor interessante feiten naar boven
gehaald konden worden. Dit is bij beide interviews gebeurd. De interviewer heeft de antwoorden
direct genoteerd. De ingevulde vragenlijst is ter controle naar de respondenten gestuurd om hen de
gelegenheid te bieden de antwoorden te controleren en eventueel te verbeteren, wat zij ook gedaan
hebben.
De overige drie antwoorden (e-IB, CD&V en Open VLD) zijn verkregen via e-mail. Bij een asynchroon
elektronisch interview zoals e-mail was het verduidelijken van begrippen niet mogelijk en kon er een
begripsverwarring ontstaan die de onderzoeksresultaten zou beïnvloeden. Deze vorm van interviewen
bood ook geen gelegenheid om uit te wijden of om dieper in te gaan op interessante aspecten die
door de respondent worden aangegeven. Om dit tot een minimum te herleiden waren de
vragenlijsten, die per e-mail verstuurd zijn, voorzien van extra uitleg bij iedere vraag en bij ieder
begrip. De respondenten die de vragenlijsten per e-mail hebben verstuurd, hebben veel bijkomende
informatie in bijlage meegestuurd. Deze additionele informatie (parlementaire vragen, Europese
rapporten …) is mee verwerkt in het onderzoek (zie paragraaf 6.2 - Niet-wetenschappelijke bronnen).
Instelling / partij
Antwoord gegeven
Vorm van het antwoord
Respondent
NVO
FedICT
BelNET
CERT
BIPT
FCCU
e-IB
ADIV
Neen
Neen
Neen
Neen
Neen
Neen
Niet rechtstreeks
Neen
Ingevulde vragenlijst
-
Anoniem
-
N-VA
CD&V
Ja
Ja
Telefonisch interview
Ingevulde vragenlijst
Peter Dedecker
Wim Scharpé (Roel Deseyn)
20/110
Onderzoeksopzet
Instelling / partij
Antwoord gegeven
Vorm van het antwoord
Open Vld
Ja
Ingevulde vragenlijst
sp.a
Neen
Groen
Ja
Telefonisch interview
VB
Neen
Tabel 5: Overzicht van ontvangen antwoorden en respondenten
Respondent
Laurens Bynens (Nele Lijnen)
Stefaan Van Hecke
-
De verkregen data bestaat uit primaire gegevens verworven door het interviewen van experten op
het gebied van cyberbeveiliging bij de Belgische overheid en cybercrimespecialisten van de
verschillende Vlaamse politieke partijen. Naast deze primaire gegevens, zijn secundaire gegevens
gebruikt omdat de vraag naar de frequentie van phishing bij de Belgische overheid enkel beantwoord
kan worden met cijfermateriaal uit secundaire gegevens, bijvoorbeeld rapporten over
cyberbeveiliging of beleidsnota’s. De verzamelde data voor het beantwoorden van onderzoeksvragen
E1, E3 en E4 is kwalitatieve data. De data die verzameld is om onderzoeksvraag E2 te beantwoorden
bestaat uit kwantitatieve data. De gebruikte methode om de data te verzamelen is een
semigestructureerd interview met een vragenlijst (zie bijlagen E, F en G) opgebouwd uit open vragen.
Er is sprake van een monomethode daar er één kwalitatieve methode gebruikt is voor het verzamelen
van de gegevens (Saunders et al., 2011).
ANTWOORDBEREIDHEID
Gedurende een periode van 5 weken (5 september – 10 oktober 2014) is er contact opgenomen met
de verschillende overheidsinstellingen (zie Tabel 2 en Tabel 5) die instaan voor cyberbeveiliging voor
de Belgische en Vlaamse overheid. Dit contact bestond vaak uit telefonische gesprekken met de
woordvoerder van deze instellingen, gecombineerd met e-mails waarin duiding werd gegeven over de
bedoeling van de gewenste interviews. De mensen aan de lijn waren voorkomend en verwezen naar
kanalen binnen hun organisatie om antwoorden te krijgen op de empirische vragen. Geen enkele
instelling4 heeft echter een antwoord gestuurd. Voor één instelling, het e-IB, is toch een aantal
antwoorden verkregen via een ex-werknemer.
De antwoordbereidheid bij de cybersecurityspecialisten (zie Tabel 3 en Tabel 5) van de Vlaamse
politieke partijen lag een stuk hoger. Dit is te verklaren door het feit dat zij dichter bij de burger staan
en dat zij niet op de vingers getikt kunnen worden over bepaalde verklaringen zoals dat wel het geval
is bij de overheidsinstellingen. Eén van de woordvoerders van de gecontacteerde
overheidsinstellingen gaf mondeling toe dat er binnen zijn administratie niet met de buitenwereld
mag gecommuniceerd worden over cyberincidenten omdat dit door journalisten zou opgepikt kunnen
worden en dat daardoor de bevoegde minister in een slecht daglicht zou kunnen komen te staan.
Naast de ingevulde vragenlijsten hebben de politici veel additionele secundaire bronnen aangebracht.
Deze secundaire bronnen bestaan uit Europese en Belgische rapporten over cybersecurity,
parlementaire vragen over cyberincidenten en phishing bij de verschillende administraties van de
Belgische overheid en uit een aantal whitepapers over cybersecurity (zie paragraaf 6.2 - Nietwetenschappelijke bronnen). Deze informatiebronnen zijn mee in de antwoorden op de
onderzoeksvragen verwerkt.
Uit een studie van het Europees parlement blijkt dat het niet publiek durven communiceren over
security-incidenten één van de grootste struikelblokken is om tot een cyberbeveiligingsstrategie op
4
De persverantwoordelijke van het ministerie van defensie (ADIV) heeft aangegeven dat het noodzakelijk was om een
schriftelijk schrijven te richten aan het ADIV en dat op basis van dit schrijven beoordeeld zou worden door de hiërarchisch
verantwoordelijke of de vragen konden beantwoord worden. Daar de afhandeltijd van de aanvraag niet aangegeven kon
worden, is dit geïnterpreteerd als geen (tijdig) antwoord.
21/110
Onderzoeksopzet
Europees niveau te komen. Veel landen van de EU hebben twijfels over de voordelen van het publiek
kenbaar maken van security-incidenten en zijn geneigd security-incidenten intern op te lossen zonder
dit publiek kenbaar te maken (Robinson N, Horvath V, Cave J, Roosendaal A, & Klaver M, 2013). Dit
gegeven speelt duidelijk in België.
ANTWOORDBEREIDHEID FINANCIËLE INSTELLINGEN NEDERLAND VERSUS BELGISCHE OVERHEID
De antwoordbereidheid van de Nederlandse financiële instellingen vormt een groot contrast met de
bereidheid van de Belgische overheidsinstellingen om mee te werken aan een onderzoek naar
phishing. In het onderzoek van Dreijer (2012) hebben 6 van de 16 aangeschreven financiële instanties
meegewerkt aan het onderzoek. Van de 7 gecontacteerde overheidsinstellingen in België heeft geen
enkele instelling een antwoord gestuurd.
2.4.4 Steekproef - populatie
De representativiteit van de steekproef was afhankelijk van de bereidheid van de verschillende
instanties om deel te nemen aan het onderzoek (zie Tabel 5). Idealiter namen alle instanties deel aan
het onderzoek, waardoor het onderzoek een zeer duidelijk beeld geeft van phishing bij de Belgische
overheid. Daar niet alle instanties deelgenomen hebben (zie paragraaf 2.4.3 – Antwoordbereidheid),
is er sprake van een zelfselecterende, niet-stochastische steekproef (Saunders et al., 2011).
De representativiteit van deze steekproef is afhankelijk van de belangrijkheid van de deelnemende
instanties op het vlak van cyberbeveiliging bij de Belgische overheid. De representativiteit van de
steekproef van de cyberbeveiligingsinstellingen in België is beperkt daar er slechts antwoorden
gekregen zijn van 1 van de 7 instellingen5. De representativiteit van de steekproef van de
cybersecurityspecialisten van de Vlaamse partijen is daarentegen wel goed. De partijen van de
respondenten hebben bij de verkiezing van 2014 voor de kamer van volksvertegenwoordigers
(federaal niveau) samen 46,97% van de stemmen behaald, wat zich vertaalde in 71 zetels op een totaal
van 150. De antwoorden verkregen van de respondenten van deze partijen, kunnen veralgemeend
worden voor heel België.
2.4.5 Betrouwbaarheid
Betrouwbaarheid drukt de mate van onafhankelijkheid ten opzichte van toeval uit. De bedoeling was
om twee groepen respondenten in het onderzoek op te nemen: ambtenaren en politici.
Het risico op deelnemersfouten bij de eerste groep was beperkt omdat de personen die geïnterviewd
zouden worden ambtenaren zijn. Ambtenaren zijn in principe neutraal en onafhankelijk van de
politieke strekking van de regering en de bevoegde ministers. Zij dienen in alle omstandigheden de
gebruikers (het volk) naar best vermogen te dienen en te beschermen. Dit neemt niet weg dat
deelnemersfouten konden optreden door het feit dat bepaalde gegevens confidentieel zijn en niet
door de respondent meegedeeld konden worden. Ook het feit dat een ambtenaar niet volledig op de
hoogte is van het fenomeen phishing met betrekking tot zijn instelling en de overheid kon resulteren
in deelnemersfouten. Het securitybeleid van de cyberbeveiligingsambtenaren wordt opgelegd door
de regering. De factor deelnemersvertekening kon een rol spelen omdat de respondenten
antwoorden konden geven die niet helemaal stroken met de werkelijkheid maar eerder met de
beleidsprioriteiten van de overheid. Er is geen sprake van deelnemersvertekening door ambtenaren,
daar zij zich niet bereid toonden deel te nemen aan het onderzoek.
Voor de tweede groep respondenten: de cyberbeveiligingsspecialisten van de verschillende partijen
bestaat het risico dat de respondenten van de regeringspartijen de situatie te rooskleurig voorgesteld
5
Deze antwoorden zijn niet rechtstreeks van de instantie verkregen, maar via een ex-medewerker.
22/110
Onderzoeksopzet
hebben omdat dit hun beleid in de praktijk betreft. Voor de cyberbeveiligingsspecialisten van de
oppositiepartijen bestaat het omgekeerde risico; zij zouden de situatie slechter voorstellen dan ze in
werkelijkheid is omdat het beleid door een andere partij is uitgezet en niet strookt met hun (partij)visie. Voor de groep cyberbeveiligingsspecialisten van de Vlaamse politieke partijen bestaat een risico
op interpretatiefouten. Deze respondenten krijgen hun informatie van de ambtenaren die werken
voor de verschillende overheidsinstellingen. De kans bestaat dat de cyberbeveiligingsspecialisten de
verkregen informatie anders interpreteren dan dat het bedoeld is door de ambtenaren.
Voor de respondenten in beide groepen bestaat het gevaar dat er deelnemersfouten optreden door
menselijke fout. Dit gevaar is beperkt omdat uit de kruisvaliditatie van de antwoorden is gebleken dat
er geen grote afwijkingen bestaan tussen de antwoorden van de respondenten. De antwoorden van
de ex-consultant6 van het e-IB komen grotendeels overeen met de antwoorden van de
cyberbeveiligingsspecialisten van de Vlaamse politieke partijen. De politieke links – rechts7
tegenstelling van de respondenten van de Vlaamse politieke partijen bleek ook geen grote afwijkingen
in de antwoorden te veroorzaken. Door de grote homogeniteit van de antwoorden mag er gesteld
worden dat de betrouwbaarheid van de antwoorden goed is.
Waarnemersfouten en waarnemersbias (Saunders et al., 2011) zijn beperkt door de vragen te baseren
op het referentiemodel dat ontstaan is uit de literatuurstudie (zie hoofdstuk 4). Daarnaast kreeg
iedere respondent na het interview een verslag doorgestuurd met zijn antwoorden, wat hem de
gelegenheid bood om correcties aan te brengen.
De betrouwbaarheid van de secundaire gegevens is afhankelijk van de wijze waarop phishing
geregistreerd wordt door de verschillende cyberbeveiligingsinstanties in België en van de volledigheid
van deze registratie. Deze gegevens zouden ter controle vergeleken kunnen worden met gegevens
van andere landen die vergelijkbaar zijn met België qua grootte en cultuur zoals bijvoorbeeld
Nederland. Deze controle behoort niet tot de scope van dit onderzoek en kan een piste vormen voor
verder onderzoek.
2.4.6 Validiteit
De validiteit geeft aan of de resultaten werkelijk over datgene gaan waarover ze lijken te gaan. Daar
het een verkennend onderzoek betrof waarbij een situatieschets is gemaakt van phishing bij de
Belgische overheid is het risico van een validiteitsgebrek beperkt. Validiteitsfouten vormen een groter
gevaar wanneer er naar causale verbanden gezocht wordt (Saunders et al., 2011).
Daar de vragen, die gebruikt werden in de interviews, gebaseerd zijn op het referentiemodel dat is
opgesteld op basis van de recentste literatuur is er sprake van een hoge mate van externe validiteit
(generaliseerbaarheid) (Saunders et al., 2011). Het onderzoek kan in haar huidige vorm ook bij andere
overheden, bijvoorbeeld de Nederlandse overheid, afgenomen worden.
2.4.7 Ethiek
De personen die geïnterviewd zijn, spraken vanuit hun rol binnen hun organisatie of partij. Zij spraken
niet op persoonlijke titel. De gegevens van de rollen van deze personen zijn publiek bezit, waardoor
er zich geen privacy problemen stellen.
6
De antwoorden van de ex-consultant zijn geanonimiseerd. Deze persoon heeft de vragen naar best vermogen beantwoord.
Deze persoon is op het einde van zijn contract in goede verstandhouding vertrokken bij de betrokken overheidsinstelling. Er
mag dus van uitgegaan worden dat deze persoon geen slechte bedoelingen heeft ten aanzien van de overheidsinstelling.
7
De vier Vlaamse politieke partijen die deelgenomen hebben aan het onderzoek zitten op verschillende plaatsen in het
politieke spectrum. Groen bevindt zich aan de linkerzijde, CD&V bevindt zich centrumrechts samen met N-VA en Open VLD
bevindt zich het meest rechts van de partijen die geantwoord hebben.
23/110
Onderzoeksopzet
2.4.8 Analyse van de data
Uit het literatuuronderzoek is een referentiekader (zie hoofdstuk 4) ontstaan. Dit referentiekader
bestaat uit vier categorieën: de soorten van phishing, de frequentie van phishing, de gevolgen van
phishing en de maatregelen tegen phishing. Iedere categorie is geoperationaliseerd (zie bijlage C) naar
een set van vragen. Deze vragen zijn gebruikt om via interviews de nodige kwalitatieve en
kwantitatieve data te verzamelen.
De interviews die telefonisch zijn afgenomen zijn getranscribeerd en ter verificatie doorgestuurd naar
de respondent. Tijdens het interview is een aantal verwijzingen naar additionele bronnen verkregen
waarin relevante informatie met betrekking tot de vragen te vinden was. Deze informatie is ook
getranscribeerd en mee opgenomen in de antwoorden op de vragen. De vragenlijsten die per e-mail
zijn ontvangen dienden deels getranscribeerd te worden omdat de antwoorden soms in documenten
in bijlage te vinden waren. De referenties naar deze documenten zijn opgenomen in paragraaf 6.2 Niet-wetenschappelijke bronnen.
De antwoorden zijn vervolgens gegroepeerd en neergeschreven in subcategorieën onder de
empirische vragen op basis van patronen8. Gebruikmakend van deze patronen (subcategorieën) zijn
de antwoorden op de empirische vragen uitgeschreven. Deze gestructureerde antwoorden zijn in
combinatie met de antwoorden van de literatuurstudie gebruikt om tot de conclusies van het
onderzoek te komen.
8
Een patroon is een wederkerend gebeuren dat een grote gelijkenis vertoont bij iedere optreden van het gebeuren
(Saunders et al., 2011).
24/110
Resultaten van het onderzoek
3 Resultaten van het onderzoek
3.1 Inleiding
Dit hoofdstuk geeft de resultaten weer van het onderzoek. De paragrafen zijn ingedeeld volgens de
theoretische vragen gecombineerd met de empirische vragen. In de titel van de paragrafen wordt via
de vraagcode aangegeven over welke vraag het gaat, bijvoorbeeld L2/E1 behandelt de tweede
literatuuronderzoeksvraag, gecombineerd met de relevante antwoorden ontvangen voor de eerste
empirische vraag. Naast de antwoorden op de literatuur- en empirische vragen zijn ook de relevante
vergelijkingen tussen de antwoorden op de vragen uit dit onderzoek en de antwoorden van het
onderzoek van Dreijer (2012) bij Nederlandse financiële instellingen in de verschillende paragrafen
opgenomen.
3.1.1 De term computer
Bij het beantwoorden van de vragen wordt vaak de term computer gebruikt. Computer dient in ruime
zin geïnterpreteerd te worden en slaat op ieder apparaat dat elektronische boodschappen kan
ontvangen en sturen of dat kan surfen op het internet. De klassieke desktop computer wordt steeds
minder gebruikt om te communiceren over het internet en wordt steeds vaker vervangen door
mobiele apparaten zoals een smartphone of een tablet. Het gevaar van phishingaanvallen is even
groot voor deze apparaten als voor computers. Er bestaan zelfs phishingaanvallen die specifiek
ontworpen zijn om gebruikers van mobiele apparaten in de val te lokken zoals bijvoorbeeld Wiphishing (zie paragraaf 3.3).
25/110
Resultaten van het onderzoek
3.2 L1/E1 - Wat is phishing?
Om de vraag “Wat is phishing” te beantwoorden wordt er eerst gekeken naar de oorsprong van
phishing, vervolgens naar de motieven voor phishing, er wordt een algemene definitie afgeleid en tot
slot wordt de werkwijze van een phishingaanval stapsgewijs beschreven.
3.2.1 Oorsprong van de term phishing.
Uit het literatuuronderzoek blijkt dat de term phishing voor het eerst verschenen is in januari 1996 op
de alt.2600 hacker nieuwsgroep (Bose & Leung, 2007). Het eerste phishingincident vond plaats in
1995. Het was een social engineeringaanval tegen America Online waarbij gegevens gestolen werden
van hun klanten (Khonji, Iraqi, & Jones, 2013). Het woord phishing wordt uitgesproken zoals het
werkwoord fishing (vissen in het Engels), maar het is anders geschreven. De ‘ph’ aan het begin van het
woord komt van de term ‘Phone Phreaking’. Phone Phreaking was één van de eerste vormen van
hacking die toegepast werd tegen telefoonnetwerken voornamelijk om gratis telefoongesprekken te
kunnen voeren. Phishing heeft parallellen met fishing in die zin dat vissers (de hackers) een soort van
aas (social engineeringboodschappen) gebruiken om vissen (persoonlijke informatie van de
slachtoffers) te vangen (Khonji et al., 2013).
3.2.2 De motieven voor phishing
Het literatuuronderzoek geeft aan dat de motieven voor phishing allemaal een crimineel, frauduleus
karakter hebben. Er zijn twee grote types van motieven: motieven voor handelingen die onmiddellijk
leiden tot het verwerven van waardevolle logische objecten en motieven voor handelingen die leiden
tot het verkrijgen van middelen om de phishingaanvallen te verfijnen en meer misleidend te maken
(zie Tabel 6).
Sheng, Kumaraguru, Acquisti, Cranor, and Hong (2009) geven de volgende motieven aan:
-
Het stelen van intellectuele eigendom
Het uitvoeren van bedrijfsspionage
‘Identity theft’: het stelen van iemands identiteit
Controle verkrijgen over structureel belangrijke (netwerk) infrastructuur: persoonlijke
computers (om botnets te creëren), e-mail providers (om authentiek lijkende boodschappen
te kunnen versturen) of DNS agenten (om valse DNS verwijzingen te creëren).
Khonji et al. (2013) voegen daar deze motieven nog aan toe:
-
-
Financieel gewin: het gebruiken van gestolen bankgegevens om zichzelf te verrijken.
Het verbergen van de identiteit (‘identity hiding’): hackers gebruiken de gestolen identiteiten
niet zelf, maar ze verkopen deze door aan criminelen die wensen hun identiteit verborgen te
houden.
Roem en bekendheid: phishers (hackers die de phishingaanval uitvoeren) voeren aanvallen uit
om erkenning te krijgen binnen hun hacking community.
Rechtstreekse doelen
Faciliterende doelen
Stelen intellectuele eigendom
Controle verkrijgen over structureel belangrijke infrastructuur
Bedrijfsspionage
Identity hiding
Identity theft
Stelen van bankgegevens
Roem en bekendheid
Tabel 6: Verdeling van motieven voor phishing in twee categorieën
26/110
Resultaten van het onderzoek
3.2.3 Definitie van de term phishing
Khonji et al. (2013) stelt dat er geen consistente definitie van phishing bestaat in de literatuur. Dit is
te wijten aan het feit dat phishing een breed spectrum heeft met veel variërende scenario’s.
Tabel 7 geeft een overzicht van definities die gehanteerd worden in de literatuur om het fenomeen
phishing te omschrijven. Bij iedere definitie is een verwijzing naar een paragraaf in bijlage B
opgenomen waarin de niet-vertaalde versie van de definitie is weergegeven. Iedere definitie bevat
drie elementen: een vorm van communicatie, een misleidende techniek om de informatie op te
vangen en waardevolle logische objecten (data, geheimen, geld …) die de phisher van het slachtoffer
probeert te bemachtigen.
Definitie
De frauduleuze poging van internetcriminelen om klanten zover te krijgen om te
antwoorden op e-mails en daarbij persoonlijke financiële informatie vrij te geven.
Phishing is een vorm van misleiding waarbij een aanvaller tracht op een
frauduleuze manier gevoelige (sensitive) informatie van het slachtoffer te
verkrijgen door zich voor te doen (impersonating) als een betrouwbare entiteit.
Phishing is een list (ruse) die ontworpen is om informatie van het slachtoffer te
verkrijgen door het gebruiken van e-mails, webpagina’s of brieven die lijken van
authentieke (genuine) instellingen te komen. Deze berichten dragen het
slachtoffer op om informatie te verschaffen om het afsluiten van een account
(Facebook, rekening, World of Warcraft …) te verhinderen of om snel te reageren
op een buitenkansje of om snel te reageren om een cadeau te krijgen.
Phishing is een op e-mail gebaseerd bedrog (deception) waarbij de dader e-mails
camoufleert als legitieme vragen naar persoonlijke en gevoelige (sensitive)
informatie.
Phishing is een soort van social engineering aanval waarbij de criminelen vervalste
(spoofed9) e-mail boodschappen gebruiken om mensen te misleiden en hen aan
te zetten tot het delen van gevoelige (sensitive) informatie of om hen aan te
zetten malware10 op hun computers te installeren.
Phishing is een type van computeraanval die d.m.v. social engineering
boodschappen communiceert met mensen via elektronische computerkanalen
om die mensen te overtuigen bepaalde handelingen uit te voeren ten voordele
van de aanvaller.
Tabel 7: Definities van phishing volgens verschillende auteurs
Auteur
Folsom, Guillory, and
Boulware (2005)
Jagatic,
Johnson,
Jakobsson,
and
Menczer (2007)
Workman (2008)
Origineel
Bijlage B
Vishwanath, Herath,
Chen, Wang, and Rao
(2011)
J. Hong (2012)
Bijlage B
Bijlage B
Khonji et al. (2013)
Bijlage B
Bijlage B
Bijlage B
In Tabel 8 worden de definities uit Tabel 7 ontleed tot de drie basiscomponenten die noodzakelijk zijn
om over phishing te kunnen spreken.
Auteur
Folsom et al. (2005)
Jagatic et al. (2007)
Communicatie – bericht
E-mail
Niet benoemd
Workman (2008)
E-mail,
brieven
Vishwanath et
(2011)
J. Hong (2012)
al.
Phishers doel
Financiële informatie
Gevoelige informatie
E-mail
Misleidende techniek
Niet vernoemd
Zich voordoen als een
betrouwbare entiteit
Zich voordoen als een
betrouwbare entiteit die
aangeeft dat er iets mis is
met een bestaande account
of dat er een cadeau te
verkrijgen is
Bedrog
E-mail
Misleiding
Gevoelige informatie of
malware op de computer
installeren
webpagina’s
of
Accountinformatie in brede
zin van het woord: rekening,
Facebook, World of Warcraft
account …
Gevoelige informatie
9
Het vervalsen van de e-mail header zodat het lijkt dat de mail door iemand anders of vanuit een andere locatie gestuurd is
(Kruck & Kruck, 2006).
10
Software die gebouwd is voor schadelijke en criminele doeleinden (Jian, Venkatasubramanian, West, & Insup, 2013).
27/110
Resultaten van het onderzoek
Auteur
Khonji et al. (2013)
Communicatie – bericht
Misleidende techniek
Elektronische
Niet vernoemd
computerkanalen
Tabel 8: Ontleding van de verschillende definities van phishing
Phishers doel
Handelingen laten uitvoeren
ten voordele van de phisher.
Gebruikmakend van de gegevens in Tabel 8 kan phishing gedefinieerd worden als volgt:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische
objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten.
Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten
voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van
waardevolle logische objecten11 of uit het ongemerkt installeren van malware op het toestel van het
slachtoffer. Deze malware kan waardevolle logische objecten ontvreemden en naar de phisher
doorsturen of de phisher toegang verschaffen tot middelen die toekomstige phishingaanvallen
faciliteren12.
Dreijer (2012) komt in zijn onderzoek tot volgende definitie voor phishing:
Phishing is een crimineel fraudeleus proces waarin criminelen zich voordoen als vertrouwde entiteit
met als doel het ontfutselen van gevoelige informatie. Als middel daartoe worden valse berichten in
een elektronische communicatie gebruikt. Daarin worden slachtoffers ofwel direct misleid om
gevoelige informatie prijs te geven, ofwel indirect waarbij slachtoffers bijvoorbeeld naar een vervalste
website worden geleid en/of malware op hun computers installeren waarmee vervolgens gevoelige
informatie wordt verzameld en doorgespeeld naar de criminelen.
Beide definities komen grotendeels overeen. Het enige verschilpunt zit in het motief van de phisher.
In de definitie van Dreijer wordt als motief enkel het ontvreemden van gevoelige informatie
aangehaald. Sheng et al. (2009) geven echter aan dat een ander belangrijk motief van phishing het
verkrijgen van controle over structureel belangrijke infrastructuur13 is. Deze controle zal toekomstige
phishingaanvallen meer misleidend en dus effectiever maken.
Tabel 9 geeft een overzicht van de bronnen gebruikt door Dreijer (2012) in vergelijking met de bronnen
gebruikt in dit onderzoek om tot een definitie van phishing te komen. In beide onderzoeken wordt het
artikel van J. Hong (2012) gebruikt en is Sheng een gemeenschappelijke auteur. De andere bronnen
zijn verschillend omdat in dit onderzoek meer recente bronnen zijn gebruikt omdat phishing een
evolutief fenomeen is.
Dreijer (2012)
Type bron
Peer reviewed artikel
Definitie door een antiphishingorganisatie
Zhang, Egelman, Cranor, Conference Proceeding
and Hong (2006)
Butler (2007)
Peer reviewed artikel
Auteurs
Abad (2005)
APWG (2006)
Auteurs
Folsom et al. (2005)
Jagatic et al. (2007)
Dit onderzoek
Type bron
Peer reviewed artikel
Peer reviewed artikel
Workman (2008)
Peer reviewed artikel
Sheng et al. (2009)
Peer reviewed artikel
11
Een logisch object is een bijvoorbeeld een paswoord dat toegang verschaft tot persoonlijke gegevens op een computer.
Een middel om een toekomstige phishingaanval te faciliteren is bijvoorbeeld het feit dat de phisher via de malware te
weten komt bij welke boekenclub het slachtoffer lid is en met welke andere leden van de boekenclub er in het verleden
contact is opgenomen. Deze informatie is op zich niet waardenvol, maar de phisher kan nu veel gerichter een (spear)
phishingmail opstellen, gebaseerd op de boekenclub, waardoor de kans op slagen van de volgende phishingaanval stijgt.
13
Een voorbeeld van structureel belangrijke infrastructuur is de firewall die het intranet van een organisatie scheidt van het
internet. Wanneer een hacker de controle krijgt over deze firewall kan hij het dataverkeer tussen de organisatie en het
internet blokkeren of van route doen veranderen. Door deze controle kan de hacker bijvoorbeeld een man-in-the-middle
attack uitvoeren door het dataverkeer dat door de firewall loopt af te luisteren zonder dat de slachtoffers er iets van merken.
12
28/110
Resultaten van het onderzoek
Dreijer (2012)
Dit onderzoek
Auteurs
Type bron
Auteurs
Type bron
Shirey (2007)
Request for comment
Vishwanath et al. (2011)
Peer reviewed artikel
Kumaraguru,
Sheng, Peer reviewed artikel
J. Hong (2012)
Peer reviewed artikel
Acquisti, Cranor, and Hong
(2010)
J. Hong (2012)
Peer reviewed artikel
Khonji et al. (2013)
Peer reviewed artikel
Wenyin, Liu, Qiu, and Quan Peer reviewed artikel
(2012)
Tabel 9: Vergelijking van de gebruikte bronnen om tot de definitie van phishing te komen
3.2.4 Empirische toets van de definitie van phishing
Uit het empirisch onderzoek blijkt dat de definitie door alle respondenten wordt onderschreven. Peter
Dedecker (2014) vond de definitie vrij abstract maar had geen verdere opmerkingen. Stefaan Van
Hecke (2014) gaf aan dat de definitie vertrekt van een crimineel, maar wat met overheden die phishing
gebruiken voor spionagedoeleinden? Er kan geargumenteerd worden dat de intentie om phishing te
gebruiken duidt op een criminele activiteit in wording. Een overheid die phishing gebruikt voor
spionagedoeleinden pleegt eigenlijk criminele feiten en kan als crimineel beschouwd worden.
3.2.5 Definitie financiële instellingen in Nederland ten opzicht van Belgische overheid
De financiële wereld in Nederland heeft in samenwerking met de NVB14 een definitie van phishing
opgesteld. Dit zorgt ervoor dat iedere betrokken financiële instelling duidelijk weet wat er bedoeld
wordt met phishing. De Belgische overheid heeft geen algemeen aanvaarde definitie van phishing. Dit
is te verklaren door het feit dat er (nog) geen centraal, overkoepelend orgaan bestaat dat
verantwoordelijk is voor het cybersecuritybeleid in België. De intentie om dit orgaan op te richten is
wel aanwezig bij de politici die deelnemen aan de federale regeringsvorming (Dedecker P., 2014).
3.2.6 Hoe gaat een phishingaanval in zijn werk?
Uit het literatuuronderzoek blijkt dat een phishingaanval uit twee grote stappen bestaat: het
voorbereidend werk uitgevoerd door de phisher en de phishingaanval zelf (Jagatic et al., 2007).
In onderstaande Figuur 4 en Figuur 5 betreft het een phishingaanval die gebruik maakt van een e-mail
bericht met daarin de boodschap dat door software problemen de klantengegevens beschadigd zijn.
Het phishingslachtoffer wordt verzocht om de klantgegevens opnieuw aan te maken. In het e-mail
bericht is een link opgenomen naar de vervalste site van de betrouwbare entiteit waar het slachtoffer
klant is. De phisher zal de account gegevens via zijn vervalste website doorgestuurd krijgen en zich
toegang verschaffen, gebruikmakend van de gegevens van het slachtoffer, tot de betrouwbare entiteit
waar het slachtoffer klant is.
Voorbereiding (weergegeven in Figuur 4)
1. De phisher zoekt een doelwit en bepaalt de wijze waarop hij het doelwit zal benaderen. Het
doelwit is meestal een grote heterogene groep.
2. De phisher bepaalt wat hij zal gebruiken om de phishingaanval uit te voeren:
- Keuze van het communicatiemiddel: bijvoorbeeld e-mail;
- Keuze van de data verzamelingsmethode: bijvoorbeeld een vervalste webpagina.
14
Nederlandse Vereniging van Banken
29/110
Resultaten van het onderzoek
Voorbereiding phishing aanval
1 - Welk doelwit zal
ik aanvallen?
Legitieme website
Internet
Hacker / Phisher
E-mail
Beste klant
Wegens een software fout zijn
onze klantgegevens verloren
gegaan.
Gelieve uw account gegevens te
controleren via deze link (naar
vervalste website).
Vervalste website
Hoogachtend, betrouwbare
instantie X
Figuur 4: Voorbereiding voor een phishingaanval
De aanval (weergegeven in Figuur 5)
3. De phisher stuurt een vervalste boodschap naar het slachtoffer, waarbij de boodschap zodanig is
opgebouwd dat het lijkt van de betrouwbare bron te komen, die de hacker heeft gekozen.
4. Het slachtoffer reageert op de boodschap, precies zoals de phisher het wenst en de val klapt dicht:
het slachtoffer zal gevoelige informatie vrijgeven door bijvoorbeeld deze in te geven in de valse
website.
5. De phisher ontvangt de gegevens van het slachtoffer.
6. De phisher heeft de informatie waar het om te doen was en zal met behulp van deze informatie
een vorm van fraude plegen of deze informatie doorverkopen aan andere criminelen die op hun
beurt de informatie misbruiken.
Phishing aanval
Legitieme website
Internet
Hacker / Phisher
E-mail
Vervalste website
Beste klant
Wegens een software fout zijn
onze klantgegevens verloren
gegaan.
Gelieve uw account gegevens te
controleren via deze link (naar
vervalste website).
Hoogachtend, betrouwbare
instantie X
Slachtoffer
Figuur 5: Phishingaanval
30/110
Resultaten van het onderzoek
3.3 L2/E1 - Welke soorten van phishing bestaan er?
In bijna ieder wetenschappelijk artikel over phishing wordt een definitie voor phishing gegeven die
past binnen het onderzoek van het artikel (zie ook paragraaf 3.2.3 ). Zelden wordt er echter een
opdeling gemaakt in soorten phishing. In het artikel van Bergholz et al. (2010) wordt wel een
onderscheid gemaakt tussen twee grotere groepen van phishing met name: ‘deceptive phishing’ en
‘malware-based phishing’. De verschillende soorten van phishing kunnen onder één van beide
categorieën ingedeeld worden. Naast de soorten van phishing bestaan er misleidende technieken die
in beide categorieën gebruikt worden, deze technieken worden als derde categorie opgenomen zoals
weergegeven in Figuur 6. In Figuur 6 is een vierde vorm van phishing aangegeven: op doelgroepen
gerichte phishing. Deze vorm duidt niet op het medium dat gebruikt wordt om de boodschap over te
brengen naar het slachtoffer, maar naar het feit dat het slachtoffer heel zorgvuldig gekozen wordt.
De indeling in Figuur 6 strookt niet helemaal met de werkelijkheid. Phishingaanvallen maken soms
tegelijk gebruik van een e-mail en van een vorm van malware en van een vervalste website, waarbij
ze gericht zijn op een specifieke doelgroep. In een dergelijk geval zou de phishingaanval in de vier
categorieën ondergebracht kunnen worden. De waarde van Figuur 6 ligt in het overzicht dat het biedt
van het fenomeen phishing en de complexiteit van deze cyberbedreiging. Figuur 6 maakt de
verschillende vormen van het begrip phishing tastbaarder, waardoor er gemakkelijker over gepraat
kan worden zoals gebeurd is in bij de interviews van het empirisch onderzoek.
Phishing
3.3.1 Deceptive phishing
3.3.2 Malware-based
phishing
3.3.3 Misleidende
technieken
3.3.4 Op doelgroepen
gerichte phishing
E-mail - spam
Trojans
Vervalste websites
Spear phishing
Instant messaging
Key loggers
URL hiding
Whaling
Telefoon
Screen grabbing
Systeem herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
Sociale media
Man-in-the-middle
Figuur 6: Overzicht van soorten phishing en veel gebruikte misleidende technieken
3.3.1 Deceptive phishing
Er is sprake van ‘deceptive phishing’ wanneer de phisher boodschappen uitstuurt met daarin een list
om het slachtoffer te overtuigen om naar een bepaalde site te gaan om daar gegevens te wijzigen of
in te vullen. In deze categorie wordt er geen gebruik gemaakt van malware om gegevens door te
sturen naar de phisher (Bergholz et al., 2010).
E-MAIL (SPOOFING) – SPAM BASED PHISHING
Phishing met e-mail en spam is een veel voorkomende vorm van phishing. Vaak wordt er gebruik
gemaakt van e-mailspoofing, waarbij gegevens van de afzender vervalst zijn. Het merendeel van de
31/110
Resultaten van het onderzoek
berichten bevat een dringende nota die de gebruiker verzoekt om informatie in te voeren. Deze
informatie is, volgens het bericht, nodig om accountinformatie (Facebook, rekening …) te updaten,
om accountgegevens aan te passen of om accounts te controleren. Soms wordt er gevraagd om een
formulier in te vullen om toegang te krijgen tot een nieuwe dienst via een link, die in de phishingmail
staat (Vishwanath et al., 2011).
INSTANT MESSAGING BASED PHISHING
Bij de Instant messaging methode wordt een bericht via een instant messaging kanaal (bijvoorbeeld:
MSN, IRC, ICQ) naar de gebruiker gestuurd met daarin meestal een link naar een phishingwebsite die
dezelfde look en feel heeft als een legitieme website. Als de gebruiker niet naar de URL kijkt, kan het
moeilijk zijn om het verschil tussen de nep en legitieme website te onderscheiden15. Vervolgens wordt
de gebruiker gevraagd om persoonlijke gegevens in te geven op de webpagina (Bose & Leung, 2007).
TELEFOONPHISHING
Bij telefoonphishing, belt de phisher naar de gebruiker en vraagt hij de gebruiker om een bepaalde
handeling uit te voeren, bijvoorbeeld het doorgeven van een paswoord of het uitzetten van de firewall
op de computer. Het doel is om persoonlijke gegevens of controle over apparatuur van het slachtoffer
te verkrijgen. Telefoonphishing wordt meestal gedaan met een valse beller-ID (Bose & Leung, 2007).
SMISHING
SMiShing maakt gebruik van een SMS bericht om het slachtoffer te lokken (Wall, 2008).
VISHING
Vishing maakt gebruikt van het Voice over Internet Protocol (VOIP) om contact op te nemen met de
slachtoffers en hen in de val te lokken (Baron, 2006).
PHISHING VIA ZOEKMACHINES
Sommige phishingaanvallen gebruiken zoekmachines waarbij de gebruiker verwezen wordt naar
product sites die goedkope producten of diensten aanbieden, als hij iets opzoekt in een zoekmachine
(bijvoorbeeld Google, Bing, Yahoo). Wanneer de gebruiker probeert om het product te kopen en
daarbij credit card gegevens invoert, zal deze data verzameld worden door de phishingsite. Een
voorbeeld van dergelijke product sites zijn nep-bank websites die creditcards of leningen aan
gebruikers tegen een laag tarief aanbieden, maar in wezen zijn het phishingsites (Phishing.org, 2014).
PHISHING VIA SOCIALE MEDIA16
Symantec (2014) geeft aan dat sociale media misbruikt worden om links naar phishingsites op te
posten. Het slachtoffer klikt op deze link en wordt dan naar een site geleid die erop gericht is data te
ontvreemden.
3.3.2 Malware-based phishing
Er is sprake van ‘malware-based phishing’ wanneer kwaadaardige software wordt gebruikt die zich op
de computer van het slachtoffer nestelt en vertrouwelijke data van het phishingslachtoffer doorstuurt
naar de hacker (Bergholz et al., 2010). Onder deze categorie kunnen volgende types van phishing
geplaatst worden:
15
Phishers zijn erg bedreven in het namaken van URLs waarbij bijvoorbeeld een ‘0’ gebruikt wordt in plaats van een ‘O’ of
een ‘1’ in plaats van een ‘I’. Dus zelfs als het slachtoffer naar de URL zou kijken dan zal hij de subtiele verschillen vaak niet
opmerken.
16
Deze vorm van phishing is na het empirisch onderzoek aan het referentiemodel toegevoegd. In de vragenlijsten en de
antwoorden van de respondenten is deze vorm hierdoor niet aanwezig.
32/110
Resultaten van het onderzoek
TROJANS
Trojans zijn programma’s die op de achtergrond draaien en die proberen vertrouwelijke data te
verzamelen over het slachtoffer (credentials) via de lokale machine. De verkregen informatie wordt
vervolgens aan phishers verzonden (Bose & Leung, 2007).
KEY LOGGERS
‘Key loggers’ zijn een vorm van malware die gebruikt wordt om input van het toetsenbord te
identificeren en op te slaan. De input wordt naar de hackers verstuurd die wachtwoorden en andere
soorten informatie uit die input trachten te ontcijferen (Gyorffy, Tappenden, & Miller, 2011).
SCREEN GRABBING
Sommige geavanceerde phishingaanvallen maken screenshots van de gegevens die bijvoorbeeld in
een web-gebaseerde applicatie zijn ingevoerd. Dit soort van malware wordt gebruikt om de beveiliging
te omzeilen van programma’ die voorzien zijn van anti-key loggers (Gunter, 2007).
SESSION HACKING
Bij ‘session hacking’ maakt de phisher gebruik van het websessiecontrolemechanisme17 om informatie
van de gebruiker te stelen. In een eenvoudige ‘session hacking’-aanval die bekend staat als ‘session
sniffing’ kan de phisher een sniffer18 gebruiken om relevante informatie te onderscheppen, zodat hij
of zij zich illegaal toegang tot de webserver kan verschaffen (Mannan & van Oorschot, 2011).
WEB-BASED DELIVERY
Wanneer het slachtoffer op de link in de phishingboodschap klikt, wordt hij naar een website geleid.
Deze website zal bij het openen malware installeren op de computer van het slachtoffer. Zodra het
slachtoffer de computer gebruikt om transacties uit te voeren, zal de malware de gegevens doorsturen
naar de phisher (Bose & Leung, 2007).
WI-PHISHING
Wi-phishing is het installeren van een WiFi-accesspoint om de toestellen van mobiele gebruikers
automatisch te laten connecteren naar dit accesspoint en ondertussen malware te installeren op hun
toestel of om de data van de mobiele apparaten te stelen. Daar er steeds meer gratis WiFiaccesspoints op openbare plaatsen worden voorzien, is het voor phishers eenvoudig om een iets
andere naam van het WiFi netwerk (SSID) te gebruiken om gebruikers te lokken naar hun WiFiaccesspoint (Sinha, Haddad, Nightingale, Rushing, & Thomas, 2006).
3.3.3 Technieken toegepast om het slachtoffer te misleiden
In deze paragraaf wordt een aantal technieken beschreven die veel gebruikt worden in
phishingaanvallen.
Het kat-en-muis spel tussen phishers en cyberbeveiliging heeft ertoe bijgedragen dat de
phishingaanvallen steeds gesofisticeerder worden en dat er steeds nieuwe misleidende technieken
uitgevonden worden. Phishers combineren dan ook steeds meer technieken om hun slachtoffers te
misleiden en de cyberbeveiliging te omzeilen (J. Hong, 2012).
17
Dit mechanisme zorgt ervoor dat bepaalde data die een gebruiker ingeeft in een website, bijvoorbeeld zijn gebruikersnaam
en paswoord, gedurende het bezoek aan de website niet opnieuw dienen ingegeven te worden.
18
Een sniffer (letterlijk een snuffelaar) is software die dataverkeer op een netwerk kan opvangen en analyseren.
33/110
Resultaten van het onderzoek
VERVALSEN VAN WEBSITES
Om hun slachtoffers te misleiden, bouwen phishers websites van legitieme organisaties tot in de
kleinste details na. Wanneer een slachtoffer op de vervalste website terechtkomt kunnen of zijn
gegevens gestolen worden of kan er malware op de computer van de gebruiker geïnstalleerd worden
(Gunter, 2007).
URL HIDING
URL hiding is de techniek waarbij de phisher een link stuurt die lijkt te verwijzen naar een legitieme
website. Wanneer de gebruiker klikt op de correct lijkende link dan opent de website van de phisher
in plaats van de in de link genoemde legitieme website (Bergholz et al., 2010).
SYSTEEM HERCONFIGURATIE
Phishers versturen een bericht waarbij de gebruiker wordt gevraagd om de instellingen van de
computer opnieuw te configureren omdat er zogezegd iets fout is. Wanneer de gebruiker zijn
instellingen aanpast, zal hij het systeem vatbaarder maken voor bepaalde aanvallen (bijvoorbeeld
malware-installaties). Meestal lijkt het bericht verstuurd vanuit het webadres van een betrouwbare
bron, zoals bijvoorbeeld Microsoft (Phishing.org, 2014).
CONTENT INJECTION
‘Content injection’ is een techniek waarbij de phisher een deel van de inhoud op de pagina van een
betrouwbare website verandert. Dit wordt gedaan om de gebruiker naar een pagina buiten de
legitieme website te leiden, waar de gebruiker wordt gevraagd om persoonlijke informatie in te
voeren (Emigh, 2006).
PHARMING
De phisher hackt DNS (Domein Name Servers) servers. DNS servers zijn verantwoordelijk voor het
vertalen van domeinnamen bijvoorbeeld www.openuniversiteit.nl naar IP-adressen19. Wanneer
iemand naar de website van een bepaalde organisatie wenst te surfen, zal deze persoon in de browser
een URL (Uniform Resource Locator) ingeven die gebaseerd is op een DNS-domein, bijvoorbeeld
http://www.openuniversiteit.nl. De browser zal aan de DNS server het IP-adres vragen van de server
waarop deze site staat. De hacker heeft echter in de DNS server een ander IP-adres ingevuld dat
verwijst naar zijn server met een vervalste website. De gebruiker zal nietsvermoedend proberen in te
loggen en de hacker zal op deze manier deze gegevens ontvreemden (Bose & Leung, 2007).
DNS CACHE POISONING
‘DNS cache poisoning’ zorgt ervoor dat de routering van het normale verkeer anders verloopt door
het injecteren van valse IP-adressen voor belangrijke domeinnamen. De phisher kan bijvoorbeeld de
DNS cache van een firewall aanpassen. Al het verkeer dat bestemd is voor een bepaalde URL, stel
http://www.openuniversiteit.nl, zal door de firewall naar het verkeerde IP-adres gestuurd worden
omdat de DNS resolving (het omzetten van een DNS naam uit een URL naar een IP-adres) gebaseerd
is op de foute (geïnjecteerde) DNS cache van de firewall (Gunter, 2007).
MAN-IN-THE-MIDDLE
Bij een man-in-the-middle aanval zal de phisher zich tussen het slachtoffer en de echte web-based
applicatie plaatsen en alle communicatie tussen het slachtoffer en de web applicaties doorgeven en
tegelijkertijd registeren (Bose & Leung, 2007). Een man-in-the-middle aanval kan gebruik maken van
malware, maar dat is niet altijd het geval. Dit type van aanval zou ook onder de categorie van
misleidende technieken kunnen geplaatst worden.
19
Een IP-adres kan beschouwd worden als het unieke adres van een server op het internet.
34/110
Resultaten van het onderzoek
3.3.4 Op specifieke doelgroepen gerichte vormen van phishing
Spear-phishing en whaling zijn twee vormen van phishing die gebruik (kunnen) maken van deceptive
en malware-based phishing en van een aantal misleidende technieken. Beide vormen zijn gericht op
een bepaalde slachtoffer doelgroep.
SPEAR-PHISHING (CONTEXT AWARE PHISHING) (JAGATIC ET AL., 2007)
Spear-phishing duidt niet op het medium dat gebruikt wordt om de boodschap over te brengen naar
het slachtoffer, maar naar het feit dat het slachtoffer heel zorgvuldig gekozen wordt.
Door zoveel mogelijk informatie over het doelwit te verzamelen, zal het misleidend karakter van de
phishingboodschap sterker worden en de slaagkans van de phishingaanval verhogen. Het verzamelen
van deze informatie gebeurt onder andere door:
- Scanning naar kwetsbaarheden bij het doelwit: heel wat mensen zetten persoonlijk informatie
op sociale mediasites: bijvoorbeeld Facebook, Google+, Gmail, OneDrive, Instagram, LinkedIn
… waardoor de phisher op een vrij eenvoudige manier een profiel kan aanmaken van het
doelwit of de doelgroep (Oravec, 2012).
- Het hacken van een klantenbestand, bijvoorbeeld van een online dienstverlener.
De phisher weet nu welke organisatie of website hij dient te gebruiken om het slachtoffer te
misleiden en zal bepalen wat hij best kan gebruiken om het slachtoffer in de val te laten lopen:
- Keuze van het communicatiemiddel: bijvoorbeeld e-mail;
- Keuze van de misleidende data verzamelingsmethode: bijvoorbeeld een webpagina.
Beide keuzes zullen afgestemd zijn op het profiel van het slachtoffer.
WHALING
Naar analogie van spear-phishing refereert de naam Whaling niet naar het medium dat de boodschap
overbrengt, maar naar het doelwit van de phishingaanval. Whaling kan beschouwd worden als een
speciale vorm van spear-phishing. De term Whaling binnen phishing is vrij nieuw en is afgeleid van het
gebruik van 'Whales' binnen het gokmilieu waar de term verwijst naar gokkers die voor zeer veel geld
spelen. De term verwijst ook naar grote vissen (hoewel walvissen zoogdieren zijn). Whaling beschrijft
de meest gerichte vorm van phishing, gericht naar bedrijven of de overheid, waarbij groepen van highlevel executives (zoals de CTO of CFO) als doelwit genomen worden. In het geval van een
whalingaanval, richt de phisher zich tot een kleine groep hoger personeel binnen een organisatie en
probeert hen te bestelen. Door zich te focussen op deze kleine groep, kan de phisher meer tijd
investeren in de aanval en zijn boodschap verfijnen om de hoogste kans op succes te bereiken (Gunter,
2007).
3.3.5 Vergelijking van de soorten van phishing aangehaald in het onderzoek van Dreijer
(2012) en de soorten aangehaald in dit onderzoek.
Figuur 7 geeft een vergelijkend overzicht van de soorten van phishing besproken in het onderzoek van
Dreijer (2012) in vergelijking met dit onderzoek. De blauwe ballonnen geven de soorten en
categorieën aan die in beide onderzoeken aanwezig zijn. De categorie deceptive phishing komt
grotendeels overeen. Er zijn twee verschillen. Spear-phishing wordt door Dreijer (2012) als een vorm
van deceptive phishing opgenomen, terwijl bij dit soort van aanvallen ook malware kan gebruikt
worden. Wi-phishing wordt ook in deze categorie ingedeeld, terwijl het thuishoort, volgens de
catalogisering van dit onderzoek, in de categorie malware-based phishing. De categorie malwarebased phishing wordt door Dreijer (2012) benoemd als ‘Gerelateerde vormen van online fraude’. In
deze categorie wordt een aantal vormen van phishing niet besproken: screen grabbing en web-based
delivery. Het fenomeen ‘whaling’ komt ook niet voor in het onderzoek van Dreijer (2012). De categorie
misleidende technieken wordt niet gebruikt in het onderzoek van Dreijer (2012). De
35/110
Resultaten van het onderzoek
gemeenschappelijke technieken worden door Dreijer (2012) beschouwd als ‘Gerelateerde vormen van
online fraude’. Binnen deze categorie worden vervalste websites, URL hiding en DNS cache poisoning
door Dreijer (2012) niet beschreven.
Deceptive phishing
Malware-based phishing
Misleidende technieken
Op doelgroepen gerichte
phishing
E-mail - spam
Trojans
Vervalste websites
Spear phishing
Instant messaging
Key loggers
URL hiding
Whaling
Telefoon
Screen grabbing
Systeem herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
Sociale media
Man-in-the-middle
Figuur 7: De soorten van phishing en misleidende technieken die zowel in dit onderzoek van het onderzoek van Dreijer
voorkomen zijn aangeduid in het blauw
3.3.6 Soorten van phishing die voorkomen bij de Belgische overheid
Alle respondenten geven in het empirisch onderzoek aan dat de Belgische overheid getroffen wordt
door phishingaanvallen. In Tabel 10 staan de soorten phishing weergegeven die voorkomen bij de
Belgische overheid. Deze informatie is verkregen uit het interview met de ex-consultant van een
Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014) en met Peter Dedecker (2014). Er zijn geen
bijkomende vormen van phishing aangegeven. Daar geen enkele cyberbeveiligingsinstelling in België
rechtstreeks heeft deelgenomen (zie ook paragraaf 2.4.4) aan het onderzoek dient Tabel 10 met de
nodige scepsis bekeken te worden. De kans is reëel dat de Belgische overheid nog met andere vormen
van phishing geconfronteerd wordt, dan degene die zijn aangeduid in Tabel 10.
Soorten deceptive phishing
Soorten malware-based phishing
Op doelgroepen gerichte phishing
E-mailphishing
X Phishing m.b.v. Trojans
X Spear-phishing / whaling
Instant messaging phishing
Key loggers
Telefoonphishing
X Screen grabbing
SMiShing
Session hacking
Vishing
Web-based delivery phishing
X
Zoekmachines
Wi-Phishing
X
Tabel 10: Overzicht van de soorten phishing bij de Belgische (Vlaamse) overheid
X
MISLEIDENDE TECHNIEKEN
Tabel 11 geeft het overzicht weer van de misleidende technieken waarmee de Belgische overheid
geconfronteerd wordt. Deze informatie is verkregen uit het interview met de ex-consultant van een
Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014) en met Peter Dedecker (2014). Er zijn geen
bijkomende vormen van misleidende technieken aangegeven. Daar geen enkele
cyberbeveiligingsinstelling in België rechtstreeks heeft deelgenomen (zie ook paragraaf 2.4.4) aan het
onderzoek dient Tabel 11 met de nodige scepsis bekeken te worden. De kans is reëel dat de Belgische
overheid nog met andere vormen van misleidende technieken geconfronteerd wordt, dan degene die
zijn aangeduid in Tabel 11.
36/110
Resultaten van het onderzoek
Misleidende technieken
Vervalste websites
URL hiding
Systeem herconfiguratie
Content injection
Pharming
DNS cache poisoning
Man-in-the-middle
Tabel 11: Overzicht van de voorkomende misleidende technieken bij de Belgische (Vlaamse) overheid
X
X
X
X
TRENDS IN PHISHING TEGEN DE OVERHEID
E-mailphishing is het meest gebruikte kanaal en blijft dit doorheen de verschillende jaren, dit in
combinatie met URL hiding technieken, die eenvoudig maar doeltreffend zijn om gebruikers te
misleiden (Anoniem, 2014).
3.3.7 Soorten phishing bij financiële instellingen in Nederland versus Belgische overheid
Beide sectoren worden door dezelfde vormen van phishing getroffen: e-mailphishing, spear-phishing,
telefoonphishing en malware-based phishing. Bij de Belgische overheid is er geen gewag gemaakt van
multichannel phishing, waarbij meerdere vormen van phishing gebruikt worden om de slachtoffers in
de val te lokken. Eén Nederlands financiële instelling gaf aan hier meer en meer last van te
ondervinden (Dreijer, 2012).
37/110
Resultaten van het onderzoek
3.4 L3/E2 - Hoe vaak komt phishing voor?
Moore, Clayton, and Anderson (2009) stelden vast dat het niet eenvoudig is om juiste cijfers te
bekomen over online criminaliteit. Het probleem is dat veel cijfermateriaal over online misdrijven
verzameld worden door organisaties die baat hebben bij het rapporteren van erg hoge of erg lage
cijfers. Anti-phishingorganisaties hebben de neiging om de cijfers hoog in te schatten omdat dit hun
bestaansreden onderstreept en omdat potentiële klanten sneller geneigd zullen zijn antiphishingdiensten af te nemen.
De overheid daarentegen geeft liever lage cijfers weer omdat dit hun anti-phishingbeleid niet in vraag
stelt. In het Verenigd Koninkrijk is men zelfs zover gegaan dat online fraude gevallen niet meer aan de
politie dienden gemeld te worden maar aan de betrokken bank. Door deze wijziging in de regels
daalden de cijfers van cybercriminaliteit spectaculair (Moore et al., 2009).
De vraag: “Hoe vaak komt phishing voor?” wordt grotendeels beantwoord met behulp van secundaire
gegevens. Wetenschappelijke artikelen gebruiken vaak de gegevens van de Anti-Phishing Working
Group (APWG) of van een aantal particuliere beveiligingsfirma’s, zoals RSA (Khonji et al., 2013) en
Symantec (Ramzan, 2010). De cijfers die hier gebruikt zijn om een beeld te schetsen hoe vaak het
fenomeen phishing voorkomt, zijn ingewonnen bij de APWG en de cybersecurityfirma Symantec. Het
schaarse cijfermateriaal van phishing bij de Belgische overheid is ook in deze paragraaf weergegeven.
3.4.1 Cijfers van de APWG (niet-wetenschappelijke bron)
De Anti-Phishing Working Group is een internationaal initiatief dat gestart is in 200320. De APWG is
een wereldwijde coalitie die een globaal antwoord wil bieden tegen sectoroverschrijdende
cybercriminaliteit. Deze organisatie opereert vanuit de Verenigde Staten, maar heeft sinds 2013 ook
een vestiging in de Europese Unie gevestigd in Barcelona. De APWG organiseert symposia over
cybercriminaliteit, zij doet onderzoek naar trends en frequentie van cybercriminaliteit en zij publiceert
rapporten over cybercriminaliteit (Anti-Phishing Work Group Inc, 2014). Daarnaast worden de
gegevens die de APWG verzamelt ook doorgegeven naar browserontwikkelaars en
cybersecurityfirma’s zodat zij maatregelen tegen phishing kunnen inbouwen in hun software; zoals
bijvoorbeeld blacklists van phishingsites. Het APWG geeft geen verklaringen voor stijgingen of
dalingen in het aantal meldingen van phishing.
CIJFERS OVER PHISHING VOOR ALLE SECTOREN.
Figuur 8 geeft een overzicht van het aantal meldingen per maand van phishing wereldwijd die
gerapporteerd zijn aan de APWG in de periode oktober 2004 tot december 2013. Uit deze figuur kan
afgeleid worden dat het aantal phishingmeldingen een duidelijk stijgende trend heeft over deze
periode.
20 Leden van de
APWG zijn onder meer ICANN; de EU, the Council of Europe's Convention on Cybercrime, the United Nations
Office of Drugs and Crime, the Organization for Security and Cooperation in Europe and the Organization of American States,
Symantec, BitDefender, VISA, Mastercard, American Bankers Association … (Anti-Phishing Work Group Inc, 2014).
38/110
Resultaten van het onderzoek
60000
50000
40000
30000
20000
10000
10/2013
06/2013
02/2013
10/2012
06/2012
02/2012
10/2011
06/2011
02/2011
10/2010
06/2010
02/2010
10/2009
06/2009
02/2009
10/2008
06/2008
02/2008
10/2007
06/2007
02/2007
10/2006
06/2006
02/2006
10/2005
06/2005
02/2005
10/2004
0
Figuur 8: Aantal phishingmeldingen gerapporteerd aan de APWG over de periode oktober 2004 - december 2013 wereldwijd,
met een trendlijn aangegeven door een stippellijn (APWG, 2014)
MEEST GETROFFEN SECTOR
De APWG geeft in haar rapporten ook aan welke sector het meest beoogde doelwit is van
phishingaanvallen. In de rapporten van voor het jaar 2010 was er enkel sprake van de sector ‘Financial
services’. Vanaf het jaar 2010 wordt deze sector opgedeeld in de sectoren ‘Financial services’ en
‘Payment services’. In Figuur 9 zijn de sectoren ‘Financial services’ en ‘Payment services’ voor de
periode na 2010 samengeteld om een trend te kunnen aangeven over de periode vanaf augustus 2004
tot december 2013.
Sinds de metingen gestart zijn in augustus 2004, is de sector ‘Financial services’ onafgebroken het
belangrijkste doelwit van phishers. Figuur 9 geeft een overzicht van het aandeel van de sector
‘Financial services’ (uitgedrukt in percentages) in de totaal van de getroffen sectoren.
Figuur 9 geeft aan dat vanaf augustus 2004 tot en met juni 2009 meer dan 90% van de
phishingmeldingen afkomstig waren van de sector ‘Financial services’. Vanaf juli 2009 is er een daling
merkbaar die uitmondt in het laagste aandeel in het eerste kwartaal van 2012, minder dan 60%. In
deze periode is het aandeel van de sectoren ‘Retail services’ (13,6%), ‘Social Networking’ (6%) en de
sector ‘Others’(7.1%) uitzonderlijk hoog. Het aandeel van de sector ‘Financial services’ stijgt dan terug
geleidelijk tot meer dan 80% in het laatste kwartaal van 2013. Het aandeel van de sector overheid is
beduidend kleiner en wordt weergegeven in Figuur 11.
12/2013
08/2013
04/2013
12/2012
08/2012
04/2012
12/2011
08/2011
04/2011
12/2010
08/2010
04/2010
12/2009
08/2009
04/2009
12/2008
08/2008
04/2008
12/2007
08/2007
04/2007
12/2006
08/2006
04/2006
12/2005
08/2005
04/2005
12/2004
08/2004
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
Figuur 9: Overzicht van het aandeel phishingsites die gericht waren tegen de sector ‘Financial services’ tijdens de periode
oktober 2004 - december 2013 (APWG, 2014)
39/110
Resultaten van het onderzoek
LAND WAAR DE MEESTE PHISHINGSITES GEHOST WORDEN
De APWG geeft ook aan welk land iedere maand het meeste aantal phishingsites herbergt. De periode
vanaf augustus 2004 tot en met december 2013 bestaat uit 113 maanden. De Verenigde Staten zijn
106 keren het land met de meeste phishingsites. Zweden komt op de tweede plaats met 5 keren,
gevolgd door China en Turkije met 1 keer.
VS
Sweden
China
Turkey
Figuur 10: Overzicht van het aandeel van landen die gedurende de periode augustus 2004 – december 2013 voor een bepaalde
maand het hoogste aantal phishingsites hosten (APWG, 2014)
OVERHEIDSSECTOR
De informatisering van de maatschappij heeft ertoe bijgedragen dat steeds meer diensten
aangeboden worden via het internet. Naast financiële transacties worden ook meer en meer diensten
van de overheid via het internet ontsloten (Khonji et al., 2013). Oh and Obi (2012) maken zich zorgen
dat samen met de groei van de e-government, het aantal phishingaanvallen met valse
overheidsgegevens toeneemt, maar ze geven geen cijfers.
In de rapporten van de APWG wordt de overheidssector (wereldwijd) tot april 2007 niet apart
benoemd, maar maakt deze deel uit van de sector ‘Others’. Vanaf april 2007 wordt de sector ‘Others’
herdoopt tot ‘Government and Miscellaneous’. De cijfers die onder de sectoren ‘Others’ en
‘Government and Miscellaneous’ vallen, zijn niet mee opgenomen in Figuur 11 omdat het aandeel van
de sector overheid niet af te leiden is. Het is pas vanaf april 2010 dat de overheid als een apart sector
in de rapporten van de APWG opgenomen wordt.
12/2013
10/2013
08/2013
06/2013
04/2013
02/2013
12/2012
10/2012
08/2012
06/2012
0,0%
04/2012
0
02/2012
0,5%
12/2011
200
10/2011
1,0%
08/2011
400
06/2011
1,5%
04/2011
600
02/2011
2,0%
12/2010
800
10/2010
2,5%
08/2010
1000
06/2010
3,0%
04/2010
1200
Figuur 11: In het grijs het aantal phishingmeldingen gerapporteerd aan de APWG over de periode april 2010 - december 2013,
specifiek gericht tegen de overheid (linker Y-as), met de trendlijn in stippellijn. In het blauw het aandeel van phishingaanvallen
gericht tegen de sector overheid uitgedrukt als een percentage van het totaal aantal aanvallen
Figuur 12 toont het totale aantal meldingen van phishing bij de APWG op de linker Y-as en het aantal
meldingen van phishing tegen de overheid op de rechter Y-as. De trendlijnen van beide curves geven
aan dat gemiddeld genomen het aantal meldingen van phishingaanvallen tegen de overheid even snel
40/110
Resultaten van het onderzoek
toeneemt als het totaal aantal meldingen van phishingaanvallen. De rode curve (totaal aantal
meldingen) heeft een minder grillig verloop dan de grijze curve (meldingen van phishing tegen
overheid) wat erop wijst dat de overheid als doelwit op bepaalde ogenblikken aantrekkelijker is voor
phishers dan op andere ogenblikken. Het totaal aantal meldingen is stabieler en kent minder grote
schommelingen.
60000
1200
50000
1000
40000
800
30000
600
20000
400
10000
200
12/2013
10/2013
08/2013
06/2013
04/2013
02/2013
12/2012
10/2012
08/2012
06/2012
04/2012
02/2012
12/2011
10/2011
08/2011
06/2011
04/2011
02/2011
12/2010
10/2010
08/2010
06/2010
0
04/2010
0
Figuur 12: In het rood (linker Y-as) het totale aantal gemelde phishingaanvallen tijdens de periode april 2010 - december 2013
met de trendlijn in stippellijn. In het grijs (rechter Y-as) het aantal unieke phishingaanvallen gericht tegen de overheid,
gerapporteerd aan de APWG voor dezelfde periode met de trendlijn in stippellijn (APWG, 2014)
3.4.2 Cijfers van Symantec (niet-wetenschappelijke bron)
Symantec is een onderneming gespecialiseerd in cyberbeveiliging. Jaarlijks brengt zij een rapport uit
dat de trends van cybermisdaden van het voorbije jaar weergeeft. Dit rapport is gebaseerd op het
Global Intelligence Network van Symantec waarbij zij gebruik maken van 41,5 miljoen aanval sensoren
die opgesteld staan in meer dan 157 landen. Symantec maakt ook gebruik van meer dan 5 miljoen
lokaccounts om trends in spam, phishing en malware te kunnen registeren (Symantec, 2014).
PHISHING
Symantec (2014) geeft aan dat phishing meer en meer weg aan het evolueren is van het gebruik van
een op e-mail gebaseerde phishingboodschap naar een op een sociaal medium geplaatste boodschap.
Niettegenstaande deze tendens blijkt dat de gemiddelde phishing ratio21 per maand gestegen is van 1
/ 414,3 in 2012 naar 1 / 392,4 in 2013 (Figuur 13).
21
De phishing ratio drukt uit per hoeveel mails er minimaal één phishing mail zit.
41/110
Resultaten van het onderzoek
Figuur 13: De evolutie van de phishing ratio tussen 2012 – 2013 (Symantec, 2014)
SPEAR-PHISHING
Symantec (2014) wijdt in het rapport uit over de evolutie die merkbaar is in het spear-phishing. Spearphishing wordt meer en meer door hackers op een andere manier toegepast. Het aantal e-mails,
gebruikt in een spear-phishing campagne, is gedaald, net als het aantal doelwitten, maar het aantal
spear-phishing campagnes is gestegen met 91%. Het aantal gedetecteerde spear-phishingmails per
dag is gedaald van 116 in 2012 naar 83 in 2013, een vermindering met 28% (Figuur 14). Het gemiddeld
aantal doelwitten per campagne was in 2011 61, in 2012 111 en in 2013 23. De gemiddelde duur van
een spear-phishing campagne in 2013 is verdrievoudigd ten opzichte van 2012 tot gemiddeld 8 dagen
per campagne. Er wordt gesproken over een ‘low and slow’ aanpak die erop gericht is de slachtoffers
niet te snel te alarmeren door teveel boodschappen op een te korte tijd te sturen. Cybercriminelen
misbruiken ook steeds meer ‘zero-day’-aanvallen22. Deze aanvallen hebben de voorkeur op social
engineering omdat de hacker niet meer afhankelijk is van de medewerking van het slachtoffer om
diens computer te besmetten. De zero-day-aanval wordt dan gecombineerd met een ‘watering-hole’aanval23. Op die manier vermijden de hackers dat anti-phishingtechnologie hun aanvallen
tegenhouden.
22
Een zero-day-aanval is een aanval die misbruik maakt van een voorheen niet gekende kwetsbaarheid in een computer
applicatie of een computer systeem. De naam zero-day duidt op het feit dat de ontwikkelaars, verantwoordelijk voor de
computer applicatie of het computer systeem, nog geen tijd gehad hebben om de kwetsbaarheid op te lossen (Jason Hong,
2013).
23
Een 'watering-hole'-aanval is een vorm van gerichte aanval tegen een regio, een groep of een organisatie. Deze aanval is
opgebouwd uit drie fasen. In de eerste fase worden de gewoontes van het doelwit geobserveerd. Het doel is om een
gemeenschappelijke locatie (in brede zin van het woord) te vinden die één of meer leden van het doelwit
frequenteren. Deze locatie wordt omschreven als de 'watering-hole'. In stap twee wordt er malware ingebouwd in de
'watering-hole'-systemen of 'watering-hole'-locaties. De derde stap bestaat uit het wachten op leden van het doelwit tot zij
zich naar de met malware vergiftigde 'watering-hole' begeven en vervolgens met de malware geïnfecteerd worden.
De naam van deze vorm van cybercriminaliteit is afgeleid van het concept om dierenpopulaties uit te roeien door hun
primaire waterbron te vergiftigen (Stewart, 2014).
42/110
Resultaten van het onderzoek
Figuur 14: Gemiddeld aantal spear-phishingaanvallen per dag in de periode 2011 – 2013 (Symantec, 2014)
OVERHEID
Symantec (2014) heeft vastgesteld dat de overheid in 16% van de gevallen het doelwit van spearphishingaanvallen was in 2013, daar waar dit in 2012 maar in 12% van de gevallen zo was.
3.4.3 Aantal phishingmeldingen tegen de Belgische overheid
Zoals reeds aangegeven in paragraaf 2.4.3 is de antwoordbereidheid van de Belgische
overheidsinstellingen zeer laag. Daarnaast worden er bijna geen cijfers vrijgegeven over
cyberincidenten in het algemeen en phishing in het bijzonder. De antwoorden op de parlementaire
vragen (zie bijlage I) over de beschikbaarheid van cijfermateriaal zijn een illustratie van het probleem.
Het CERT publiceert cijfers, maar deze zijn vrij algemeen en het is niet zeker dat alle cyberincidenten
in België daarin vervat zitten. De federale politie geeft in haar jaarverslag een idee van het aantal
dossiers die opgesteld en vervolgd worden met betrekking tot computercriminaliteit.
PARLEMENTAIRE VRAGEN
Nele Lijnen heeft in een reeks parlementaire vragen de volgende vraag gesteld aan de bevoegde
ministers en staatssecretarissen: “Beschikt u over cijfermateriaal met betrekking tot cyberaanvallen
of problemen door virussen, spyware, hackers, enzovoort die gericht zijn tegen uw diensten? Indien
niet, waarom worden hierover geen cijfers verzameld?” (Lijnen N., 2013a). De antwoorden op deze
vraag zijn weergegeven in Tabel 18 in bijlage I. Van de 39 afdelingen beschikken er 25 over
cijfermateriaal over cyberincidenten (in de eigen afdeling of via een externe dienst). Daarnaast zijn er
nog 9 afdelingen die aangeven dat zij gedeeltelijk over cijfers beschikken, meestal in de vorm van logbestanden. Slechts 7 afdelingen geven cijfers vrij, maar deze zijn vaag omschreven en meestal gaat
het enkel over virusdetecties. Er kan gesteld worden dat op basis van de cijfers die de verschillende
overheidsdiensten hebben, geen duidelijk, gecoördineerd beleid uitgebouwd kan worden. Niet iedere
afdeling verzamelt cijfers en de cijfers die beschikbaar zijn, zijn zo eigen aan iedere afdeling dat ze niet
samengebracht kunnen worden om een beeld te krijgen van de situatie over alle overheidsdiensten
heen.
In een andere parlementaire vraag van Nele Lijnen (Lijnen N., 2014) met nummer 5-9393 wordt
aangegeven dat de Stafdienst ICT van de Federale Overheidsdienst Justitie over een absoluut
minimum aan personeel beschikt op operationeel, tactisch en beleidsmatig niveau. Er is enkel een
intern meldpunt opgericht om cyberincidenten te melden. Dit interne meldpunt blijkt in de periode
december 2012 – januari 2014 duizend meldingen van phishingmails te hebben ontvangen.
43/110
Resultaten van het onderzoek
Wanneer politica Nele Lijnen (Lijnen N., 2013c) vraagt naar cijfermateriaal over het aantal meldingen
van phishing in het incident bij de Rijksdienst voor Kinderbijslag voor Werknemers (zie paragraaf
3.5.3), wordt deze vraag met een ‘kastje naar de muur’ antwoord afgewimpeld. Er wordt verwezen
naar het FedICT en daarmee is de kous af.
CERT
CERT.be publiceert sinds 2010 een overzicht van het aantal meldingen van cybercriminaliteit die zij
ontvangen en de daarmee verbonden incidenten. In dit rapport worden enkel de meldingen door
personen opgenomen. Er wordt geen onderscheid gemaakt tussen de verschillenden sectoren die
getroffen zijn. Er wordt evenmin een onderscheid gemaakt tussen verschillende soorten van phishing.
Tabel 12 en Figuur 15 geven de cijfers weer van het CERT (2014) voor de periode 2010 - 2013. Het
aantal meldingen van cybercriminaliteit aan het CERT blijft stijgen met meer dan een verdrievoudiging
van 2010 tot 2013. Dezelfde trend is merkbaar bij het aantal incidenten over dezelfde periode. Het
aandeel phishing van de incidenten is van 2010 tot 2013 bijna verdubbeld. In dezelfde periode is het
aantal phishingincidenten meer dan vervijfvoudigd. Een mogelijke verklaring voor deze dramatische
stijgingen is het feit dat mensen in België meer op de hoogte zijn van cybercriminaliteit en daardoor
meer meldingen doen. Een andere verklaring zou kunnen zijn dat het aantal cyberincidenten gewoon
jaar na jaar toeneemt in België. Een derde verklaring zou kunnen zijn dat het aantal diensten die
aangeboden worden via het internet toegenomen is en dat daardoor meer mensen blootgesteld
worden aan phishing en dit dan melden.
Jaartal
2010
2011
2012
2013
Aantal meldingen
2135
2609
3866
6678
Aantal incidenten
1389
1494
1981
4070
Aantal phishingincidenten
111
220
337
692
Percentage phishingincidenten
8,0
14,7
17,0
14,0
Tabel 12: Overzicht van het aantal meldingen, incidenten en het aandeel phishing in de incidenten (CERT.be, 2014)
4500
18,0
4000
16,0
3500
14,0
3000
12,0
2500
10,0
2000
8,0
1500
6,0
1000
4,0
500
2,0
0
2010
Aantal incidenten
2011
Aantal phishing incidenten
2012
2013
Percentage phishing incidenten
Figuur 15: In het rood (linker Y-as) het totale aantal cyberincidenten in België tijdens de periode 2010 – 2013. In het blauw
(linker Y-as) het aantal phishingincidenten in België tijdens de periode 2010 – 2013. In het grijs (rechter Y-as) het percentage
phishingincidenten van het totale aantal cyberincidenten over de periode 2010 – 2013 (CERT.be, 2014)
44/110
Resultaten van het onderzoek
FEDERALE POLITIE
Het jaarverslag van de Federale politie over computer criminaliteit geeft een beeld over de vervolging
van computer criminaliteit in zijn geheel (zie Tabel 13). Computer criminaliteit wordt in het jaarverslag
omschreven als: “De aanslagen op de veiligheid van een informaticasysteem of de integriteit van de
in een informaticasysteem opgeslagen gegevens”. Phishing wordt niet apart benoemd.
2012
Aantal nieuw opgestarte onderzoeken
241
Aantal lopende onderzoeken
154
Aantal afgesloten onderzoeken
74
Aantal geïdentificeerde dadergroepen
7
Aantal aanhoudingen
15
Tabel 13: Cijfers over computer criminaliteit uit het jaarverslag van de federale politie (2013)
2013
239
268
69
0
37
Als de cijfers van het CERT vergeleken worden met de cijfers uit het jaarverslag van de federale politie
dan blijkt dat de verhouding tussen het aantal incidenten en het aantal nieuw opgestarte onderzoeken
ongeveer een factor 10 is. Dit kan vermoedelijk verklaard worden door het feit dat de federale politie
voornamelijk Belgisch gerelateerde cybermisdaden zal vervolgen, daar waar het CERT ook meldingen
ontvangt van internationale cybermisdaden.
3.4.4 Aantal phishingmeldingen en misleidende technieken per soort bij de Belgische
overheid
De overheidsinstellingen die over deze informatie beschikken hebben niet gereageerd op het verzoek
tot deelname aan het onderzoek. Daarnaast worden er nagenoeg geen cijfers publiek gepubliceerd
door deze instellingen. De geïnterviewde politici geven aan dat ook zij niet over deze informatie
beschikken, ondanks het herhaaldelijk indienen van parlementaire vragen om deze cijfers te bekomen.
Er kunnen dus geen cijfers gegeven worden over het aantal phishingincidenten per soort.
3.4.5 Trend in het aantal phishingmeldingen bij de Belgische overheid
Uit de cijfers van het CERT blijkt dat er een stijgende trend is in het aantal phishingincidenten. Er zijn
geen cijfers publiek beschikbaar over de trend van het aantal phishinggevallen bij de overheid. Eén
respondent geeft aan dat de trend binnen zijn instelling stijgend is (Anoniem, 2014).
Een andere trend is de professionalisering van de criminelen. Vroeger werden de slachtoffers in
gebrekkig Engels gebeld of gemaild, maar de huidige phishingmails zijn in keurig Nederlands en
slachtoffers worden in vrij goed Nederlands te woord gestaan door phishers (Lijnen N & Bynens L,
2014).
3.4.6 Wijze van registratie van phishingmeldingen bij de Belgische overheid
HUIDIGE SITUATIE
Er blijken twee systemen van registratie toegepast te worden. Het eerste systeem is het registeren
van cyberincidenten via de interne helpdesk (Anoniem, 2014), (Lijnen N., 2013a). Een tweede systeem
steunt op een centrale meldplaats, dat de verschillende administraties overstijgt.
In een vergelijkende studie over de maatregelen die genomen worden door de verschillende landen
van de EU tegen identity theft en gerelateerde misdrijven blijkt dat België een centraal meldpunt
heeft:
The eCops reporting site (www.ecops.be) acts as a single contact point, through which any
Internet-based crime incidents can be reported using standardised forms. Reports
submitted via the site are automatically transferred to the Federal Computer Crime Unit
(FCCU). The eCops site is primary aimed at allowing citizens to report Internet crime that they
45/110
Resultaten van het onderzoek
have observed but of which they were not the victims. Victims of identity theft and related
crimes are recommended to contact their local police office directly. (Robinson N, Graux H,
Parrilli DM, Klautzer L, & Valeri L, 2011)
Sommige overheidsadministraties gebruiken deze centrale meldplaats. Het ministerie van Financiën
stelt in haar antwoord op parlementaire vraag 5-9909 (Lijnen N., 2014): “In enkele gevallen, en in het
bijzonder in het geval van phishing, werd contact opgenomen met de federale politie om het
waargenomen feit te signaleren. Deze contacten vinden plaats op diverse manieren: via de website
www.ecops.be of via direct contact met de agenten van de FCCU.”
Het grote probleem is dat er geen verplichting bestaat in België om cyberincidenten aan een centraal
orgaan te melden. Dit maakt het nagenoeg onmogelijk om alle cyberincidenten en dus ook
phishingincidenten te registreren (Dedecker P., 2014), (Van Hecke S., 2014). Een voorbeeld hiervan
blijkt uit het antwoord op parlementaire vraag nummer 5-10266 (Lijnen N., 2013c) over het
phishingincident bij de Rijksdienst voor Kinderbijslag voor Werknemers (zie paragraaf 3.5.3). Het
persbericht, dat verstuurd is om de mensen te waarschuwen, vermeldde niets over het verwittigen
van CERT, de politie of betrokken veiligheidsdiensten bij het ontvangen van phishingmails vanuit de
Rijksdienst voor Kinderbijslag voor Werknemers.
VERBETERINGEN NAAR DE TOEKOMST TOE
CD&V is voorstander om de meldplicht van veiligheidsincidenten uit te breiden naar alle sectoren en
het toezicht hierop te verstrengen. Wanneer iemands privacy te grabbel is gegooid, heeft hij of zij het
recht geïnformeerd te worden zodanig dat hij of zij maatregelen kan nemen. Ondernemingen wensen
geïnformeerd te worden om hun knowhow te beschermen (Desey R & Scharpé W, 2014). CD&V haalt
aan dat een algemene meldplicht van datalekken reeds in voege is in Duitsland (2009), Oostenrijk
(2010), Canada, Australia en in bijna alle staten in de VS. In het wetsvoorstel (Becq S, Lanjri N, Van Den
Bergh J, & Van der Auwera L, 2011) wordt voorgesteld om de meldingsplicht via de Commissie voor
de Bescherming Van de Persoonlijke Levenssfeer te regelen:
Artikel 14: Wanneer gevoelige persoonsgegevens met betrekking tot gezondheid, politieke
voorkeur, seksueel leven, religie, vervolgingen of veroordelingen alsook authentificatiegegevens
(sic) (paswoorden) en gegevens die vallen onder beroepsgeheim gestolen worden en er ernstige
schade dreigt voor de betrokkenen, dient de CBPL alsook de betrokkene onverwijld ingelicht te
worden .
Peter Dedecker geeft ook aan dat er op Europees niveau stemmen opgaan om de meldingsplicht
algemeen voor heel de EU in te stellen (2014).
46/110
Resultaten van het onderzoek
3.5 L4/E3 - Wat zijn de gevolgen van phishing?
Moore, Clayton, and Anderson (2009) stelden vast dat het niet eenvoudig is om juiste cijfers te
bekomen over online criminaliteit. Het probleem is dat veel cijfermateriaal over online misdrijven
verzameld worden door organisaties die baat hebben bij het rapporteren van erg hoge of erg lage
cijfers. Anti-phishingorganisaties hebben de neiging om de cijfers hoog in te schatten omdat dit hun
bestaansreden onderstreept en omdat potentiële klanten sneller geneigd zullen zijn antiphishingdiensten af te nemen. De overheid daarentegen geeft liever lage cijfers weer omdat dit hun
anti-phishingbeleid niet in vraag stelt. In het Verenigd Koninkrijk is men zelfs zover gegaan dat online
fraude gevallen niet meer aan de politie dienden gemeld te worden maar aan de betrokken bank.
Door deze wijziging in de regels daalden de cijfers van cybercriminaliteit spectaculair (Moore et al.,
2009).
In onderstaande paragrafen worden de gevolgen van phishing uitgedrukt in cijfers en in vormen van
schade.
3.5.1 Gevolgen in cijfers
IDENTITEITSDIEFSTAL (IDENTITY THEFT)
In 2011 werden 232 miljoen identiteiten wereldwijd gestolen door cybercriminelen. Dit cijfer loopt op
tot meer dan 552 miljoen in 2013. Deze cijfers slaan op alle vormen van cybermisdaad waarbij phishing
slechts een onderdeel vormt van het geheel. Met een identiteit worden volgende dingen bedoeld:
kredietkaartinformatie, geboortedata, eID gegevens, thuisadressen, medische gegevens,
telefoonnummers, financiële informatie, e-mail adressen, paswoorden … (Symantec, 2014).
FINANCIËLE VERLIEZEN
De financiële schade veroorzaakt door phishing in de Verenigde Staten bedroeg 483 miljoen dollar in
2009 (CustomerReport.org, 2009). De impact van phishing op de globale economie in 2012 wordt
geschat op een kost van meer dan 1,5 miljard dollar (EMC - RSA, 2013). Dit bedrag stijgt tot meer dan
5,9 miljard dollar in 2013 (EMC - RSA Corporation, 2014).
3.5.2 Schade
PERSOONLIJKE SCHADE - IDENTITEITSDIEFSTAL
Tijdverlies en een verhoogd stressniveau behoren tot de onmiddellijke persoonlijke schade als gevolg
van phishing. Op lange termijn zal de persoonlijke schade zich manifesteren onder de vorm van een
verminderd vertrouwen in het gebruik van het internet om online bankzaken te doen, om te shoppen
of om gebruik te maken van andere vormen van e-commerce. Het verlies van vertrouwelijke
persoonlijke informatie kan grote gevolgen hebben in de toekomst, zoals een negatieve impact op
bankrekeningen (verlies van geld) en het misbruiken van de identiteit (Mayhorn & Nyeste, 2012).
REPUTATIESCHADE
Reputatieschade is een gevolg van phishing voor de onderneming wiens naam misbruikt wordt in de
phishingboodschap. De onderneming kan geconfronteerd worden met niet-technisch onderlegde
klanten die ervan uit gaan dat het niet hun schuld maar de schuld van de onderneming is en die
daarvoor een compensatie eisen. Dit zal de relatie tussen de klant en de onderneming onder druk
zetten. Klanten zullen ook een minder veilig gevoel hebben bij het gebruik van het internet om te
communiceren met de onderneming en kunnen zelfs naar de concurrentie overstappen. Het wordt
voor de onderneming ook moeilijker om met de klanten te communiceren, want een aantal klanten
zal uit angst niet meer reageren op legitieme berichten die verstuurd zijn via elektronische kanalen
(Ramzan, 2010).
47/110
Resultaten van het onderzoek
GEVOLGEN VOOR DE OVERHEID
De overheid zet steeds meer in op e-government om haar diensten tot bij haar onderdanen te
brengen. Met deze beweging komt ook een verantwoordelijkheid om deze diensten, die gestoeld zijn
op informatie technologie, zo goed mogelijk te beveiligen. Effectief beveiligde overheidsdiensten
vereisen proactieve IT-governance en een robuuste infrastructuur opdat de diensten die worden
beschouwd als een privéaangelegenheid zoals werkgelegenheid, onderwijs, militaire dienst,
belastingen en gezondheidszorg met behulp van elektronische administratieve transacties op een
veilige manier kunnen afgehandeld worden. Een enquête bij Europese en Amerikaanse burgers gaf
aan dat de burgers het e-governmentplatform voornamelijk gebruiken om zich toegang te verschaffen
tot medische informatie. Deze gebruikers gaven aan dat de bescherming van hun persoonlijke
(medische) informatie hun belangrijkste bezorgdheid is (Oh & Obi, 2012).
Het succes en de acceptatie van ‘web services’, aangeboden door de overheid, zijn afhankelijk van de
bereidheid van gebruikers om die diensten te gebruiken. Deze bereidheid is verbonden met het feit
of gebruikers een gevoel van veiligheid hebben wanneer ze de diensten en de onderliggende
technologie gebruiken. Gebruikers moeten ervan overtuigd zijn dat de overheid ervoor zorgt dat
gebruikers op een veilige manier persoonlijke data kunnen verzenden over een onpersoonlijk medium
(Oh & Obi, 2012).
Het verschil tussen private ondernemingen en de overheid is het feit dat de overheid geen
concurrentie heeft. Tussen commerciële ondernemingen speelt concurrentie en dit zorgt dat het kaf
van het koren gescheiden wordt, ook op het vlak van online beveiliging. Een onderneming wiens data
online uitlekt, zal daarvoor commercieel afgestraft worden en kan zelfs failliet gaan. De overheid kan
niet failliet gaan, maar enkel reputatieschade oplopen en het vertrouwen van de burger kwijtspelen
(Oh & Obi, 2012).
Het gebeurt steeds vaker dat de overheid de burgers verplicht om een bepaalde vorm van egovernment te gebruiken om kosten te besparen of om efficiëntiewinsten te boeken (bijvoorbeeld
het indienen van een belastingaangifte via het web). Door het verplichtend karakter van deze diensten
blijken de gebruikers veel minder oplettend te zijn met betrekking tot de boodschappen die zij van de
overheid of een vervalste overheid (phishingboodschap) ontvangen. Oh and Obi (2012) maken zich
zorgen dat het toenemend gebruik van webservices door de overheid, die phishers zal voorzien van
nieuw doelwitten, met name de overheidsdiensten.
3.5.3 Phishingincidenten bij de Belgische overheid
Er wordt door alle respondenten verwezen naar twee zware security-incidenten waarbij enerzijds
Belgacom International Carrier Services (BICS) en anderzijds het ministerie van buitenlandse zaken het
doelwit was (Dedecker P., 2014), (Van Hecke S., 2014).
Het eerste incident trad op bij het telecombedrijf Belgacom. Belgacom is voor 53,51% in handen van
de Belgische staat. In principe heeft de staat als hoofdaandeelhouder niet rechtstreeks te maken met
het dagelijks bestuur van het bedrijf. Toen in september 2013 aan het licht kwam dat BICS gehackt
was, werd dit een vlek op het blazoen van de Belgische staat. De klantenlijst van BICS spreekt tot de
verbeelding: Swift, de NAVO, de Europese commissie, het Europees parlement, SHAPE (Supreme
Headquarters Allied Powers Europe). In eerste instantie dacht men dat het voornamelijk te doen was
om het onderscheppen van communicaties in het Midden-Oosten, maar verder onderzoek gaf aan dat
alle verkeer onderschept is. Het bleek om een erg gesofistikeerde vorm van malware te gaan,
vermoedelijk state-sponsored. Onthullingen van Edward Snowden wezen in de richting van NSA vanuit
de VS via de Britse inlichtingendienst. Waarschijnlijk is de malware via een phishingaanval, die
gebaseerd was op een valse LinkedIn pagina, geïnjecteerd. Het heeft maanden geduurd om de
48/110
Resultaten van het onderzoek
malware te verwijderen. Het doel van deze aanval was om via het onderscheppen van communicaties,
strategische informatie te verzamelen (Dedecker P., 2014), (Lijnen N & Bynens L, 2014), (Van Hecke
S., 2014).
Het tweede incident was bij het ministerie van buitenlandse zaken. In mei 2014 is het ministerie van
buitenlandse zaken het slachtoffer geworden van een hackingaanval gebaseerd op een virus (Snake).
Deze aanval kwam vermoedelijk uit Rusland. Mogelijk was deze erop gericht vertrouwelijke
diplomatieke informatie aangaande Oekraïne te ontvreemden. De wijze waarop het virus is geïnitieerd
is niet bekend maar phishing wordt niet uitgesloten. De gevolgen van zo'n aanval kunnen heel
verstrekkend zijn. Zo beschikt Buitenlandse Zaken over informanten wiens identiteit absoluut
vertrouwelijk is. Indien deze informatie in verkeerde handen valt, kunnen mensenlevens in gevaar zijn
(Dedecker P., 2014), (Lijnen N & Bynens L, 2014) (Van Hecke S., 2014).
Stefaan Van Hecke (2014) voegt hier nog aan toe dat deze twee incidenten vermoedelijk slechts het
topje van de ijsberg betreft. De kans is reëel dat andere ministeries en administraties ook het doelwit
zijn geweest van phishing. Zijn bewering wordt gestaafd door de parlementaire vragen van Nele Lijnen
over phishing bij de Rijksdienst voor Kinderbijslag voor Werknemers en over de phishingmail verstuurd
met het logo en het adres van de Belgische fiscus.
Politica Nele Lijnen (Open VLD) gaat in haar parlementaire vraag (Lijnen N., 2013c) met nummer 510266 in op een phishingincident bij de Rijksdienst voor Kinderbijslag voor Werknemers. Gezinnen
bleken phishingmails te krijgen van het kinderbijslagfonds waarin gemeld werd dat zij een bepaald
bedrag van het kinderbijslagfonds konden krijgen. Zij dienden hiervoor op een link te klikken en in de
site achter die link de bankgegevens in te vullen. Uit de phishingmails bleek dat de criminelen zich op
een specifiek publiek richtten. Er is duidelijk sprake van een spear-phishingaanval die als doel had de
bankgegevens van de slachtoffers te bemachtigen.
Uit parlementaire vraag nummer 5-8976 (Lijnen N., 2013b) blijkt dat een aantal belastingplichtige
Belgen het slachtoffer is geworden van phishingmails afkomstig van [email protected]. De
belastingplichtige werd gelokt met het vooruitzicht om een som geld terug te krijgen van de fiscus.
Om deze som geld te verkrijgen diende het slachtoffer een formulier in te vullen met zijn of haar
bankrekeninggegevens. Wanneer het slachtoffer klaar was met invullen werd de gebruiker
doorgelinkt naar de echte website van het FOD Financiën. Het doel was via een legitiem lijkend bericht
van de fiscus de bankgegevens van de slachtoffers te ontvreemden.
3.5.4 Impact van phishing op diensten en onderdelen van de Belgische overheid
Peter Dedecker (2014) vindt dat de aanval op buitenlandse zaken mogelijk mensenlevens in gevaar
heeft gebracht. Hij vindt dat dit een blamage is voor dit ministerie en voor België. Het hacking incident
met BICS heeft België internationaal op een slechte manier in de aandacht gebracht en kan heel wat
schade opgeleverd hebben voor de klanten van BICS. Zo waren er berichten dat een belangrijke klant,
de Europese Commissie, afgeluisterd werd. Stefaan Van Hecke (2014) gaat ervan uit dat ook andere
administraties last hebben van cyberincidenten en dat dit storend is voor hun dienstverlening. Eén
van de gevolgen van het hackingincident bij het ministerie van buitenlandse zaken was dat mensen
geen reisdocumenten meer konden aanvragen gedurende een aantal weken (Dedecker P., 2014).
BELGIË: TWEE STROMINGEN
Peter Dedecker (2014) geeft aan dat er een zeker cultuurverschil bestaat tussen de Nederlandstalige
opvatting van informatisering in relatie tot privacy en de Franstalige opvatting in België. De
Nederlandstalige parlementsleden in België volgen meer de Angelsaksische lijn met betrekking tot
informatisering van de overheid. Zij wensen steeds meer diensten aan te bieden (o.a. RFID, e-
49/110
Resultaten van het onderzoek
government, elektronisch stemmen) aan de burger waarbij er steeds efficiënter gewerkt wordt zonder
de privacy uit het oog te verliezen. Dankzij het toepassen van de juiste security maatregelen en
technieken
wordt
de
privacy
voor
dergelijke
toepassingen
gegarandeerd.
Franstalige politici in België hebben het hier door de band genomen moeilijker mee en staan eerder
op de rem bij het verder uitrollen van de informatisering van de overheid omdat zij vrezen dat de
privacy van de burger sowieso in het gedrang komt, ondanks de security voorzieningen.
De Belgische overheid wenst al langer een e-healthsysteem uit te rollen, maar dit loopt niet vlot om
tal van redenen24. De Franstalige parlementsleden zijn daar niet voor gewonnen en gebruiken gevaren
voor de privacy van de patiënten als argument. Dit is ook merkbaar in de status van informatisering
van de huisartsenpraktijken in Vlaanderen en Franstalig België. De Vlaamse huisartsen zijn verbonden
met ziekenhuizen en werken met online patiëntendossiers, waar dit bij de Waalse huisartsen bijna
niet het geval is. Het Globaal Medisch Dossier kent veel meer succes in Vlaanderen dan in Franstalig
België (Dedecker P., 2014).
Elektronisch stemmen volgt dezelfde breuklijn. In Vlaanderen wenst men steeds meer elektronisch
stemmen te implementeren, waar men in Brussel en Wallonië zweert bij pen en papier uit vrees voor
fraude (Dedecker P., 2014).
Phishingaanvallen tegen de overheid en cyberincidenten in het algemeen zijn geen goede zaak voor
het vertrouwen in verdere informatisering en koren op de molen van elke tegenstander van
informatisering, om welke reden dan ook (Dedecker P., 2014).
3.5.5 Directe gevolgen van phishing voor de Belgische overheid
Als directe gevolgen van phishing worden diefstal van vertrouwelijke gegevens (Dedecker P., 2014),
reputatieschade voor de overheid, informatielekken en ongeoorloofde toegang tot servers (Anoniem,
2014) genoemd.
3.5.6 Indirecte gevolgen van phishing voor de Belgische overheid
BELGIË
We merken een groeiend wantrouwen van gebruikers tegenover e-mailberichten, dit zijn vooral
gebruikers die reeds ervaring hebben met phishingpogingen (Anoniem, 2014).
Het wantrouwen in Franstalig België (zie paragraaf 3.5.4) tegenover informatisering wordt versterkt
door de onthullingen van Edward Snowden. Het blijkt dat geen enkel informatiesysteem volledig
waterdicht is en dat onder andere de Amerikaanse inlichtingendiensten alle informatie kunnen
bemachtigen.
In België is één van de gevolgen daarvan dat gespecialiseerde politiemensen, die delicate dossiers
onderzoeken, niet meer communiceren met elektronische middelen. Deze mensen gebruiken noch email noch een GSM om over delicate dossiers onderling te communiceren. Alles verloopt m.b.v. papier
omdat dit de enige mogelijkheid is om zeker te zijn dat ze niet afgeluisterd worden (Van Hecke S.,
2014).
EUROPESE GEMEENSCHAP
In het Eurobarometer rapport van de Europese Commissie parlement werden 26.593 mensen uit de
27 lidstaten geïnterviewd. Het doel van deze interviews was om een beeld te krijgen van
24
Niet alleen politici hebben het soms moeilijk hiermee. Bepaalde ziekenfondsen vrezen ook dat hun monopolie op
informatie en toegevoegde waarde in het gedrang komt bij verdere informatisering, waarbij het privacy-argument hen goed
van pas komt.
50/110
Resultaten van het onderzoek
verwachtingen en de ervaringen van de Europese burgers met betrekking tot cybersecurityincidenten
(TNS Opinion & Social, 2012).
Internetgebruikers hebben hun gedrag op verschillende manier aangepast door toedoen van security
bezorgdheden (zie Figuur 16). 51% van de respondenten hebben antivirussoftware geïnstalleerd. 43%
zal geen e-mails meer openen van onbekende zenders. 37% gaf aan dat ze minder geneigd zijn om
persoonlijke informatie in te vullen op websites. Het bleek ook dat meer dan de helft van de
ondervraagden (53%) geen enkel van hun online paswoorden veranderd had gedurende het laatste
jaar.
Figuur 16: Gedragswijzigingen van internet gebruiken in de EU door toedoen van security bezorgdheden (TNS Opinion &
Social, 2012)
Uit de Eurobarometer (zie Figuur 17) blijkt dat het wantrouwen van de Belgische burger ten opzichte
van de overheid en haar vermogen om online data van burgers veilig te beheren, nog vrij groot is
vergeleken met andere landen. Het wantrouwen tegen de overheid en haar vermogen om veilig met
de online informatie van de burger om te gaan, is in 16 landen groter dan in België (TNS Opinion &
Social, 2012).
51/110
Resultaten van het onderzoek
Figuur 17: Bezorgdheid dat de overheid persoonlijke informatie niet veilig opslaat en beheert (TNS Opinion & Social, 2012)
De bezorgdheid dat websites op een veilige manier omgaan met persoonlijke gegevens (zie Figuur 18)
is in België groter dan in 12 andere Europese landen. België scoort onder het Europese gemiddelde.
Een opvallend verschil tussen Figuur 17 en Figuur 18 is de positie van Nederland ten opzicht van België.
De bezorgdheid dat de overheid op een veilige manier omgaat met de online gegevens van de burger
is in beide landen ongeveer gelijk. Maar in Nederland is er duidelijk minder bezorgdheid over het feit
of websites op een veilige manier omgaan met persoonlijke gegevens van klanten.
52/110
Resultaten van het onderzoek
Figuur 18: Bezorgdheid dat websites op een veilige manier omgaan met persoonlijke gegevens (TNS Opinion & Social, 2012)
3.5.7 Doelwit van de phishers: Nederlandse financiële instellingen versus Belgische overheid
Uit de resultaten van het onderzoek van Dreijer (2012) blijkt dat het doel van de phishers geldgewin
is door het bemachtigen van bankgegevens bij de Nederlands financiële instellingen. Bij de Belgische
overheid zijn sommige phishingaanvallen ook gericht op het ontvreemden van bankgegevens van
slachtoffers (zie paragraaf 3.5.3) door spoofing van e-mails van Belgische overheidsdiensten.
Daarnaast zijn phishingaanvallen, gericht tegen de Belgische overheid, vooral bedoeld om informatie
te verkrijgen. Deze informatie kan diplomatiek van aard zijn, beleidsgerelateerd of bestaan uit
contactgegevens van bepaalde personen. Phishingaanvallen tegen de Belgische overheid zijn ook
vaker ‘state-sponsored’.
53/110
Resultaten van het onderzoek
3.6 L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden?
In de recente literatuur worden anti-phishingmaatregelen in twee manieren van aanpak
onderverdeeld: de gebruikerseducatie en het gebruik van anti-phishingindicatoren, gebaseerd op
technische maatregelen (Kirlappos & Sasse, 2012). Khonji et al. (2013) beschrijven dezelfde
onderverdeling, maar benoemen de anti-phishingindicatoren als ‘software enhancement’.
In Figuur 19 worden de verschillende maatregelen tegen phishing weergegeven die in deze paragraaf
besproken worden. Voor de volledigheid zijn ook de juridische maatregelen tegen phishing
opgenomen in het literatuuronderzoek, maar deze maken geen deel uit van het empirisch onderzoek.
Anti-phishing
maatregelen
3.6.1 Gebruikerseducatie
(sociale maatregelen)
3.6.8 Anti-phishing
indicatoren (technische
maatregelen)
3.6.5 Jurische
maatregelen
Passieve indicatoren
Actieve indicatoren
Anti-phishing toolbars
(browser plug-ins)
Client side
Server side
SSL
Desktop agenten
E-mail authenticatie
E-mail client
verbetering
Web applicatie
security
Browser hardening
Two-factor
authenticatie
Back-end analysis
Gateway services
Figuur 19: Overzicht van de verschillende anti-phishingmaatregelen
3.6.1 Gebruikerseducatie (sociale maatregelen)
Gebruikerseducatie is een heel belangrijke maatregel om gebruikers te leren omgaan met de
bedreiging die uitgaat van het fenomeen phishing. Om de impact van phishing te beperken is het
belangrijk dat gebruikers getraind worden om phishingboodschappen sneller en juister te
identificeren en om de juiste acties te ondernemen met de geïdentificeerde phishingboodschappen
(Khonji et al., 2013).
De meeste anti-phishing trainingen maken gebruik van een vorm van interactiviteit om de gebruikers
te laten ervaren op welke manier een phishingaanval zich manifesteert en hoe misleidend de
phishingboodschappen meestal zijn. Die interactiviteit kan bestaan uit: gesimuleerde antiphishingaanvallen, anti-phishingspelletjes (games) en geanimeerde filmpjes met tussenin
meerkeuzevragen (Oh & Obi, 2012).
Jansson and von Solms (2013) stelden vast in hun onderzoek dat gebruikers de eerste week van de
anti-phishingtraining nog onzeker waren, maar dat dat in de loop van de tweede week antiphishingtraining de gebruikers zich veel zekerder voelden om phishingboodschappen te detecteren
en de juiste acties te ondernemen. In het onderzoek werd er gebruik gemaakt van gesimuleerde
54/110
Resultaten van het onderzoek
phishingaanvallen en bleek dat de pornografische phishingboodschap het meeste gebruikers
misleidde.
Mayhorn and Nyeste (2012) gebruikten een spel om één groep gebruikers te trainen in het herkennen
van phishingboodschappen en zij testten ook een tweede groep die geen training kreeg in het
herkennen van phishingboodschappen. De eerste week na de training was er een groot verschil
merkbaar in het herkennen van phishingboodschappen tussen beide groepen. Dit effect verminderde
echter in de tweede week na de training en was niet meer statistisch significant. Mayhorn and Nyeste
(2012) hebben geen verklaring waarom het verschil tussen beiden groepen zo snel daalde. Dit
resultaat is in tegenspraak met de resultaten van Jansson and von Solms (2013).
Kirlappos and Sasse (2012) geven aan dat effectieve gebruikerseducatie ervoor dient te zorgen dat:
- de (foute) assumpties die gebruikers maken over betrouwbare signalen (bijvoorbeeld een
Facebook logo) en de daarbij horende beslissingsprocessen dienen voor de gebruikers
inzichtelijk gemaakt te worden;
- om vervolgens de juiste inschattingsstrategie aan te leren en de juiste betrouwbare signalen
te leren herkennen in een online omgeving.
3.6.2 Sociale maatregelen op maat van de overheid (literatuuronderzoek)
Oh and Obi (2012) stellen voor de overheid de volgende maatregel tegen phishing voor:
- Gebruikerseducatie (user education)
GEBRUIKERSEDUCATIE
Uit het onderzoek van Oh and Obi (2012) blijkt dat het sensibiliseren van gebruikers een
sleutelmaatregel is tegen phishing gericht tegen de overheid. De overheid dient het nodige educatief
materiaal te voorzien om gebruikers op de hoogte te brengen van de bedreiging die uitgaat van
phishingaanvallen. Dit educatief materiaal kan bestaan uit geanimeerde filmpjes waarin stap voor stap
een phishingaanval wordt uitgelegd of uit online spelletjes die de gebruiker al spelenderwijs
vertrouwd maakt met het gevaar van phishing. De overheid dient daarnaast publiciteitscampagnes op
te zetten om de aandacht te vestigen op de gevaren van het fenomeen phishing en om het bestaan
van het educatief materiaal wereldkundig te maken.
3.6.3 Sociale anti-phishingmaatregelen bij de Belgische overheid (empirisch onderzoek)
Uit de antwoorden op een reeks parlementaire vragen blijkt dat er gewerkt wordt aan de
bewustmaking van het overheidspersoneel voor de risico’s die gepaard gaan met cybercriminaliteit
(Lijnen N., 2013a). Ondanks een aantal initiatieven om het publiek bewust te maken over
cybercriminaliteit, scoort België in Europees verband gemiddeld op de vraag of de burgers zich
ingelicht voelen over de risico’s van cybercriminaliteit (zie Figuur 20). In vergelijking met bijvoorbeeld
Nederland is er nog heel wat werk voor de boeg.
PARLEMENTAIRE VRAGEN
Nele Lijnen heeft in een reeks parlementaire vragen de volgende vraag gesteld aan de bevoegde
ministers en staatssecretarissen: “Wordt het personeel van uw diensten opgeleid om met deze
mogelijke bedreigingen om te gaan? Wordt het aangemaand om dergelijke problemen te melden?”
(Lijnen N., 2013a).
De antwoorden op deze vraag zijn weergegeven in Tabel 19 in bijlage K. Van de 39 afdelingen zijn er
30 afdelingen die hun personeel onderrichten in de manier waarop ze dienen om te gaan met
cyberincidenten. Eén afdeling is van plan dit in te richten. Eén afdeling licht enkel het ICT-personeel in
en 7 afdelingen lichten hun personeel niet in. Het merendeel van de overheidsadministraties zorgt er
55/110
Resultaten van het onderzoek
dus voor dat het personeel weet wat te doen of wie te verwittigen wanneer ze het vermoeden hebben
van een cyber(security)incident.
“WE ARE LOSING THIS BATTLE”.
Deze uitspraak is gegrepen uit een presentatie van Christian Van Heurck (coördinator van CERT.be bij
Belnet) gegeven tijdens de Belgian Internet Security Conference – BISC 2013. Uit het antwoord (zie
bijlage J) op de parlementaire vraag 5-10355 (Lijnen N, 2013) naar de oorsprong van deze uitspraak
blijkt dat deze uitspraak bedoeld was om het gebrek aan bewustwording op het gebied van
cybersecurity bij het grote publiek, bij bedrijfsleiders, bij overheidsinstellingen en bij de politiek aan
te kaarten. In het antwoord wordt ook aangegeven dat erkenning van de cyberdreiging één van de
pijlers is van de Belgische cybersecuritystrategie.
INITIATIEVEN
Nele Lijnen (2014) geeft aan dat de openbare omroep enige tijd geleden een boodschap van algemeen
nut heeft verspreid die waarschuwt voor de gevaren van internetcriminaliteit en phishing. Dit spotje
legde de gevaren kort maar bevattelijk uit en gaf aan wat de burger moet vermijden (geen gegevens
doorgeven aan criminelen die zich voordoen als een financiële instelling).
Roel Deseyn (2014) stelt verder voor om de bevolking verder te sensibiliseren rond cyberhygiëne. Als
voorbeeld worden telecomoperatoren genomen omdat zij een groot bereik hebben en over veel
mogelijkheden beschikken. Er bestaat vandaag reeds een wettelijke voorziening voor telco’s in de
Telecomwet, maar deze voorziening wordt jammer genoeg door het BIPT minimaal geïnterpreteerd.
Werkgevers zouden ook via opleidingen indirect kunnen bijdragen tot veiligere internetomgevingen
thuis, zeker in het kader van de steeds vaker toegepaste ‘bring-your-own-device’ praktijken op de
werkvloer.
Stefaan Van Hecke (2014) vindt dat er nood is aan sensibiliseringscampagnes om vooral jongeren
attent te maken op de gevaren op het internet, bijvoorbeeld phishing. Het is een illusie dat de
consument de dreiging alleen het hoofd kan bieden. De overheid heeft hier een belangrijke rol te
spelen. Een vorm van internetopvoeding zou via het onderwijs gegeven kunnen worden aan jongeren,
maar Stefaan Van Hecke vindt dat het onderwijs reeds zeer veel taken dient op te nemen en dat dit
misschien niet de beste oplossing is.
EUROPESE GEMEENSCHAP
In Figuur 20 (hoe goed ben je geïnformeerd over de risico’s van cybercriminaliteit) neemt België de
13e plaats van de 27 EU landen in en scoort net iets beter dan het Europees gemiddelde. De
Nederlandse burgers voelen zich duidelijk beter ingelicht dan de Belgische burgers. Nederland neemt
de 5e plaats in van de 27 EU landen (TNS Opinion & Social, 2012).
56/110
Resultaten van het onderzoek
Figuur 20: Hoe goed vinden de Europese burgers dat ze zijn geïnformeerd over de risico's van cybercriminaliteit (TNS Opinion
& Social, 2012)
3.6.4 Sociale maatregelen in Nederlandse financiële instellingen versus de Belgische
overheid
Het onderzoek van Dreijer (2012) geeft aan dat financiële instellingen in Nederland sterk inzetten op
voorlichting. Iedere instelling doet aan voorlichting via de internetpagina en soms via flyers in de lokale
kantoren. De NVB houdt nationale campagnes om de consument bewust te maken dat bijvoorbeeld
banken nooit per e-mail of telefoon naar persoonlijke gegevens zullen vragen. Er is zelfs sprake van
een soort van bewustmakingsmoeheid bij de klanten. Wanneer klanten te vaak geconfronteerd
worden met dezelfde waarschuwingsboodschappen, dan klikken ze het bericht gewoon weg. Eén
financiële instelling spreekt over tunnelzicht. De mensen hebben een doel voor ogen, bijvoorbeeld
online een bankverrichting uitvoeren, en ze wensen dat zo snel mogelijk te kunnen doen zonder dat
ze daarbij vervelende berichten of pop-ups over veiligheid dienen te lezen. Eén financiële instelling
voorziet trainingen voor kwetsbare doelgroepen, zoals ouderen (Dreijer, 2012). De Belgische overheid
heeft via de openbare omroep één voorlichtingscampagne uitgezonden en probeert haar eigen
personeel van de nodige voorlichting te voorzien (Lijnen N & Bynens L, 2014). Er gaan meer en meer
stemmen op bij politici om de Belgische burger beter in te lichten over de gevaren van
cybercriminaliteit. Dit zou via telecomoperatoren kunnen (Desey R & Scharpé W, 2014) of via een
vorm van cyberhygiëne opvoeding (Van Hecke S., 2014). Het blijft een feit dat de Belgische overheid
nog veel werk voor de boeg heeft en dat ze zeer ver is van de bewustmakingsmoeheid die soms
voorkomt bij Nederlandse financiële instellingen.
57/110
Resultaten van het onderzoek
3.6.5 Juridische maatregelen
Phishing is een wereldwijd probleem dat zich niet laat beperken door landsgrenzen. Wetgeving is
typisch gebonden aan landen of groepen van landen (bijvoorbeeld de EU) waardoor het strafbaar
maken van phishing een beperkt effect heeft op het gedrag van de cybercriminelen omdat zij zich
meestal niet bevinden in het land waar de phishingaanvallen slachtoffers maken. Purkait (2012) geeft
aan dat de rechtbanken naast de phisher ook secundaire medeplichtigen zouden kunnen veroordelen.
Deze secundaire medeplichtigen zouden onder meer de internet service providers (ISPs) zijn, die
onder de wetgeving van de bescherming van intellectuele eigendom, schuldig zouden zijn aan
medeplichtigheid bij het stelen van intellectuele eigendom. Op die manier zouden de ISPs
gemotiveerd zijn om phishing tegen te gaan. Purkait (2012) stelt ook dat wetgeving een moeizaam
proces is dat nooit de technologische vooruitgang en de daarbij behorende phishing dreiging kan
bijhouden. Een ander probleem is dat de stakeholders (gebruikers, browserontwikkelaars, wettelijke
regulatoren, internationale comités …) die een impact zouden kunnen hebben op phishing een
heterogene groep vormen waarbij iedere stakeholder uiteenlopende belangen heeft. Het is zeer
tijdrovend om alle stakeholders samen te krijgen en tot een gezamenlijk standpunt te laten komen.
Wanneer een standpunt bereikt is en maatregelen afgesproken zijn, is de phishingdreiging alweer
veranderd, waardoor de maatregelen deels achterhaald zijn. De Verenigde Staten vervolgen steeds
meer phishers die vanuit een ander land dan de VS opereren en zij vragen aan de landen, van waaruit
de phishers opereren, om deze cybercriminelen te vatten en uit te leveren. Voornamelijk het Federal
Bureau of Investigation (FBI) werkt hiervoor samen met de politie van de betrokken landen. In de VS
zelf is sinds september 2008 een wet25 van kracht die het slachtoffer recht geeft op een vergoeding
die overeenstemt met de waarde van de tijd en de kosten van het slachtoffer om de schade van de
phishingaanval ongedaan te maken. Feigelson and Calman (2010) hebben echter geen effect kunnen
vaststellen van deze wet op het aantal phishingaanvallen. Een ander probleem met deze wet is het
feit dat veroordeelde phishers vaak niet in staat zijn om de opgelegde compensaties te betalen. De
waarde van een met phishing gestolen kredietkaart nummer is marginaal vergeleken met de kosten
die het slachtoffer heeft om de schade ongedaan te maken (Feigelson & Calman, 2010).
Moore et al. (2009) geven aan dat een wettelijke verplichting voor ondernemingen om nietgeautoriseerde toegang tot klantendata te melden, zoals ingesteld door de senaat in California, een
kleine, maar significante daling van het aantal online fraudegevallen tot gevolg had. Veel landen
hebben informatiebeveiligingswetten ingesteld om online criminaliteit terug te dringen. Maar door
een gebrek aan kennis bij de wetgevers, blijken deze wetten de security-onderzoekers meer te
hinderen dan dat ze de online misdaad aanpakken. Hierdoor zijn er weinig betrouwbare cijfers voor
handen en wordt het voor de wetgevers nog moeilijker om adequate wetten te maken. Een ander
probleem is het feit dat politiediensten de prioriteiten van misdaadbestrijding enten op het aantal
lokale slachtoffers, op het aantal daders en op hoe groot de lokale schade is. Een phishingaanval kan
wereldwijd veel slachtoffers maken, maar op lokaal niveau zal de schade beperkt zijn, waardoor dit
soort van misdrijven nooit een hoge prioritering krijgt (Moore et al., 2009).
3.6.6 Het beleid in België ten aanzien van phishing (cybercriminaliteit) en de onderbouwing
van dat beleid
Alle respondenten geven aan er vandaag weinig sprake is van een beleid en dat de nodige budgetten
hiervoor ontbreken. Het feit dat er geen gecentraliseerde, betrouwbare cijfers zijn over
cybermisdaden maakt het uitzetten van een beleid er niet eenvoudiger op (zie paragraaf 3.4.3). Er zijn
nochtans reeds verschillende initiatieven geweest om een onderbouwd beleid op de sporen te zetten.
25
Identity Theft and Restitution Act of 2008
58/110
Resultaten van het onderzoek
In de vragenlijst gericht aan de Vlaamse politieke partijen (zie bijlage G) is aan de respondenten
gevraagd om kort toe te lichten wat de objectieven van de partij zijn met betrekking tot
cybercriminaliteit en in het bijzonder phishing. De antwoorden zijn weergegeven in Tabel 14. Phishing
wordt steeds meegenomen onder de noemer cybercriminaliteit in beleidsverklaringen en wordt
zelden apart vermeld.
Respondent
Partij
Objectieven
Het is de plicht van de federale overheid om de nodige beveiliging en vertrouwelijkheid te
garanderen voor alle data in haar bezit, zowel die van de burger en ondernemingen als die
Peter Dedecker
N-VA
van de overheid. Daarnaast is de beveiliging van voor onze samenleving en economie
kritische informatie-infrastructuren van het grootste belang
Stefaan
Van
Privacy is zeer belangrijk. Iedere inbreuk op de privacy, ook door phishing, dient met
Groen
Hecke
de nodige prioriteit aangepakt te worden.
Nele
Lijnen Open
Cybercrime in de mate van het mogelijke bestrijden, preventie en sensibilisering van de
(Laurens Bynens)
Vld
burger, bescherming van de overheid …
Roel
Deseyn
Internetveiligheid raakt vele burgers en ondernemingen, en het verdient de aandacht van
CD&V
(Wim Scharpé)
beleidsmakers. Diensten- en diplomatiek centrum Brussel verdient dit.
Tabel 14: Objectieven m.b.t. cybercrime (phishing) van de Vlaamse politieke partijen (die geantwoord hebben)
Uit deze objectieven blijkt dat de Vlaamse partijen26 heel veel belang hechten aan de bestrijding van
cybercriminaliteit en aan de bescherming van de privacy van de burger en van de economische
belangen van het land.
Reeds in 2007 heeft het toenmalige hoofd van het FCCU, Luc Beirens, aangedrongen om de nodige
prioriteit te geven aan cybercriminaliteit en –beveiliging. Er is nauwelijks gevolg gegeven aan de
raadgevingen van de heer Beirens. Na jarenlang aandringen, heeft hij het FCCU verlaten en is aan de
slag gegaan in de privémarkt (Dedecker P., 2014).
Op 21 december 2012 keurde de Ministerraad de Belgische Cybersecurity Strategie goed. Sindsdien
ligt het dossier bij de premier die bevoegd is voor de coördinatie van de uitvoering van dit plan. In het
verleden heeft CD&V herhaaldelijk aangedrongen om werk te maken van de uitwerking hiervan. CD&V
stelt dat best één minister het dossier naar zich toe trekt, of dat de premier het dossier delegeert naar
een van zijn staatssecretarissen. Een uitdaging is het feit dat veel intervenanten en bevoegde ministers
bij de realisatie van deze strategie betrokken zijn door het grensoverschrijdende karakter van internet.
De volgende overheidsdiensten zijn betrokken: Economie (accreditatie van systemen, voogdij
telecomregulator), Defensie (militaire inlichtingendienst), Buitenlandse Zaken (Nationaal
VeiligheidsOverleg, internationale dimensie hacking door bevriende landen), Binnenlandse Zaken
(politie FCCU, Crisiscentrum), FedICT (CERT) en Justitie (staatsveiligheid, Privacy Commissie, B-ccentre)
(Desey R & Scharpé W, 2014).
CYBERSECURITY STRATEGIE BELGIË (DESEY R & SCHARPÉ W, 2014)
Met een nationale cybersecuritystrategie stelt België drie strategische objectieven voorop om de
cyberveiligheid in België te garanderen:
-
streven naar een veilige en betrouwbare cyberspace met respect voor de fundamentele rechten
en waarden van de moderne samenleving;
streven naar een optimale beveiliging en bescherming van de kritieke infrastructuren en
overheidssystemen tegen de cyberdreiging;
26
In deze context wordt de stijlfiguur pars pro toto toegepast. Niet alle Vlaamse partijen hebben een antwoord gestuurd.
Daarnaast worden de objectieven van de partijen die geantwoord hebben veralgemeend voor heel België, daar waar de
partijen van de respondenten bij de verkiezing van 2014 voor de kamer van volksvertegenwoordigers samen 46,97% van de
stemmen haalden, wat zich vertaalde in 71 zetels op een totaal van 150.
59/110
Resultaten van het onderzoek
-
ontwikkelen van eigen cybersecuritycapaciteiten voor een onafhankelijk veiligheidsbeleid en een
gepaste reactie op veiligheidsincidenten.
CENTRUM VOOR CYBERSECURITY BELGIË
Een tweede initiatief van de ministerraad ter bevordering van de cyberbeveiliging is de oprichting van
het centrum voor cybersecurity België (Delafortrie & Springael, 2014). Artikel 3 beschrijft de rol van
dit centrum (Desey R & Scharpé W, 2014):
1. Opvolgen en coördineren van en toezien op de uitvoering van het Belgisch beleid ter zake;
2. Vanuit een geïntegreerde en gecentraliseerde aanpak de verschillende projecten op het vlak
van cyberbeveiliging beheren;
3. De coördinatie verzekeren tussen de betrokken diensten, de publieke overheden en de private
of de wetenschappelijke sector;
4. Formuleren van voorstellen tot aanpassing van het regelgevend kader op het vlak van
cyberbeveiliging;
5. In samenwerking met het Coördinatie- en Crisiscentrum van de regering, het crisisbeheer bij
cyberincidenten verzekeren;
6. Opstellen, verspreiden en toezien op de uitvoering van standaarden, richtlijnen en
veiligheidsnormen voor de verschillende informatiesystemen van de administraties en
publieke instellingen;
7. Coördineren van de Belgische vertegenwoordiging in internationale fora voor
cyberbeveiliging, van de opvolging van internationale verplichtingen en van voorstellen van
het nationale standpunt op dit vlak;
8. Coördineren van de evaluatie en certificatie van de veiligheid van informatie en informeren
en sensibiliseren van gebruikers van informatie- en communicatiesystemen.
Een andere uitdaging in het cybersecurityvraagstuk is het feit dat veiligheidsbeleid nog steeds
voornamelijk een lidstaatgebeuren is. Een voorbeeld hiervan zijn de beperkte bevoegdheden die het
European Union Agency for Network and Information Security (ENISA) heeft. De tijd bleek ook nog
niet rijp om te komen tot een geïntegreerde Europese Privacy Commissie in het kader van nieuw
Europees wetgevend kader voor privacy. Het feit dat veel landen voor zichzelf werken maakt een
Europese aanpak van cybercrime niet eenvoudiger. Waarnemers gaan er van uit dat onder andere de
Franse inlichtingendiensten in België aan industriële spionage doen. (Desey R & Scharpé W, 2014).
Peter Dedecker heeft aangegeven dat in het voorlopige regeerakkoord27 is voorzien om
cyberbeveiliging de nodige prioriteit te geven en dat dus ook de nodige budgetten zullen voorzien
worden (Dedecker P., 2014).
3.6.7 Beleid van Nederlandse financiële instellingen versus Belgisch overheid
In de financiële wereld in Nederland krijgt cybersecurity een hoge prioriteit. Er worden goed opgeleide
mensen aangetrokken, de nodige budgetten worden voorzien en er zijn initiatieven om tussen
financiële instellingen cijfermateriaal met betrekking tot cybermisdaden (waaronder) phishing door
te geven onder leiding van de NVB. Gebruikmakend van deze cijfers kan het beleid gestuurd worden
(Dreijer, 2012). Het contrast met de Belgische overheid is groot. Er bestaat nog steeds het probleem
van het niet-erkennen van probleem van cybercriminaliteit (Lijnen N, 2013), het tekort aan
specialisten (Desey R & Scharpé W, 2014), het ontbreken van budgetten (Van Hecke S., 2014) en het
27
Bij het schrijven van deze scriptie was de formatie van de Belgische federale regering nog bezig. De zogenaamde Zweedse
coalitie, bestaande uit N-VA, CD&V, Open Vld en MR had het initiatief om een regering te vormen.
60/110
Resultaten van het onderzoek
ontbreken van een centraal meldpunt en sturingsorgaan om alle instellingen die met
cybercriminaliteit te maken hebben, te bundelen en te sturen (Dedecker P., 2014).
3.6.8 Anti-phishingindicatoren (technische maatregelen)
Anti-phishingindicatoren is een verzamelnaam voor technische maatregelen tegen phishing. Deze
categorie wordt onderverdeeld in twee subcategorieën: passieve en actieve indicatoren.
PASSIEVE INDICATOREN
Passieve indicatoren steunen nog steeds op menselijke interactie. Deze technische maatregelen zullen
de mensen helpen om phishingboodschappen sneller te identificeren, door bijvoorbeeld een pop-up
te tonen in de browser (Khonji et al., 2013).
Anti-phishingtoolbars & browser plug-ins (Ramzan, 2010)
De huidige generatie webbrowsers bevat een mechanisme om aan de gebruiker duidelijk te maken
dat een bepaalde URL of website gevaarlijk is, omdat het bijvoorbeeld een phishingsite is. Uit studies
is echter gebleken dat veel gebruikers niet weten wat de waarschuwing betekent en alsnog naar de
site doorklikken (Kirlappos & Sasse, 2012). Er bestaan ook browserplug-ins die niet alleen de
eindgebruiker waarschuwen, maar tevens in de achtergrond naar de phishingwebsite surfen en daar
gefabriceerde informatie invullen. Op deze manier krijgt de phisher junkdata binnen op zijn
phishingsite en worden de echte gegevens van slachtoffers gemengd met valse gegevens waardoor
de phisher meer moeite heeft om de correcte gestolen data te onderscheiden van de valse gestolen
data. BogusBiter is een dergelijke browser plug-in (Khonji et al., 2013).
SSL (Secure Sockets Layer) (Ramzan, 2010)
SSL is een techniek die ervoor zorgt dat het verkeer tussen de webbrowser van de gebruiker en de
server geëncrypteerd is en dat de server als betrouwbaar mag beschouwd worden. Deze techniek
maakt gebruik van publieke en private sleutels die in een certificaat zijn ingebouwd. Dit certificaat
wordt uitgereikt door een betrouwbare partij op het internet. Als een gebruiker naar een site surft die
SSL gebruikt, zal zijn browser het certificaat controleren bij de betrouwbare partij (certificate
authority). Is het certificaat niet bekend bij de ‘certificate authority’ dan geeft de browser dit
onmiddellijk aan. Phishingsites maken weinig gebruik van SSL, omdat phishers het certificaat dat
daarvoor nodig is niet gemakkelijk kunnen verkrijgen28. Wanneer een gebruiker naar een gespoofte
website surft door op een phishingboodschap te reageren, dan kan hij zien of zijn verbinding gebruikt
maakt van SSL door te kijken naar de SSL-indicator in de browser (meestal een slotje). Is dat slotje niet
aanwezig, kan de gebruiker best niet verdergaan met de site waarop hij surft. Het probleem is ook
hier het feit dat gebruikers niet erg oplettend zijn en niet controleren of er SSL gebruikt wordt of niet.
ACTIEVE INDICATOREN
Actieve indicatoren zijn technische maatregelen die zonder menselijke tussenkomst de
phishingboodschappen detecteren en niet laten doorstromen naar de gebruikers (Khonji et al., 2013).
De actieve indicatoren worden ingedeeld in client side maatregelen en server side maatregelen.
Client side
Client site maatregelen worden op de computer van de gebruiker toegepast.
28
Om een certificaat te verkrijgen bij een 'certificate authority' dient de aanvrager te kunnen staven dat hij wel degelijk
eigenaar is van de site en dat de gevraagde naam voor het SSL-domein overeenkomt met de naam van de onderneming
waarvoor de SSL-site gebruikt zal worden. Er zijn echter reeds in het verleden incidenten geweest waarbij legitieme
certificaten zijn gestolen (Reijerman, 2011). De browser van het slachtoffer zal dan aangeven dat het om een legitieme SSLsite gaat. Daarnaast bestaan er ook CAs waar bijna geen controle wordt uitgeoefend op de legitimiteit van de aanvrager,
waardoor echte certificaten aan hackers (phishers) worden toegekend.
61/110
Resultaten van het onderzoek
Desktop agenten (Gunter, 2007)
Gebruikers zijn vertrouwd met de aanwezigheid van antivirussoftware op hun computers om hen te
beschermen tegen datavernietiging of datacorruptie door toedoen van virussen. Antivirussoftware is
maar één soort desktop agent en gebruikers doen er best aan om een suite van software te installeren
die volgende desktop agenten aan boord heeft:
- Lokale antivirusbescherming;
- Een persoonlijke firewall;
- Een persoonlijk intrusion detection systeem (IDS29);
- Een persoonlijke antispam software;
- Een spywaredetectiesoftware.
De meeste antivirussoftware fabrikanten bieden suites aan waarin al deze agenten zijn opgenomen.
Wanneer een phishingaanval toch tot bij de computer van de gebruiker geraakt, zullen deze software
agenten in de meeste gevallen het bericht en de bijbehorende malware of valse link verwijderen voor
de gebruiker de kans krijgt om zich te laten misleiden.
E-mail client verbetering (Gunter, 2007)
Veel e-mail applicaties maken automatisch verbinding met het internet wanneer ze een mailbericht
openen. De reden hiervoor is dat er steeds meer HTML-gebaseerde mailberichten verstuurd worden,
waarin verwezen wordt naar bijvoorbeeld afbeeldingen die online staan. Daarnaast openen e-mail
applicaties soms automatisch bijlagen zoals bijvoorbeeld een PDF-bestand. Deze automatische acties
dienen afgezet te worden in de e-mail applicaties om phishingaanvallen tegen te gaan.
Browser hardening (Gunter, 2007)
Bepaalde browsers zoals bijvoorbeeld MS Internet Explorer bieden heel veel mogelijkheden aan de
gebruiker om webpagina’s met allerlei animatie en opmaak te laten openen. Veel van deze animatie
maakt gebruik van software componenten of plug-ins in de browser die misbruikt kunnen worden
door hackers (phishers). Het is daarom aangewezen volgende items af te zetten in de browser:
- Java runtime ondersteuning;
- Active X ondersteuning;
- Multimedia autoplay mogelijkheden;
- Het automatisch opslaan van niet veilige cookies;
- Het automatisch laten starten van een programma zodra het gedownload is.
Server side
Server side maatregelen worden op de servers van een onderneming of van een ISP toegepast.
E-mail authenticatie (Ramzan, 2010)
Phishers maken veel gebruik van gespoofte e-mails adressen om het phishingslachtoffer te overtuigen
dat het om een legitiem bericht gaat. Om dit tegen te gaan wordt de identiteit van de afzender
gecontroleerd bij ontvangst van de e-mail en wordt de authenticiteit en de integriteit van het bericht
gecontroleerd. De ontvangende mailserver kan onmiddellijk controleren of de afzendende server wel
bevoegd is voor dat DNS-domein en kan ook controleren of de elektronische handtekening van de
mail klopt. Is dit niet het geval, dan wordt het bericht onmiddellijk verwijderd. Er bestaan verschillende
technieken om deze controle uit te voeren maar er stellen zich een aantal organisatorische
problemen:
- DNS: de phisher kan een DNS-domein aanmaken dat lijkt op het authentieke DNS-domein:
bijvoorbeeld whitehouse.com i.p.v. whitehouse.gov. De ontvangende server zal aangeven dat
29
IDS (Intrusion Detection Systems) zijn systemen die gebouwd zijn om te helpen bij het tegengaan en het inperken van
schade die kan worden veroorzaakt door hacking van IT-systemen.
62/110
Resultaten van het onderzoek
-
-
het domein overeenstemt met het e-mail adres en de boodschap geraakt alsnog bij het
slachtoffer.
Om een dergelijk systeem in te voeren dient heel de wereld eenzelfde authenticatieschema
te gebruiken en dat is tot nu toe een utopie gebleken. Er bestaan wel een aantal standaarden
voor deze anti-phishingoplossing: S/MIME30 – OpenPGP31 maar deze worden niet veel
gebruikt.
DMARC, wat staat voor ‘Domain-based Message Authentication, Reporting & conformiteit’,
geeft de zender van een e-mail de mogelijkheid om aan te geven dat de e-mail beschermd is
door SPF32 en/of DKIM33. Wanneer de mail niet voldoet aan de controles van SPF en/of DKIM
kan de mail als spam beschouwd worden door de ontvangende partij.
Webapplicatiesecurity (Gunter, 2007)
Om te verhinderen dat een phisher bestaande websites kan aanpassen om bezoekers om te leiden
naar een phishingsite worden systemen voor de webservers geplaatst die enerzijds controleren of het
surfgedrag van de gebruiker correct is en anderzijds die een controle uitvoeren op de webpagina’s om
te controleren of ze niet gewijzigd zijn. Deze toestellen worden webapplication firewalls genoemd.
Two-factorauthenticatie (Jian et al., 2013)
Deze techniek is gebaseerd op twee van de drie identificatiemechanismen die gebruikt kunnen
worden om te bewijzen dat iemand daadwerkelijk is wie hij beweert te zijn:
- Iets wat de persoon bezit: een rijbewijs, een toegangskaart, een sleutel, een one-time
password generator … ;
- Iets wat de persoon is (biometrische karakteristiek): een vingerafdruk, retina(scan) … ;
- Iets wat de persoon weet: een paswoord of andere persoonlijke informatie.
Een phisher kan maar één van de drie identificatiemechanismen omzeilen met name ‘iets wat de
persoon weet’, door deze informatie te stelen via een phishingaanval. Voor de andere twee
identificatiemechanismen is er geen online alternatief. Two-factorauthenticatie is niet helemaal veilig,
omdat phishers gebruik kunnen maken van een ‘live’ phishingaanval met behulp van de man-in-themiddle techniek, waarbij het one-time paswoord (iets wat de persoon bezit) alsnog ontvreemd wordt.
Toch heeft two-factorauthenticatie een meerwaarde omdat veel phishers niet onmiddellijk gebruik
maken van de data die ze stelen, waardoor de paswoorden die zij ontvreemd hebben waardeloos zijn
zonder één van de andere twee identificatiemechanismen.
Back-end analysis (Ramzan, 2010)
Deze techniek wordt typisch toegepast door banken en kredietkaartverstrekkers. Wanneer een
transactie vreemd lijkt (bijvoorbeeld een Nederlandse klant die een IP-adres heeft in Nigeria om een
bankverrichting uit te voeren), wordt in realtime deze transactie geblokkeerd. De grote uitdaging van
30
S/MIME (Secure/Multipurpose Internet Mail Extensions) is een standaard voor het beveiligd verzenden van e-mail dat in
een MIME-structuur is gevat. S/MIME gebruikt asymmetrische cryptografie met een publieke sleutel om het bericht te
versleutelen en digitaal te ondertekenen (The Internet Society, 1998).
31
OpenPGP is de meest gebruikte standaard voor e-mail- en tekstencryptie. OpenPGP maakt gebruik van asymmetrische
cryptografie waardoor er twee sleutels vereist zijn: één om te versleutelen en één om te ontsleutelen (OpenPGP Alliance,
2014).
32
Sender Policy Framework: het SPF protocol voegt aan het DNS-record van een domein een extra informatieveld toe. In dit
record wordt vermeld welke mailservers namens dit domein mail mogen verzenden. Staat een mailserver niet in deze
opsomming en verzendt deze toch mail met het betreffende domein als afzender, dan wordt de mail als onrechtmatig
beschouwd.
33
DomainKeys Identified Mail: DKIM voegt het veld 'DKIM-Signature' toe aan de header van een e-mail. Dit veld bevat een
digitale handtekening van de inhoud van de e-mail (op basis van zowel headers als de body van de e-mail). Deze handtekening
wordt gemaakt door middel van een vorm van encryptie, waarbij gebruik wordt gemaakt van RSA (een asymmetrisch
encryptiealgoritme ) voor het afhandelen van de encryptie van de sleutel.
63/110
Resultaten van het onderzoek
deze techniek ligt in het feit dat er geen ‘false positives’ mogen opduiken. Een ‘false positive’ zou een
legitieme transactie van een klant blokkeren.
Gateway services (Gunter, 2007)
De weg naar het internet, waar de phishing dreiging zich bevindt, wordt benoemd als de internet
gateway. Op deze gateway worden vaak systemen geplaatst die al het in- en uitgaand verkeer
controleren op virussen en andere malware. Als een gebruiker dus wenst een bericht te sturen of te
ontvangen of hij wenst naar het internet te connecteren, dan zal al zijn data, die door de gateway
gaat, gescand worden. Als een phisher een phishingbericht naar de klant stuurt, zal de gateway dit
bericht onderscheppen.
3.6.9 Technische maatregelen op maat van de overheid (literatuuronderzoek)
Oh and Obi (2012) stellen voor de overheid de volgende technische maatregel tegen phishing voor:
- Eén authenticatiepagina voor alle overheidsdiensten (single authentication page)
EÉN AUTHENTICATIEPAGINA VOOR ALLE OVERHEIDSDIENSTEN
De overheid kan best al haar diensten toegankelijk maken via één authenticatiepagina. In de
sensibiliseringscampagnes kan de overheid dan de nadruk leggen op het feit dat er slechts één
toegangspoort is tot de e-government. Daarnaast dient de overheid slechts voor één webomgeving
anti-phishingmaatregelen te voorzien, wat de maatregelen goedkoper maakt dan wanneer er een
veelvoud aan webomgevingen dient beveiligd te worden. Onderzoek bij de overheid in Japan heeft
aangetoond dat het gebruik van een single user account voor meerdere diensten de gebruikers een
veiliger gevoel geeft en daardoor drempelverlagend werkt voor de gebruikers (Oh & Obi, 2012). Het
nadeel van het gebruik van slechts één toegangspoort is het feit dat daarmee een SPOF (single point
of failure) gecreëerd wordt. Wanneer deze site gecompromitteerd wordt, hebben de cybercriminelen
toegang tot alle overheidssites en kunnen zij iedere gebruiker misleiden en gegevens ontfutselen.
3.6.10 Technische anti-phishingmaatregelen genomen door de Belgische overheid (empirisch
onderzoek)
In Tabel 15 wordt het overzicht gegeven van de technische maatregelen die genomen worden door
de overheidsinstellingen in België. Deze informatie is verkregen uit het interview met de ex-consultant
van een Vlaamse cyberbeveiligingsinstelling (Anoniem, 2014). Daar geen enkele
cyberbeveiligingsinstelling in België rechtstreeks heeft deelgenomen (zie ook 2.4.4) aan het onderzoek
dient Tabel 15 met de nodige scepsis bekeken te worden. De kans is reëel dat de Belgische overheid
nog andere vormen van anti-phishingmaatregelen neemt dan degene die zijn aangeduid in Tabel 15.
Anti-phishingmaatregel
Het
gebruiken
van
antiphishingtoolbars en plug-ins in
browers
SSL
Desktop agenten installeren op de
PCs
E-mail client hardening
Browser hardening
E-mail controle op de server
Web applicatie security
Two-factor authentication
Back-end analysis
Gateway services
Korte uitleg
In de browsers software componenten toevoegen die waarschuwingen geven aan de
gebruiker wanneer deze naar een onveilige site zou willen connecteren.
Sites enkel beschikbaar maken via HTTPS
Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een
persoonlijk intrusion detection systeem, een persoonlijke antispam software en een
spyware detectie software.
HTML gebaseerde mails verhinderen om automatisch naar het internet te laten
connecteren. Automatisch openen van bijlages blokkeren.
Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning
De server automatisch laten controleren of de DNS gegevens in de mails kloppen. Eventueel
gebruik maken van e-mail ondertekening (S/MIME – OpenPGP)
Gebruiken van een vorm van web application firewalling
Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een paswoord
Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Vlaamse (Belgische)
overheidssite waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren.
Al het in- en uitgaand verkeer laten passeren via een controlesysteem dat de
phishingboodschappen, virussen en malware filtert.
X
X
X
X
X
64/110
Resultaten van het onderzoek
Anti-phishingmaatregel
Gecentraliseerd portaal voor online
overheidsdiensten
Korte uitleg
De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer ze
eerst via een portaalsite surfen die hun identiteit controleert.
X
Tabel 15: Technische anti-phishingmaatregelen genomen door overheidsinstellingen om phishing tegen te gaan
Uit de antwoorden op de parlementaire vraag: “Is er bij uw diensten werk gemaakt van een
computerbeveiliging van het hele lokale netwerk? Worden met andere woorden alle pc's die met het
internet zijn verbonden door een vorm van computerbeveiliging beschermd?” (nummer 5-7566 en
aanverwanten) van Nele Lijnen (2013a) blijkt dat iedere overheidsadministratie die over een ICTafdeling beschikt haar eigen koers vaart en probeert naar best vermogen de systemen te beveiligen
tegen cyberincidenten.
Roel Deseyn (2014) vindt dat het feit dat er een tekort is aan specialisten een groot risico vormt om
technische anti-phishingmaatregelen uit te werken en te implementeren. Het risico bestaat dat de EU
niet alleen te afhankelijk wordt van ICT die elders wordt vervaardigd, maar ook dat alle
beveiligingsoplossingen buiten EU worden ontwikkeld. Het is een gezamenlijke verantwoordelijkheid,
niet enkel van de overheid maar ook van de industrie. Op het vlak van opleidingsinspanning en
levenslang leren kan nog een tandje bijgestoken worden. Ondanks inspanning in het verleden stijgt
het aantal STEM34 studenten maar heel beperkt. Steevast wordt hiervoor naar de overheid verwezen,
maar dit is een collectieve verantwoordelijkheid van overheid, onderwijs en de sector zelf. Het feit dat
20% van de mensen de school verlaat zonder diploma is een ‘waste of talent’, budgettair duur en op
menselijk vlak onaanvaardbaar. Hervormingen in het onderwijs zijn nodig.
3.6.11 Verantwoordelijkheid: NVB – Belgische overheid
De NVB is van oordeel dat de consument bewust dient te zijn dat phishingbestrijding een gedeelde
verantwoordelijk is. De financiële instelling en de bewuste consument dienen samen een inspanning
te leveren om phishing te herkennen en te bestrijden (Dreijer, 2012). Roel Deseyn (2014) geeft een
gelijkaardige opmerking. De overheid heeft een belangrijke rol te spelen in het veiliger maken van het
internet door het bestrijden van cybercrime, maar de burgers en de ondernemingen dienen ook een
deel van de verantwoordelijkheid te dragen. De overheid kan het niet alleen.
3.6.12 Technische maatregelen in Nederlandse financiële instellingen versus de Belgische
overheid
De financiële instellingen geven aan dat het lastig is om beveiligingssoftware te laten installeren op de
toestellen van de klant. Klanten ervaren dit als een vorm van betutteling. Sommige instellingen
gebruiken programma’s die controleren of er een automatisch programma probeert in te loggen of
een gewone menselijke gebruiker. Banken werken ook onderling meer samen en hebben goede
contacten en afspraken met politie en justitie om phishing te bestrijden. Een aantal financiële
instellingen werkt samen met gespecialiseerde firma’s om hun cyberbeveiliging te voorzien (Dreijer,
2012).
Zoals reeds eerder aangegeven vormen de Belgische beveiligingsinstellingen een erg versnipperd
landschap (Lijnen N., 2013a). Sommige instellingen hebben heel wat technische antiphishingmaatregelen geïmplementeerd daar waar anderen nog het niet meer door Microsoft
ondersteunde Windows XP als operating systeem gebruiken (Dedecker P., 2014). Er is ook een aantal
administraties die gebruik maken van externe expertise om het cybersecurityvraagstuk aan te pakken.
34
STEM = Science, Technology, Engineering and Math
65/110
Resultaten van het onderzoek
3.6.13 Uitdagingen
Khonji et al. (2013) stellen dat zowel het trainen van gebruikers als het gebruik van antiphishingindicatoren de volgende uitdagingen hebben:
- Niet-technische gebruikers staan niet open voor het anti-phishing leerproces en wanneer ze
het leerproces doorlopen hebben, dan vergeten ze de aangeleerde richtlijnen weer snel.
- Passieve indicatoren zijn nog steeds afhankelijk van de handelingen van de gebruiker. Als de
gebruiker de waarschuwingen van de passieve indicatoren in de wind slaat, hebben zij geen
effect. Kirlappos and Sasse (2012) geven aan dat, zelfs wanneer gebruikers een melding krijgen
in hun webbrowser dat zij naar een phishingsite dreigen te surfen, 53% van de gebruikers toch
doorklikken naar de phishingsite.
Khonji et al. (2013) geven aan dat gebruikers die getraind zijn, gebruikmakend van de meest
succesvolle educatieve systemen, om phishingaanvallen te detecteren, nog steeds in 29% van de
gevallen falen om een phishingaanval te detecteren.
Daarnaast hebben computers het nog steeds moeilijk met het interpreteren van de semantiek van
natuurlijke talen (Nederlands, Engels …), waardoor ze niet heel precies kunnen bepalen of een
boodschap al dan niet als een phishingboodschap geclassificeerd mag worden (Khonji et al., 2013).
Khonji et al. (2013) geven aan dat computersystemen in bepaalde gevallen slechts 75% van de
phishingboodschappen identificeren.
Kirlappos and Sasse (2012) concluderen dat technische anti-phishingmaatregelen (i.e. antiphishingindicatoren) steeds dienen aangevuld te worden met gebruikerstraining om een zo hoog
mogelijke bescherming tegen phishingaanvallen te realiseren. Er bestaat geen wondermiddel tegen
phishing. De meest effectieve manier om phishing te bestrijden is een combinatie van maatregelen,
waarbij steeds gezorgd dient te worden dat de eindgebruikers gesensibiliseerd zijn en getraind
worden om op de juiste manier met de technische anti-phishingmaatregelen om te gaan.
Moore et al. (2009) stellen dat instanties en organisaties die bezig zijn met anti-phishing best hun data
delen omdat dit de klanten en online bedrijven ten goede komt. Zij maken de vergelijking met de
antivirussector in de jaren 1980 – 1990. In die periode was er geen samenwerking tussen de
verschillende antivirus producten en bleek uit onderzoek in 1993 dat geen enkele antivirusoplossing
sluitend was omdat geen enkele antivirus producent alle bestaande virussen kende. De
antivirusproducenten hebben als gevolg van deze vaststelling een overeenkomst gesloten dat zij hun
kennis van bestaande en vooral nieuwe virussen zullen delen. Deze overeenkomst is vandaag nog
steeds in voege en heeft de virusbescherming voor eindgebruikers en industriële gebruikers sterk
verbeterd. Een zelfde redenering kan gevolgd worden voor de anti-phishing sector, maar tot op
vandaag is de weerstand om data over anti-phishing te delen groter dan de bereidheid om samen te
werken. Bedrijven gespecialiseerd in het offline brengen van phishingsites, vrezen dat het delen van
data drempelverlagend zal werken en nieuwe concurrenten zal doen verschijnen in de anti-phishing
markt.
66/110
Referentiemodel
4 Referentiemodel
Het referentiemodel (zie Figuur 21) is ontstaan uit het literatuuronderzoek. Door de antwoorden op
de verschillende onderzoeksvragen schematisch weer te geven werd een model bekomen dat als
steekkaart of als referentie kan gebruikt worden als het gaat over phishing. Dit model geeft op een
beknopte wijze een overzicht van wat phishing is, welke soorten er bestaan, wat de trends van
phishing zijn, welke gevolgen phishing heeft (ook voor de sector overheden) en wat er tegen gedaan
kan worden.
Definitie:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische
objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze
boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van
de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische
objecten of uit het ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware
kan waardevolle logische objecten ontvreemden en naar de phisher doorsturen of de phisher toegang
verschaffen tot middelen die toekomstige phishing aanvallen faciliteren.
FREQUENTIE - TRENDS
SOORTEN
Malware-based
phishing
Deceptive phishing
Phishing blijft jaarlijks stijgen
Spear-phishing in opmars
Overheid ook doelwit
Misleidende
technieken
E-mail - spam
Trojans
Vervalste websites
Instant messaging
Key loggers
URL hiding
Telefoon
Screen grabbing
Systeem
herconfiguratie
SMiShing (SMS)
Session hacking
Content injection
Vishing (VOIP)
Web-based delivery
Pharming
Zoekmachines
Wi-phishing
DNS cache poisoning
GEVOLGEN
Persoonlijke schade
Reputatieschade bedrijven
Wantrouwen e-goverment
Man-in-the-middle
Sociale media
Op doelgroepen
gerichte phishing
ANTI-PHISING
MAATREGELEN
Spear phishing
Whaling
Gebruikerseducatie
(sociale maatregelen)
Anti-phishing indicatoren
(technische maatregelen)
Passieve indicatoren
Actieve indicatoren
Anti-phishing toolbars
(browser plug-ins)
Client side
Server side
SSL
Desktop agenten
E-mail authenticatie
E-mail client
verbetering
Web applicatie security
Browser hardening
Two-factor
authenticatie
Back-end analysis
Gateway services
Figuur 21: Referentiemodel phishing ontstaan uit literatuuronderzoek
67/110
Conclusies, aanbevelingen, product- en procesreflectie
5 Conclusies, aanbevelingen, product- en procesreflectie
Dit hoofdstuk geeft de conclusies van het onderzoek weer, doet aanbevelingen tot verder onderzoek
en geeft een product- en procesreflectie van de auteur.
5.1 Conclusies
L1/E1 - Wat is phishing?
L2/E1 - Welke soorten van phishing bestaan er?
Phishing is een fenomeen dat in vele vormen voorkomt en gebruik maakt van een waaier aan
misleidende technieken. De eenvoudige vorm van phishing, waarbij een zeer grote groep potentiële
slachtoffers geviseerd wordt, wordt steeds meer vervangen door doelgerichtere vormen van phishing
zoals spear-phishing en whaling. Het medium e-mail als phishingboodschapdrager blijft populair, maar
sociale platformen als lokmiddel zijn in opmars. Phishers zijn er zich van bewust dat organisaties hun
gebruikers onderrichten in het herkennen van phishingaanvallen en zij proberen de gebruikers niet te
bruuskeren door een ‘low and slow’ benadering, waarbij de phishingcampagnes opgezet worden over
een langere periode met een minder hoge frequentie van het sturen van phishingboodschappen. Een
andere tendens bestaat er uit dat het sturen van een phishingboodschap als misleidingstechniek
afneemt ten voordele van meer directe infecteringswijzen. Zero-day-exploits in combinatie met
watering-holetechnieken hebben voor de phishers het voordeel dat ze niet meer afhankelijk zijn van
social engineering om de gebruiker zijn gegevens te stelen en dat de anti-phishingmaatregelen veel
minder effectief zijn.
Uit het literatuuronderzoek blijkt dat er drie elementen dienen te bestaan om van phishing te spreken:
een vorm van communicatie, een misleidende techniek en een objectief van de phisher. Uit het
literatuuronderzoek is deze definitie voor phishing afgeleid:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle
logische objecten te ontvreemden, gebruikmakend van boodschappen die misleidende
informatie bevatten. Deze boodschappen proberen het slachtoffer aan te zetten tot het
uitvoeren van handelingen ten voordele van de phisher. Deze handelingen kunnen bestaan uit
het rechtstreeks doorgeven van waardevolle logische objecten of uit het ongemerkt installeren
van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische
objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot
middelen die toekomstige phishingaanvallen faciliteren.
Verder blijkt uit het literatuuronderzoek dat er vier categorieën bestaan waarin phishing of de
aanverwante technieken kunnen onderverdeeld worden:
-
Deceptive phishing: het phishingbericht bevat een list om het slachtoffer te misleiden, maar
bevat geen malware;
Malware-based phishing: het phishingbericht bevat een vorm van malware die zich op het
toestel van het slachtoffer nestelt;
Op specifieke doelgroepen gerichte phishing: deze vorm maakt gebruik van de andere twee
soorten, maar richt zich op een specifieke doelgroep;
Misleidende technieken: dit zijn de technieken die toegepast worden in de verschillende
soorten van phishingaanvallen om het slachtoffer in de val te lokken.
68/110
Conclusies, aanbevelingen, product- en procesreflectie
Uit het empirisch onderzoek blijkt dat de Belgische overheid de laatste jaren een aantal zware
cyberincidenten heeft gehad, waarbij phishing steeds een belangrijke rol speelde. De Belgische
overheid wordt vooral geplaagd door e-mailphishing, maar merkt een tendens dat de
phishingpogingen steeds professioneler en gerichter worden (spear-phishing). Het cyberincident
bij de Rijksdienst voor Kinderbijslag van Werknemers is hier een voorbeeld van. De Belgische
overheid heeft veel te verliezen door toedoen van phishing- en cyberaanvallen. Naast
reputatieschade, is er economische schade en het feit dat de burgers hun overheid gaan
wantrouwen.
L3/E2 - Hoe vaak komt phishing voor?
Uit het literatuuronderzoek blijkt dat ondanks de toepassing van heel wat anti-phishingmaatregelen
het aantal phishingmeldingen jaar na jaar blijft stijgen. De financiële sector is sinds de registratie van
phishingaanvallen de meest getroffen sector. Naast deze sector wordt de overheid een steeds
interessanter doelwit voor phishers door de toename van het gebruik van web services door de
overheid, de zogenaamde e-government. Het aantal phishingmeldingen tegen de overheid houdt
ongeveer gelijke tred met het totaal aantal phishingmeldingen, wat erop neerkomt dat ook overheden
wereldwijd steeds meer last krijgen van phishingaanvallen.
Het empirisch onderzoek toont aan dat door het ontbreken van een centrale dienst die de
verschillende cyberbeveiligingsinstellingen van de overheid superviseert, er geen betrouwbaar
cijfermateriaal bestaat. Uit het weinige cijfermateriaal dat het CERT.be publiceert blijkt dat het aantal
phishingincidenten, gerelateerd aan door het CERT ontvangen meldingen, in België de laatste jaren
enorm gestegen is. De reden hiervoor is waarschijnlijk dubbel; mensen worden zich meer bewust en
sturen meer meldingen naar het CERT, maar het totale aantal phishingincidenten neemt ook toe. Als
we de cijfers van CERT.be vergelijken met de cijfers van APWG, dan stijgen de phishing cijfers in België
veel sterker. Dit doet vermoeden dat de eerste reden een belangrijke rol speelt in de spectaculaire
stijging van phishingmeldingen in België. Er gaan steeds meer stemmen op in België en binnen de
Europese Unie om een meldingsplicht in te stellen voor cyberincidenten. Enkel op die manier kan er
betrouwbaar cijfermateriaal naar boven gehaald worden waarmee het probleem duidelijk in kaart kan
gebracht worden.
L4/E3 - Wat zijn de gevolgen van phishing?
Niet-wetenschappelijke bronnen geven aan dat phishing de wereldeconomie voor 5,9 miljard dollar
heeft geschaad (EMC - RSACorporation, 2014). Uit het literatuuronderzoek blijkt dat voor het
individuele slachtoffer de confrontatie met phishing het vertrouwen in het internet met de
bijbehorende e-business zal verlagen. Daarnaast kan een phishingaanval die resulteerde in
identiteitsdiefstal nog lang na de feiten problemen opleveren, wanneer de identiteit is misbruikt in
bepaalde transacties. Ondernemingen wiens naam misbruikt is in een phishingaanval lopen
reputatieschade op. Deze reputatieschade zet de relatie tussen de onderneming en de klanten onder
druk. Overheden kunnen beschouwd worden als ondernemingen, waarbij de burgers hun klanten zijn.
Ook zij ondervinden reputatieschade door phishingaanvallen die hun naam misbruiken. De burger zal
door de phishingaanvallen een groter wantrouwen koesteren tegenover de overheid en haar
instellingen.
69/110
Conclusies, aanbevelingen, product- en procesreflectie
Uit het onderzoek komt duidelijk naar voren dat de Belgische overheid worstelt met de bestrijding van
cybercriminaliteit in het algemeen en phishing in het bijzonder. De administraties van de Belgische
overheid proberen de strijd aan te gaan met phishing binnen hun eigen departementen. Er is geen
centrale dienst die de coördinatie voor het registeren van cyberincidenten en sturing voor de
bestrijding van cybercriminaliteit op zich neemt. Iedere administratie roeit met de riemen die ze heeft
en wenst zo weinig mogelijk over de interne cyberkeuken naar buiten te brengen. Een onderzoek van
het Europees parlement heeft aangegeven dat deze mentaliteit één van de grootste struikelblokken
is om tot een cyberbeveiligingsstrategie te komen op Europees niveau. Teveel landen varen hun eigen
koers en wijken daar niet graag van af. Er bestaan zelfs vermoedens dat binnen de EU landen elkaar
bespioneren en proberen elkaars geheimen te stelen door toepassing van cyberhacking.
Europees onderzoek toont aan dat de helft van de ondervraagde Europese burger zijn internet gedrag
wijzigt door toedoen van cyberincidenten. Uit ditzelfde onderzoek blijkt dat de Belgen een redelijk
groot vertrouwen hebben in hun overheid en haar vermogen om de online privégegevens van haar
burgers te beschermen. Merkwaardig genoeg scoort België ongeveer even goed als Nederland, terwijl
Nederland toch een voorsprong heeft op het vlak van cybercrimebestrijding en al enkele jaren beschikt
over een cybersecuritystrategie.
L5/E4 - Wat zijn de maatregelen die tegen phishing genomen kunnen worden?
Gebruikerseducatie wordt door bijna alle onderzoekers naar voren geschoven als de hoeksteen van
anti-phishing. Dit kan onder andere door het lanceren van sensibiliseringscampagnes, door gebruik te
maken van interactieve anti-phishing games en door simulatieoefeningen te doorlopen met
gebruikers. Uit onderzoek blijkt dat gebruikerseducatie een continue inspanning is omdat niettechnische gebruikers zeer snel in hun oude gewoontes hervallen en zich weer snel laten misleiden.
Voor de overheid wordt gebruikerseducatie aangeraden onder de vorm van
sensibiliseringscampagnes in combinatie met een vereenvoudigde toegangspoort tot de egovernment. Op die manier worden de gebruikers vertrouwd gemaakt met de enige juiste manier om
aan te loggen op de web services van de overheid en anderzijds stijgt het vertrouwen van deze
gebruikers omdat ze een veiliger gevoel hebben bij het uitvoeren van transacties die persoonlijke
informatie bevatten. De technische maatregelen tegen phishing kunnen de dreiging afzwakken, maar
door het kat-en-muis spel tussen de cyberbeveiliging en de cybercriminaliteit blijft ook dit een
continue inspanning. Op wetgevend vlak zijn er voornamelijk in de Verenigde Staten initiatieven
geweest om phishers zwaar te straffen. Deze aanpak is weinig succesvol gebleken omdat
cybercriminelen zich niet laten binden door landsgrenzen en ook omdat de weinige phishers die
opgepakt worden, bijna nooit de middelen hebben om de slachtoffers schadeloos te stellen.
Daarnaast is het wetgevend proces traag in vergelijking met de technologische evoluties en heeft de
phishing dreiging meestal een metamorfose ondergaan wanneer anti-phishing wetgeving van kracht
wordt.
Het empirisch onderzoek wijst uit dat de Ministerraad in België een aantal initiatieven genomen heeft
die jammer genoeg tot op de dag van vandaag dode letter zijn gebleven. De Ministerraad heeft een
Cybersecuritystrategie voor België opgesteld die als doel heeft de cyberbeveiliging in België te
garanderen. Daarnaast is er ook een voorstel uitgewerkt om een Centrum voor Cybersecurity België
in het leven te roepen.
70/110
Conclusies, aanbevelingen, product- en procesreflectie
De noodkreet "We are losing this battle" is tekenend voor de onmacht van de mensen die dienen in
te staan voor de cyberbeveiliging in België. Onderbemand, zonder budget is het dweilen met de kraan
open. Als de Zweedse coalitie de volgende federale regering wordt, dan is de kans groot dat
cyberbeveiliging een hoge prioriteit zal krijgen en dat de nodige budgetten vrijgemaakt zullen worden.
Het feit dat België op de Romaans - Germaanse breuklijn ligt in Europa maakt de dingen er niet
eenvoudiger op. Er bestaat een cultuurverschil tussen de Nederlandstalige en de Franstalige
parlementsleden in relatie tot informatisering en privacy. De Nederlandstalige parlementsleden
geloven in meer informatisering en bescherming van de privacy door het instellen van
veiligheidsmaatregelen met behulp van cybersecurity. De Franstalige parlementsleden hebben het
hier moeilijker mee omdat zij vrezen dat de privacy van de burger sowieso in het gedrang komt
ondanks de ingestelde cyberbeveiligingsmaatregelen. Voor beide strekkingen valt wat te zeggen. Door
een verdere informatisering van de overheidsdiensten, zal de overheid efficiënter, sneller en beter
functioneren. Daarnaast blijkt uit de onthullingen van Edward Snowden dat bijna geen enkel
informatiesysteem veilig is voor inlichtingendiensten. In het licht van de onthullingen van Snowden
stelt zich de vraag in hoeverre de privacy van de burger beschermd kan worden door
informatiebeveiligingssystemen als bijvoorbeeld de NSA backdoors in die systemen laat inbouwen.
Het merendeel van de Belgische overheidsadministraties zorgt ervoor dat haar werknemers ingelicht
zijn over de mogelijke gevaren van phishing en cybermisdrijven. De Belgische overheid heeft ook reeds
een sensibiliseringsbericht verstuurd via de openbare omroep. Uit een enquête van Eurostat blijkt dat
de Belgische burger zich gemiddeld geïnformeerd voelt over de gevaren van cybercriminaliteit. De
Nederlandse burger voelt zich veel beter ingelicht dan de Belgische burger. Dit geeft aan dat de
Belgische overheid nog werk voor de boeg heeft om haar burgers te sensibiliseren, wat beaamd wordt
door verschillende parlementsleden.
Een belangrijke conclusie is dat cyberbeveiliging niet alleen een taak van de overheid is. Iedere burger,
iedere onderneming dient haar steentje bij te dragen. Enkel door de verantwoordelijkheid samen op
te nemen kan het internet een veiligere plaats worden voor de Belgen.
Antwoordbereidheid
Een opvallende vaststelling van het onderzoek was de niet-bestaande antwoordbereidheid bij de
Belgische cybersecurityinstellingen. Geen enkele instelling heeft deelgenomen aan het onderzoek. De
slagzin ‘security through obscurity’ blijkt hoog in het vaandel gedragen te worden door deze
instellingen, ondanks wetenschappelijke aanwijzingen dat dit het cybersecurityprobleem enkel maar
vergroot (Moore et al., 2009).
Betrouwbaarheid – validiteit
Het feit dat de Belgische cyberbeveiligingsinstellingen niet hebben deelgenomen aan het onderzoek
heeft een negatieve impact op de betrouwbaarheid van de resultaten van het empirisch onderzoek.
Deze instellingen beschikken over de werkelijke cijfers en informatie over phishing en
cybercriminaliteit. De Vlaamse partijen zijn afhankelijk van de informatie die zij krijgen van de
overheidsinstellingen, bijvoorbeeld door het stellen van parlementaire vragen. Uit de antwoorden op
de parlementaire vragen met betrekking tot cybersecurityincidenten blijkt dat overheidsinstellingen
soms de ware toedracht verbergen door het geven van nietszeggende antwoorden. De kruisvalidatie
71/110
Conclusies, aanbevelingen, product- en procesreflectie
van de antwoorden van een ex-consultant van een Vlaamse cyberbeveiligingsinstelling en de
antwoorden van de Vlaamse politieke partijen vertoont dat er een sterke vorm van homogeniteit
bestaat tussen de antwoorden. Er bestaan geen significante verschillen tussen de antwoorden van de
Vlaamse politieke partijen wanneer ze vergeleken worden aan de hand van hun positie op het
politieke spectrum. Iedere respondent is het erover eens dat cybercrimebestrijding
(phishingbestrijding) in België een probleem is. De onwil van de cyberbeveiligingsinstellingen om
informatie vrij te geven onderstreept het bestaan van dit probleem. Daar het onderzoek opgebouwd
is rond een referentiemodel dat is afgeleid uit de meeste recente wetenschappelijk literatuur kan het
in haar huidige vorm ook bij andere overheden toegepast worden. Er is sprake van een hoge mate van
externe validiteit.
Vergelijking tussen phishing bij de Belgische overheid en phishing bij financiële instellingen in
Nederland
De financiële instellingen in Nederland bleken een hogere antwoordbereidheid te tonen dan de
Belgische cyberbeveiligingsinstellingen. Door het gebrek aan een centraal beleid, houden de Belgische
administraties informatie over cyberbeveiliging liever binnenskamers. Moore et al. (2009) gaven in
hun onderzoek aan dat dit vroeger ook het geval was tussen antivirus ondernemingen. Maar door
kennis te delen over virusincidenten zijn deze ondernemingen in staat gebleken om hun
antivirusproducten beter te maken en de virusbedreiging beter te lijf te kunnen gaan. De grote
winnaar daarvan is de consument. ‘Security through obscurity’ speelt enkel de cybercriminelen in de
kaart. Zij hebben rapporten en cijfers over cyberincidenten niet nodig om hun misdrijven te plegen,
om een Belgisch (Europees) cyberveiligheidsbeleid uit te bouwen zijn deze cijfers echter onontbeerlijk.
Zowel de financiële sector in Nederland als de Belgische overheid merken dat er steeds meer spearphishingpogingen gebeuren. Daarnaast hebben ze beide last van algemene e-mailphishing,
telefoonphishing en malware-based phishing.
Het merendeel van de phishingaanvallen tegen financiële instellingen in Nederland is gericht op
geldgewin. Sommige phishingaanvallen tegen de Belgische overheid (cyberincidenten van Rijksdienst
voor Kinderbijslag en de Belgische fiscus) waren er ook op gericht om bankgegevens te ontvreemden
om geld te kunnen stelen. Andere aanvallen tegen de Belgische overheid waren erop gericht
informatie te stelen. Daarnaast heeft de Belgische overheid ook last van ‘state-sponsored’ aanvallen,
waarbij phishing gebruikt wordt als middel om binnen te dringen en confidentiële informatie te stelen
(BICS cyberincident).
Het cyberbeveiligingsbeleid van Nederlandse financiële instellingen wordt deels gecoördineerd door
de NVB. De NVB zorgt samen met haar leden voor sensibiliseringscampagnes en houdt cijfermateriaal
bij. De NVB heeft zelfs een definitie van phishing opgesteld om spraakverwarringen te vermijden. De
NVB erkent ook het probleem dat phishing stelt en geeft de bestrijding ervan de hoogste prioriteit. De
Belgische overheid heeft nog geen centraal coördinatiepunt en heeft moeite om het probleem van
cybercriminaliteit te erkennen. De financiële instellingen trekken de nodige budgetten uit om de strijd
tegen cybercriminaliteit te voeren. Zij werken nauw samen met politie en justitie. Een aantal financiële
instellingen maakt gebruik van externe firma's voor hun cyberbeveiliging. De administraties van de
Belgische overheid werken ook nauw samen met justitie en politie en sommige overheidsdiensten
maken ook gebruik van externe cyberbeveiligingsfirma's. Het grote verschil ligt in het feit dat zij niet
over de nodige budgetten beschikken om een sterk beveiligingsbeleid te implementeren. De NVB
72/110
Conclusies, aanbevelingen, product- en procesreflectie
geeft aan dat phishingbestrijding een gedeelde verantwoordelijkheid is tussen de klant en de
financiële instelling. Een zelfde redenering wordt gevolgd door cybercrimespecialisten van de
Belgische overheid en een aantal parlementsleden. Cybercrimebestrijding is een gedeelde
verantwoordelijkheid tussen de overheid en de burger.
Hoofdvraag: Hoe gaat de Belgische overheid om met phishing?
De hoofdvraag luidt: Hoe gaat de Belgische overheid om met phishing?. Het antwoord hierop is dat de
Belgische overheid veel moeite heeft met phishing. Ondanks initiatieven om cybercriminaliteit hoog
op de agenda te krijgen, ondanks initiatieven om een visie uit te werken en om een centraal
superviserend cybersecuritycentrum op te richten is er in de praktijk niets aan de precaire
cybersecuritysituatie in België veranderd. Noodkreten van cybersecurityspecialisten bij de overheid
zelf, die zelfs teruggaan tot 2007, zijn allemaal in dovemansoren gevallen. Iedere overheidsdienst
probeert naar best vermogen phishing het hoofd te bieden. Het probleem wordt niet erkend en
daardoor zijn er ook geen mensen en budgetten voorzien. Uit een hele reeks incidenten blijkt dat het
probleem phishing (cybercriminaliteit) wel degelijk bestaat en veel schade berokkent aan de overheid
en aan het land. Er is gelukkig een aantal lichtpunten in het onderzoek naar boven gekomen. Een
aantal Vlaamse partijen heeft blijk gegeven van een duidelijke visie over hoe er in de toekomst dient
omgegaan te worden met phishing (cybercriminaliteit). In het voorlopige regeerakkoord van de op
handen zijnde nieuwe Belgische regering is de bestrijding van cybercriminaliteit één van de
topprioriteiten.
73/110
Conclusies, aanbevelingen, product- en procesreflectie
5.2 Aanbevelingen voor verder onderzoek
In deze paragraaf wordt een aantal pisten naar voren geschoven voor verder onderzoek.
NEDERLAND
Daar België en Nederland landen zijn die sterk op elkaar gelijken zou dit onderzoek in Nederland
kunnen uitgevoerd worden. De hoofdvraag zou dan luiden: Hoe gaat de Nederlandse overheid om
met phishing?. De conclusies van het onderzoek bij de Nederlands overheid kunnen dan vergeleken
worden met de conclusies van dit onderzoek.
FRANKRIJK
Dit onderzoek zou ook in Frankrijk uitgevoerd kunnen worden. Frankrijk is een veel groter land dan
België, maar net de verschillen tussen een groot land en een klein land kunnen nieuwe inzichten
opleveren. Een groot land zal waarschijnlijk meer voor eigen rekening proberen te rijden, daar waar
een klein land zich meestal naar Europa richt omdat het zelf beperktere mogelijkheden heeft om
cybercriminaliteit (phishing) te bestrijden.
EUROPEES VERBAND
Een groter onderzoek naar phishing in relatie tot de overheid zou in alle landen van de EU kunnen
gebeuren. Dit zou veel nieuwe inzichten naar voren brengen en zou de basis kunnen vormen voor een
beleid op Europees niveau.
BREDERE SCOPE
De scope van het onderzoek zou breder kunnen genomen worden. Niet enkel phishing in relatie tot
de overheid zou onderzocht kunnen worden, maar cybercriminaliteit in zijn geheel.
JURIDISCHE ANTI-PHISHINGMAATREGELEN
Bijkomend onderzoek zou zich kunnen richten op de juridische invalshoek van phishingbestrijding.
Welk wetgevend kader is noodzakelijk om phishing te bestrijden?
VERDER IN DE TIJD
Daar de federale overheid in België waarschijnlijk binnenkort gevormd zal worden, kan binnen
bijvoorbeeld tweeëneenhalf jaar dit onderzoek opnieuw uitgevoerd worden om te toetsen in hoeverre
mate de overheidsinstellingen erop vooruit zijn gegaan op het vlak van phishingbestrijding.
5.3 Productreflectie
In deze paragraaf wordt een aantal punten van kritiek op het onderzoek aangeraakt.
Voor dit onderzoek is er voornamelijk gebruik gemaakt van:
-
antwoorden gegeven door politici;
antwoorden die door de aangeschreven regeringsadministraties gegeven zijn op schriftelijke
parlementaire vragen;
rapporten gemaakt in Belgische en Europese context.
De resultaten van het onderzoek zouden een stuk sterker zijn, als de verschillende
cyberbeveiligingsinstellingen van de overheid deel hadden genomen aan het onderzoek. Het feit dat
geen enkele instelling bereid was om mee te werken is een resultaat op zich. Er schort duidelijk wat
aan het cyberbeveiligingsbeleid van de overheid. De effectiviteit van de anti-phishingmaatregelen, die
door de Belgische overheid genomen worden, kon niet onderzocht worden omdat de
cyberbeveiligingsinstellingen van de overheid niet deel hebben genomen aan het onderzoek,
waardoor er geen cijfermateriaal over effectiviteit ter beschikking is.
74/110
Conclusies, aanbevelingen, product- en procesreflectie
Het aantal respondenten van dit onderzoek is beperkt. Het onderzoek had uitgebreid kunnen worden
naar woordvoerders van ondernemingen in de private sector, naar onderzoekscentra en naar lagere
overheden want ook zij krijgen te maken met phishing en ook zij hebben veel te verliezen. Een
dergelijke uitbreiding zou buiten de scope van het onderzoek zijn getreden maar kan wel stof zijn voor
verder onderzoek.
In het onderzoeksverslag zijn soms vereenvoudigingen doorgevoerd om de leesbaarheid te
bevorderen en om interessante vergelijkingen mogelijk te maken. De vergelijkingen tussen phishing
in relatie tot Nederlandse financiële instellingen en phishing bij de Belgische overheid zijn hier een
voorbeeld van. Enkel de aspecten die vergeleken konden worden zijn in het onderzoek besproken.
Een publieke onderneming wordt op een heel andere manier bestuurd dan een private onderneming.
Een publieke onderneming heeft vaak een monopolie en is onderhevig aan machtspolitiek. Een private
onderneming dient op een concurrerende markt stand te houden en zal daardoor sneller reageren op
evolutieve gebeurtenissen zoals het steeds sterker optreden van cybercriminaliteit. Ondanks die
verschillen is er toch een aantal interessante vergelijkingspunten naar voren gebracht.
De waarde van het onderzoek bestaat uit twee aspecten:
1. Er is een duidelijk referentiekader gecreëerd gebaseerd op peer reviewed literatuur. Dit
referentiekader kan gebruikt worden om in één overzicht de verschillende aspecten van
phishing te duiden.
2. Het onderzoek brengt een sterk noodsignaal naar voren. De Belgische overheid dient zo snel
mogelijk iets te doen aan haar cyberbeveiliging. Er zijn jaren verloren gegaan en de reeks
incidenten van de laatste paar jaren geven aan dat de Belgische overheid ook als doelwit
gebruikt wordt door hackers. Er is gelukkig ook een zilveren rand aan de onweerswolk; de
cyberspecialisten van de verschillende partijen, die deelgenomen hebben aan het onderzoek,
zijn het unaniem eens dat cyberbeveiliging prioriteit en budget dient te krijgen. Er zijn
wetsvoorstellen die klaarliggen om van start te gaan, de regering dient ze enkel te laten
stemmen.
5.4 Procesreflectie
De handleiding voor het onderzoek heeft het proces een stuk eenvoudiger gemaakt (Hofstee &
Kusters, 2012). De mijlpaaldocumenten zorgden ervoor dat de focus steeds goed lag en dat er
stapsgewijs naar een goed onderbouwd onderzoeksverslag gewerkt werd. Het hele proces is
voorspoedig verlopen tot aan het empirisch onderzoek. De opzet van het onderzoek was duidelijk,
maar antwoorden krijgen van de aangesproken instanties bleek lastig te zijn. Zoals reeds besproken
in voorgaande hoofdstukken bleek de antwoordbereidheid nagenoeg onbestaande te zijn. Ondanks
herhaaldelijke telefonische oproepen en herhalingse-mails verwaardigde geen enkele instelling zich
om een antwoord te geven. Er is dan beslist om de onderzoekspopulatie te verbreden naar politici.
Ook hier was het verkrijgen van antwoorden niet altijd eenvoudig, maar de antwoordbereidheid was
beduidend hoger.
De kwaliteit van de antwoorden was zeer goed, wat het duidelijk en volledig beantwoorden, met
uitzondering van de kwalitatieve vragen, van de onderzoeksvragen mogelijk maakte.
De begeleider was steeds stipt en heel correct, wat de samenwerking prettig maakte.
De manier waarop wetenschappelijk onderzoek gebeurt, was voor mij niets nieuw. Ongeveer 20 jaren
geleden heb ik reeds een vergelijkbaar werk gemaakt. De referentiesoftware EndNote was wel een
aangename verrassing. Referenties dienden niet meer zelf overgetypt te worden uit artikelen, maar
EndNote importeerde die en bracht die via een plug-in in Word netjes naar de tekst. De digitale
75/110
Conclusies, aanbevelingen, product- en procesreflectie
bibliotheek van de OU was ook een verademing. Alle literatuur was onmiddellijk bij de hand, waardoor
er niet meer naar bibliotheken diende gereden te worden. Het milieu is er ook wel bij gevaren, want
het kopiëren van artikelen was ook niet meer nodig.
Ik vond het leerzaam om een fenomeen als phishing uit te spitten. Iedereen wordt geconfronteerd
met phishing, maar het bleek voor mij toch een verrassing hoe krachtig deze social engineering
methode is. Het contact met de politici en hun partijen was ook een aangename ervaring. België heeft
heel kundige mensen in het parlement. Het is alleen jammer dat het parlement in België wat
ondergewaardeerd is bij de beleidsvoering.
76/110
Referenties
6 Referenties
6.1 Wetenschappelijke bronnen
Abad, C. (2005). The economy of phishing. First Monday, 1-1.
Al-Msloum, A. S., & Al-Johani, A. A. (2013). SOCIAL ENGINEERING AND ITS EFFECTIVE ROLE IN
KNOWLEDGE COMMUNITY. International Journal of Academic Research, 5(6), 232-238. doi:
10.7813/2075-4124.2013/5-6/A.30
Baron, L. (2006). Gone Vishing. Journal of Accountancy, 202(3), 15-15.
Bergholz, A., De Beer, J., Glahn, S., Moens, M.-F., Paaß, G., & Strobel, S. (2010). New filtering
approaches for phishing email. Journal of Computer Security, 18(1), 7-35. doi: 10.3233/JCS2010-0371
Bose, I., & Leung, A. C. M. (2007). UNVEILING THE MASK OF PHISHING: THREATS, PREVENTIVE
MEASURES, AND RESPONSIBILITIES. Communications of the Association for Information
Systems, 19, 544-566.
Butler, R. (2007). A framework of anti-phishing measures aimed at protecting the online consumer's
identity. The Electronic Library, 25(5), 517-533.
Demchak, C. C. (1999). ‘New Security’ in Cyberspace: Emerging Intersection between Military and
Civilian Contingencies. Journal of Contingencies & Crisis Management, 7(4), 181.
Emigh, A. (2006). The crimeware landscape: Malware, phishing, identity theft and beyond. Journal of
Digital Forensic Practice, 1(3), 245-260.
Feigelson, J., & Calman, C. (2010). LIABILITY FOR THE COSTS OF PHISHING AND INFORMATION THEFT.
Journal of Internet Law, 13(10), 1-26.
Folsom, W. D., Guillory, M. D., & Boulware, R. D. (2005). Gone Phishing. Business & Economic Review,
52(1), 29-31.
Gyorffy, J., Tappenden, A., & Miller, J. (2011). Token-based graphical password authentication.
International Journal of Information Security, 10(6), 321-336. doi: 10.1007/s10207-011-01470
Hong, J. (2012). The State of Phishing Attacks. Communications of the ACM, 55(1), 74-81. doi:
10.1145/2063176.2063197
Hong, J. (2013). "Is the Computer Security Community Barking Up the Wrong Trees?". Communications
of the ACM, 56(6), 10-11. doi: 10.1145/2461256.2461261
Jagatic, T. N., Johnson, N. A., Jakobsson, M., & Menczer, F. (2007). SOCIAL PHISHING. Communications
of the ACM, 50(10), 94-100.
Jansson, K., & von Solms, R. (2013). Phishing for phishing awareness. Behaviour & Information
Technology, 32(6), 584-593. doi: 10.1080/0144929x.2011.632650
Jian, C., Venkatasubramanian, K. K., West, A. G., & Insup, L. E. E. (2013). Analyzing and Defending
Against Web-Based Malware. ACM Computing Surveys, 45(4), 49-49:35. doi:
10.1145/2501654.2501663
Khonji, M., Iraqi, Y., & Jones, A. (2013). Phishing Detection: A Literature Survey. Ieee Communications
Surveys and Tutorials, 15(4), 2091-2121. doi: 10.1109/surv.2013.032213.00009
Kirlappos, I., & Sasse, M. A. (2012). Security Education against Phishing: A Modest Proposal for a Major
Rethink. IEEE Security and Privacy Magazine, 10(2), 24-32.
Kruck, G. P., & Kruck, S. E. (2006). SPOOFING - A LOOK AT AN EVOLVING THREAT. Journal of Computer
Information Systems, 47(1), 95-100.
Kumaraguru, P., Sheng, S., Acquisti, A., Cranor, L., & Hong, J. (2010). Teaching Johnny not to fall for
phish. ACM Transactions on Internet Technology, 10(2), 1-31.
Mannan, M., & van Oorschot, P. C. (2011). Leveraging personal devices for stronger password
authentication from untrusted computers. Journal of Computer Security, 19(4), 703-750. doi:
10.3233/JCS-2010-0412
Mayhorn, C. B., & Nyeste, P. G. (2012). Training users to counteract phishing. Work-a Journal of
Prevention Assessment & Rehabilitation, 41, 3549-3552. doi: 10.3233/wor-2012-1054-3549
77/110
Referenties
Moore, T., Clayton, R., & Anderson, R. (2009). The Economics of Online Crime. Journal of Economic
Perspectives, 23(3), 3-20. doi: 10.1257/jep.23.3.3
Oh, Y., & Obi, T. (2012). Identifying Phishing Threats in Government Web Services. International
Journal of Information and Network Security (IJINS), 2(1), 32-42.
Oravec, J. A. (2012). DECONSTRUCTING "PERSONAL PRIVACY" IN AN AGE OF SOCIAL MEDIA:
INFORMATION CONTROL AND REPUTATION MANAGEMENT DIMENSIONS. International
Journal of the Academic Business World, 6(1), 95-104.
Purkait, S. (2012). Phishing counter measures and their effectiveness–literature review. Information
Management & Computer Security, 20(5), 382-420.
Ramzan, Z. (2010). Phishing attacks and countermeasures Handbook of Information and
Communication Security (pp. 433-448): Springer.
Sheng, S., Kumaraguru, P., Acquisti, A., Cranor, L., & Hong, J. (2009). Improving phishing
countermeasures: An analysis of expert interviews. Proceedings of the 4th APWG eCrime
Researchers Summit, 2, 4.
Shirey, R. (2007). RFC4949 Internet security glossery. 2.
Sinha, A., Haddad, I., Nightingale, T., Rushing, R., & Thomas, D. (2006). Wireless intrusion protection
system using Distributed collaborative intelligence. Paper presented at the Performance,
Computing, and Communications Conference, 2006. IPCCC 2006. 25th IEEE International.
Vishwanath, A., Herath, T., Chen, R., Wang, J. G., & Rao, H. R. (2011). Why do people get phished?
Testing individual differences in phishing vulnerability within an integrated, information
processing model. Decision Support Systems, 51(3), 576-586. doi: 10.1016/j.dss.2011.03.002
Wall, D. S. (2008). Cybercrime, media and insecurity: The shaping of public perceptions of cybercrime.
International Review of Law, Computers & Technology, 22(1/2), 45-63. doi:
10.1080/13600860801924907
Wenyin, L., Liu, G., Qiu, B., & Quan, X. (2012). Antiphishing through Phishing Target Discovery. IEEE
Internet Computing, 16(2), 52-61.
Workman, M. (2008). Wisecrackers: A theory-grounded investigation of phishing and pretext social
engineering threats to information security. Journal of the American Society for Information
Science and Technology, 59(4), 662-674. doi: 10.1002/asi.20779
Zhang, Y., Egelman, S., Cranor, L., & Hong, J. (2006). Phinding phish: Evaluating anti-phishing tools.
6.2 Niet-wetenschappelijke bronnen
Anoniem. (2014). Interview over e-IB - Phishing bij Vlaamse overheid. In P. Schoofs (Ed.).
Anti-Phishing Work Group Inc. (2014). About the APWG.
Retrieved 22/6, 2014, from
http://www.apwg.com/about-APWG/
APWG. (2014). Phishing Activity Trends Report.
Retrieved 5/6, 2014, from
http://www.antiphishing.org/
WETSVOORSTEL tot wijziging van de wet van 8 december 1992 tot bescherming van de persoonlijke
levenssfeer ten opzichte van de verwerking van persoonsgegevens wat de administratieve
sancties, melding van lekken van gegevens, inzagerecht en informatieveiligheidsconsulenten
betreft (2011).
Belgisch Instituut voor postdiensten en telecommunicatie: over ons. (2014). Retrieved 1/6, 2014,
from http://www.bipt.be/nl/consumenten/over-ons
Belgische_Federale_Overheidsdiensten. (2012). Historische schets van de federalisering van België.
Retrieved
1/6,
2014,
from
http://www.belgium.be/nl/over_belgie/land/geschiedenis/belgie_vanaf_1830/vorming_fed
erale_staat/eerste_en_tweede_staatshervorming/
Belnet. (2014). Retrieved 1/6, 2014, from http://belnet.be/nl/over-ons/wie-zijn-we
CD&V. (2014). Geschiedenis.
Retrieved 17/9, 2014, from http://algemeen.cdenv.be/onzepartij/geschiedenis-0
Cert.be. (2014). Retrieved 1/6, 2014, from https://www.cert.be/nl
CERT.be. (2014). Enkele cijfers. Retrieved 3/10, 2014, from https://www.cert.be/nl/enkele-cijfers
78/110
Referenties
CustomerReport.org. (2009). State of the Net 2009.
Retrieved 26/6, 2014, from
http://www.consumerreports.org/cro/magazine-archive/june-2009/electronicscomputers/state-of-the-net/state-of-the-net-2009/state-of-the-net-2009.htm
Dedecker P. (2014). Interview N-VA phishing - overheid. In P. Schoofs (Ed.).
Delafortrie, S., & Springael, C. (2014). Oprichting van het Centrum voor cybersecurity België - tweede
lezing.
Retrieved
6/10,
2014,
from
http://www.presscenter.org/nl/pressrelease/20140425/oprichting-van-het-centrum-voorcybersecurity-belgie-tweede-lezing
Desey R, & Scharpé W. (2014). Interview CD&V phishing - overheid. In P. Schoofs (Ed.).
Dreijer, K. (2012). Online hengelen zonder vergunning. (MSc), Open Universiteit Nederland, Heerlen.
EMC - RSA. (2013). Phishing kits - The same wolf, just a different sheep's clothing. Retrieved 25/6,
2014,
from
https://www.google.be/url?sa=t&rct=j&q=&esrc=s&source=web&cd=4&cad=rja&uact=8&ve
d=0CDoQFjAD&url=http%3A%2F%2Fwww.brandprotect.com%2Fcatching-aphish.html&ei=M52qU7izIOLQ7AbX6YGIBA&usg=AFQjCNEXZMlAzeBUXdXRW0jadhpXhWctA&sig2=bb0pRIFACrlGB10MlES0Pw
EMC - RSA Corporation. (2014). 2013 a year in review. from http://www.emc.com/collateral/fraudreport/rsa-online-fraud-report-012014.pdf
Emigh, A. (2006). The crimeware landscape: Malware, phishing, identity theft and beyond. Journal of
Digital Forensic Practice, 1(3), 245-260.
FCCU
RCCU.
(2014).
Retrieved
1/6,
2014,
from
http://www.polfedfedpol.be/org/org_dgj_FCCU_RCCU_nl.php
Federale politie. (2013). Integrale en geïntegreerde aanpak van de criminele fenomenen: Globale
cijfers Retrieved 4/10, 2014, from http://www.rapportannuel.policefederale.be/fenomenennl.php
GROEN. (2014). Groen. Retrieved 17/9, 2014, from http://www.groen.be/
Gunter, O. (2007). The Phishing Guide: Understanding & Preventing Phishing Attacks. Retrieved
18/6/2014, 2014, from http://www-935.ibm.com/services/us/iss/pdf/phishing-guide-wp.pdf
Hofstee, H., Kusters, R. (2012). Afstudeertraject Business Process Management and IT. Heerlen: Open
Universiteit.
ICT,
e-government
en
informatie.
(2014).
Retrieved
1/6,
2014,
from
http://www.bestuurszaken.be/ict-e-government-informatie
Lijnen
N.
(2013).
Schriftelijke
vraag
nr.
5-10355.
Retrieved
from
http://www.senate.be/www/?MIval=/Vragen/SVPrintNLFR&LEG=5&NR=10355&LANG=nl.
Lijnen N, & Bynens L. (2014). Interview Open VLD: phishing - overheid. In P. Schoofs (Ed.).
Lijnen N. (2013a). Schriftelijke vraag nr. 5-7583 - 5-7582 - 5-7581 - 5-7580 - 5-7579 - 5-7578 - 5-7576 5-7575 - 5-7574 - 5-7573 - 5-7572 - 5-7571 - 5-7570 - 5-7569 - 5-7568 - 5-7567 - 5-7566.
Brussels:
Retrieved
from
http://www.senate.be/www/?MIval=/Vragen/SchriftelijkeVraag&LEG=5&NR=7566&LANG=n
l.
Lijnen N. (2013b). Schriftelijke vraag nr. 5-8976.
Brussels:
Retrieved from
http://www.senate.be/www/?MIval=/Vragen/SVPrint&LEG=5&NR=9393&LANG=nl.
Lijnen N. (2013c). Schriftelijke vraag nr. 5-10266.
Brussel:
Retrieved from
http://www.senate.be/www/?MIval=/Vragen/SchriftelijkeVraag&LEG=5&NR=10266&LANG=
nl.
Lijnen N. (2014). Schriftelijke vraag nr. 5-9393.
Brussels:
Retrieved from
http://www.senate.be/www/?MIval=/Vragen/SVPrint&LEG=5&NR=9393&LANG=nl.
N-VA. (2014). Geschiedenis. Retrieved 17/9, 2014, from http://www.n-va.be/over-n-va/geschiedenis
Nationale
Veiligheidsoverheid
(NVO).
(2012).
Retrieved 1/6,
2014,
from
http://diplomatie.belgium.be/nl/over_de_organisatie/organogram_en_structuur/nvo/
79/110
Referenties
Open
VLD.
(2014).
Onze
geschiedenis.
Retrieved
17*9,
2014,
from
http://www.openvld.be/?type=content&id=17&pageid=21772
OpenPGP Alliance. (2014). OpenPGP. Retrieved 28/6, 2014, from http://www.openpgp.org/
Phishing.org. (2014). Phishing Techniques.
Retrieved 19/06/2014, 2014, from
http://www.phishing.org/phishing-techniques/
Reijerman, D. (2011). Ssl-hacker claimt privésleutel GlobalSign in handen te hebben. Retrieved 27/11,
2014, from http://tweakers.net/nieuws/76640/ssl-hacker-claimt-privesleutel-globalsign-inhanden-te-hebben.html
Saunders, M., Lewis, P., Thornhill, A., Booij, M., & Verckens, J. P. (2011). Methoden en technieken van
onderzoek (5 ed.). Amsterdam: Pearson Education Benelux BV.
Shirey, R. (2007). RFC4949 Internet security glossery. 2.
SP.A. (2014). Geschiedenis. from http://www.s-p-a.be/partij/geschiedenis/
Stewart, J. (2014). CompTIA Security+ Review Guide: Exam SY0-401. Canada: Sybex.
Symantec. (2014). Internet security threat report 2014.
Retrieved 19/6/2014, 2014, from
http://www.symantec.com/content/en/us/enterprise/other_resources/bistr_main_report_v19_21291018.en-us.pdf
The Internet Society. (1998). S/MIME Version 2 Message Specification. Retrieved 28/6, 2014, from
http://www.rfc-editor.org/info/rfc2311
TNS Opinion & Social. (2012). Special Eurobarometer 390: CYBER SECURITY.
Van Hecke S. (2014). Interview Groen - Phishing - Belgische overheid. In P. Schoofs (Ed.).
Vlaams Belang. (2014). Vlaams Belang. Retrieved 17/9, 2014, from http://www.vlaamsbelang.be/
80/110
Bijlagen
Bijlagen
81/110
Bijlage A: Gevonden en geselecteerde artikelen
Bijlage A: Gevonden en geselecteerde artikelen
Tabel 16 geeft een overzicht van de gevonden en de gebruikte artikelen over phishing. Daarnaast is
een overzicht gegeven van de publicatiejaren van de verschillenden bronnen. Er is doelbewust zoveel
mogelijk gebruik gemaakt van recente artikelen omdat phishing een sterk evolutief fenomeen is
(APWG, 2014).
Gevonden artikelen
Gebruikte artikelen
Wetenschappelijke bronnen
49
29
Jaartal publicatie van de gebruikte artikelen
2014
2013
5
2012
6
2011
3
2010
3
2009
2
2008
2
2007
2
2006
4
2005
1
1999
1
1998
Tabel 16: Overzicht van het aantal gevonden en gebruikte artikelen
Niet-wetenschappelijke bronnen
18
12
7
1
1
1
1
1
82/110
Bijlage B: Definities uit de literatuur
Bijlage B: Definities uit de literatuur
DEFINITIE VAN PHISHING DOOR FOLSOM ET AL. (2005) IN HET ENGELS:
The fraudulent attempt by Internet criminals to get consumers to respond to e-mails and divulge
personal financial information.
DEFINITIE VAN PHISHING DOOR JAGATIC ET AL. (2007) IN HET ENGELS:
Phishing is a form of deception in which an attacker attempts to fraudulently acquire sensitive
information from a victim by impersonating a trustworthy entity.
DEFINITIE VAN PHISHING DOOR WORKMAN (2008) IN HET ENGELS:
Phishing is a ruse designed to gain sensitive information from an intended victim by way of e-mail and
Web pages or letters that appear to be from genuine businesses, that command the potential victim
to supply information to prevent an account from being closed, or as part of a promotion or giveaway.
DEFINITIE VAN PHISHING DOOR VISHWANATH ET AL. (2011) IN HET ENGELS:
Phishing is an e-mail based deception where a perpetrator (phisher) camouflages e-mails to appear as
a legitimate request for personal and sensitive information.
DEFINITIE VAN PHISHING DOOR J. HONG (2012) IN HET ENGELS:
Phishing is a kind of social-engineering attack in which criminals use spoofed e-mail messages to trick
people into sharing sensitive information or installing malware on their computers.
DEFINITIE PHISHING DOOR KHONJI ET AL. (2013) IN HET ENGELS:
Phishing is a type of computer attack that communicates socially engineered messages to humans via
electronic communication channels in order to persuade them to perform certain actions for the
attacker’s benefit.
83/110
Bijlage C: Operationalisering
Bijlage C: Operationalisering
De operationalisering van de eigenschapsbegrippen is gebeurd op basis van het referentiemodel dat
afgeleid is uit de literatuurstudie (zie bijlage C).
Welke soorten van phishing komen voor bij de Belgische overheid?
-
Definitie van phishing aangeven.
Soorten van phishing aangeven:
o Deceptive (misleidende phishing):
E-mail, instant messaging, telefoon, SMiShing, Vishing, zoekmachines, spearphishing en whaling.
o Malware-based phishing:
Trojans, key loggers, screen grabbers, session hijacking, web-based delivery,
Wi-phishing, spear-phishing en whaling.
o Gebruikte misleidende technieken:
Vervalste websites, URL hiding, systeem herconfiguratie, content injection,
pharming, DNS cache poisoning en man-in-the-middle.
Hoe vaak komt phishing voor bij de Belgische overheid?
-
Hoe vaak vinden phishingaanvallen plaats?
Welk soort van aanvallen betreft het (aantallen in relatie tot eerste vraag)?
o Deceptive (misleidende phishing).
o Malware-based phishing.
o Gebruikte misleidende technieken.
Wat zijn de gevolgen van phishing voor de Belgische overheid?
-
-
Persoonlijke schade:
o Identiteitsdiefstal,
o Financiële schade.
Overheidsschade:
o Reputatieschade,
o Vertrouwensschade bij de gebruikers (bijvoorbeeld van e-government).
Welke organisatorische, technische en sociale maatregelen worden door de Belgische
overheid genomen?
-
-
Organisatorisch maatregelen:
o Hoe is de phishingbestrijding georganiseerd?
o Welke instanties / departementen / ministeries / ministers zijn verantwoordelijk?
Technische maatregelen:
o Passieve indicatoren:
Anti-phishingtoolbars / plug-ins in browsers,
Gebruik SSL.
o Actieve indicatoren:
Op de client toestellen:
• Desktop agenten (antivirus, antimalware, persoonlijke firewall …),
• E-mail client hardening (geen automatische opening bijlages, geen
rechtstreekse toegang tot internet),
• Browser hardening (geen Java runtime, geen Active X toelaten,
cookies niet automatisch opslaan …).
84/110
Bijlage C: Operationalisering
-
Op de servers:
• E-mail authenticatie,
• Web applicatie security,
• Two-factor authentication,
• Back-end analysis (verdacht verkeer blokkeren),
• Gateway services (controle van in- en uitgaand data verkeer naar
internet).
Sociale maatregelen:
o Gebruikerseducatie:
Sensibiliseringscampagnes,
Trainingen.
85/110
Bijlage D: Planning
Bijlage D: planning
1 Planning van het onderzoek
1.1 Contactpersonen
In eerste instantie is er contact opgenomen met de verschillende instanties van de overheid die
instaan voor cyberbeveiliging (zie paragraaf 2.1.3) om de namen te achterhalen van de woordvoerders
van deze organisaties. Eenzelfde methode is toegepast voor de verschillende politieke partijen. Toen
de namen van deze personen gekend waren, is de workflow, weergegeven in Figuur 22, gevolgd om
de interviews te plannen.
Mail sturen of
persoon wenst
mee te doen
> 3X
Afspraak
maken
Interview
afnemen
Resultaat van
interview laten
controleren
Neen
≤ 3X
Start
Bellen
Neen
Persoon
bereikt?
Ja
Ja
Persoon
akkoord?
OR
Einde
Ja
E-mail met
vragen sturen
Antwoorden
per e-mail
ontvangen
Neen
Figuur 22: Onderzoeksworkflow gevolgd om de gegevens te bekomen
De personen werden gebeld om te vragen of zij wensten mee te doen aan het onderzoek. Wanneer
na drie keren proberen op verschillende tijdstippen de persoon niet telefonisch bereikt kon worden,
werd een e-mail met het verzoek tot deelname verstuurd. Als een persoon zich akkoord verklaarde,
werd een afspraak gemaakt om ter plaatse of op afstand het interview te nemen. In tweede instantie
was het ook mogelijk dat de vragenlijst per e-mail verstuurd werd naar de respondent, wanneer de
respondent daarop aandrong. Na het afnemen van het interview werden de antwoorden naar de
respondent ter controle gestuurd. Na het ontvangen van de gecontroleerde antwoorden of na het
ontvangen van de rechtstreeks gestuurde antwoorden is de workflow afgerond en kon de analyse van
de ontvangen data van start gaan.
1.2 Drie soorten vragenlijsten
Er worden drie vragenlijsten opgesteld om als bijlage met de e-mail verstuurd te worden:
-
De vragenlijst waarin sprake is van de Belgische overheid,
De vragenlijst waar enkel sprake is van de Vlaamse overheid.
De vragenlijst die vragen stelt aan de cyberbeveiligingsspecialist van de politieke partijen.
De Vlaamse overheid beschouwd zichzelf niet altijd als de Belgische overheid. Om politieke
gevoeligheden te vermijden, worden er dus twee vragenlijsten opgesteld.
1.3 Drie soorten e-mails
In het e-mail bericht gericht aan de Vlaamse ambtenaren, wordt een paragraaf toegevoegd waarin
uitgelegd wordt dat, ondanks het feit dat in de titel enkel sprake is van de Belgische overheid, ook de
Vlaamse overheid mee bevraagd wordt naar de omgang met phishing. De e-mails die verstuurd
86/110
Bijlage D: Planning
worden naar de cyberbeveiligingsspecialisten van de politieke partijen heeft een licht afwijkende
omschrijving daar het geen overheidsinstelling betreft, maar een natuurlijk persoon.
Instelling
NVO
FedICT
BelNET
CERT
BIPT
FCCU
e-IB
Naam van de respondent35
Dirk Nissen
Mila Druwe
Davina Luyten
Davina Luyten
[email protected]
Walter Coenraets
Anoniem
Functie van de respondent
Security officer
Marcom manager
Persverantwoordelijke
Persverantwoordelijke
ICT-afdeling
Hoofd FCCU
Ex-consultant
N-VA
Peter Dedecker
Federaal parlementslid
CD&V
Roel Deseyn
Federaal parlementslid
Open Vld
Nele Lijnen
Federaal parlementslid
sp.a
Dajo De Prins
Onderzoeksmedewerker SPA
Groen
Stefaan Van Hecke
Federaal parlementslid
VB
Niet bekend
ICT-medewerkers Vlaams Belang
Tabel 17: Overzicht van de instellingen die gecontacteerd zijn en de naam en functie van de gecontacteerden
35
Het feit dat de namen van de respondenten opgenomen zijn in deze tabel, betekent niet dat zij daadwerkelijk zullen
antwoorden (geantwoord hebben) op de vragenlijst.
87/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
Bijlage E: Vragenlijst gericht aan de Belgische overheidsinstellingen
verantwoordelijk voor cyberbeveiliging
1 Gegevens over de persoon die de vragenlijst invult
I.
Wat is uw naam?
…………………………………………………………………………………………………………………………………………………………….
II.
Voor welke organisatie werkt u?
…………………………………………………………………………………………………………………………………………………………….
III.
Wat is uw functie / rol met betrekking tot phishingbestrijding?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie
IV.
Wat is de volledige naam van uw organisatie? Wordt dit afgekort of zijn er andere
aanduidingen voor uw organisatie?
…………………………………………………………………………………………………………………………………………………………….
V.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw
organisatie zijn?
…………………………………………………………………………………………………………………………………………………………….
VI.
Behoort de organisatie tot een groter geheel of ressorteert zij misschien onder een andere
overkoepelende organisatie? Welke?
…………………………………………………………………………………………………………………………………………………………….
VII.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, van en over uw
organisatie beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan
de orde komen?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties
VIII.
Welke andere organisaties die zich bezighouden met phishingbestrijding bij de overheid in
België zijn u bekend?
…………………………………………………………………………………………………………………………………………………………….
IX.
Werkt uw organisatie samen met transnationale of internationale anti-phishingorganisaties?
Indien het antwoord ja is, gelieve de naam van deze organisaties ook in te vullen.
…………………………………………………………………………………………………………………………………………………………….
88/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
4 Categorie 1:
1 Welke soorten van phishing komen voor bij de
Belgische overheid?
Definitie uit de literatuurstudie:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten
te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen
proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze
handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het
ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische
objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die
toekomstige phishingaanvallen faciliteren.
X.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen
met de definitie van phishing die binnen uw organisatie wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………...
XI.
Wordt uw organisatie geconfronteerd met phishing tegen de overheid?
…………………………………………………………………………………………………………………………………………………………….
XII.
Met welke soorten van phishing wordt uw organisatie geconfronteerd? Gelieve de
voorkomende soorten te omcirkelen of een kruisje in te vullen achter de soort. Indien uw
organisatie met nog andere soorten geconfronteerd wordt, gelieve ook deze in de vullen in
de lege vakken (Andere?) met een korte uitleg.
Soorten deceptive
phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per email
Phishingboodschap verstuurd via
instant messaging bericht
Phishingboodschap verstuurd via
telefoon
Instant messaging
phishing
Telefoonphishing
X
Soorten
malwarebased
phishing
Phishing
m.b.v. Trojans
Key loggers
Screen
grabbing
SMiShing
Phishingboodschap verstuurd per
SMS
Session
hacking
Vishing
Phishingboodschap verstuurd
VOIP (Voice over IP)
via
Web-based
delivery
phishing
Zoekmachines
Phishingboodschap staat naast de
zoekresultaten met aantrekkelijke
aanbiedingen
De phishingboodschap is gericht naar
een specifieke groep van persoon of
één persoon (CEO, CFO …).
Wi-Phishing
Spear-phishing
whaling
Andere?
Spearphishing
whaling
Andere?
Andere?
Andere?
XIII.
/
/
Korte uitleg
X
Door op de phishingboodschap te reageren
zijn Trojans geïnstalleerd.
Door op de phishingboodschap te reageren
zijn Key loggers geïnstalleerd.
Door op de phishingboodschap te reageren
zijn screen grabbers geïnstalleerd die
screenshots doorsturen naar de phishers
Sessies
naar
webservers
worden
afgeluisterd of onderschept m.b.v. een
sniffer
Door op de URL te klikken in de
phishingboodschap zal het slachtoffer naar
een site gebracht worden die malware op de
PC injecteert.
De phisher maakt gebruik van een vals WiFi
accesspoint.
De phishingboodschap is gericht naar een
specifieke groep van persoon of één
persoon (CEO, CFO …).
Met welke misleidende technieken toegepast in een phishingaanval heeft u al te maken
gehad? Gelieve deze te omcirkelen of een kruisje in te vullen achter de misleidende techniek.
Indien er nog andere technieken bestaan waarmee u te maken heeft gehad, gelieve deze in
de lege vakken (Andere?) in te vullen met een korte uitleg.
89/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
Misleidende
technieken
Vervalste websites
URL hiding
Systeem
herconfiguratie
Content injection
Pharming
DNS cache poisoning
Man-in-the-middle
Korte uitleg
X
Legitieme websites worden nagemaakt om gebruikers gegevens afhandig te maken of om malware te
installeren
Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite
Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen,
wordt het toestel meer vatbaar voor malware.
De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te
leiden naar een phishingsite
De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites
De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een reversed
proxy), waardoor de gebruikers naar phishingsite worden geleid
De phisher positioneert een valse website tussen het slachtoffer en de echte website. Alle inloggegevens
worden opgenomen en vervolgens doorgegeven aan de echte website
Andere?
Andere?
XIV.
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………...
XV.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten
aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
90/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
5 Categorie 2:
2 Hoe vaak komt phishing voor bij de Belgische overheid?
XVI.
Wat is het aantal phishingmeldingen binnen uw organisatie?
…………………………………………………………………………………………………………………………………………………………...
XVII.
Kan u per soort van phishingaanvallen aangeven hoe vaak deze zijn gemeld / ontdekt binnen
uw organisatie? Indien u met nog andere aanvallen geconfronteerd bent, gelieve deze in de
lege vakken (Andere?) in te vullen met hun aantallen.
Soorten deceptive phishing
Aantal
Soorten
malware-based
phishing
Phishing m.b.v. Trojans
Key loggers
Screen grabbing
Session hacking
Web-based delivery phishing
Wi-Phishing
E-mailphishing
Instant messaging phishing
Telefoonphishing
SMiShing
Vishing
Zoekmachines
Spear-phishing / whaling
Andere?
Andere?
Andere?
Andere?
XVIII.
Aantal
Kan u per misleidende techniek aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw
organisatie? Indien u met nog andere misleidende technieken geconfronteerd bent, gelieve
deze in de lege vakken (Andere?) in te vullen met hun aantallen.
Misleidende technieken
Vervalste websites
URL hiding
Systeem herconfiguratie
Content injection
Pharming
DNS cache poisoning
Man-in-the-middle
Andere?
Aantal
Andere?
XIX.
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
XX.
Op welke manier registreert / telt u phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
91/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
6 Categorie 3:
3 Wat zijn de gevolgen van phishing voor de Belgische
overheid
XXI.
Op welke aspecten / onderdelen / ministeries / diensten van de Belgische overheid heeft
phishing een impact?
…………………………………………………………………………………………………………………………………………………………...
XXII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………...
XXIII.
Wat zijn de direct gevolgen van phishing die u waarneemt? (Financiële schade,
identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………...
XXIV.
Wat zijn de indirecte gevolgen van phishing die u waarneemt? (Groeiend wantrouwen van de
gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
92/110
Bijlage E: Vragenlijst Belgische overheidsinstellingen
7 Categorie 4:
4 Anti-phishingmaatregelen
XXV.
Zijn er richtlijnen of een beleid opgesteld over het omgaan met phishingaanvallen? Waarop is
dit beleid gestoeld (op studies, op vroegere ervaringen, een bepaalde visie)?
…………………………………………………………………………………………………………………………………………………………...
XXVI.
Welke sociale maatregelen neemt uw organisatie om phishing te bestrijden? (Training van de
gebruikers in het herkennen van phishingboodschappen, phishingaanval simulaties,
sensibiliseringscampagnes, boodschappen van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………...
XXVII.
Welke technische anti-phishingmaatregelen neemt uw organisatie om phishing bij de
overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of er een kruisje bij
te zetten.
Anti-phishingmaatregel
Het
gebruiken
van
antiphishingtoolbars en plug-ins in
browers
SSL
Desktop agenten installeren op de PCs
E-mail client hardening
Browser hardening
E-mail controle op de server
Web applicatie security
Two-factor authentication
Back-end analysis
Gateway services
Gecentraliseerd portaal voor online
overheidsdiensten
XXVIII.
Korte uitleg
In de browsers software componenten toevoegen die waarschuwingen geven aan de
gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS
Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een
persoonlijk intrusion detection systeem, een
persoonlijke antispam software en een spyware detectie software.
HTML gebaseerde mails verhinderen om automatisch naar het internet te laten
connecteren. Automatisch openen van bijlages blokkeren.
Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning
De server automatisch laten controleren of de DNS gegevens in de mails kloppen.
Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP)
Gebruiken van een vorm van web application firewalling
Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een
paswoord
Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite
waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren.
Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de
phishingboodschappen, virussen en malware filtert.
De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer
ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die uw organisatie neemt die niet vernoemd zijn?
Welke?
…………………………………………………………………………………………………………………………………………………………...
XXIX.
Heeft u nog andere informatie over phishing bij de overheid die niet aan bod gekomen zijn in
de vragenlijst? Kan u deze kort toelichten?
…………………………………………………………………………………………………………………………………………………………...
Ik dank u en uw organisatie hartelijk voor het invullen van deze vragenlijst en de deelname aan het
onderzoek.
93/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
Bijlage F: Vragenlijst gericht aan de Vlaamse overheidsinstellingen
verantwoordelijk voor cyberbeveiliging
1 Gegevens over de persoon die de vragenlijst invult
I.
Wat is uw naam?
…………………………………………………………………………………………………………………………………………………………….
II.
Voor welke organisatie werkt u?
…………………………………………………………………………………………………………………………………………………………….
III.
Wat is uw functie / rol met betrekking tot phishingbestrijding?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie
IV.
Wat is de volledige naam van uw organisatie? Wordt dit afgekort of zijn er andere
aanduidingen voor uw organisatie?
…………………………………………………………………………………………………………………………………………………………….
V.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw
organisatie zijn?
…………………………………………………………………………………………………………………………………………………………….
VI.
Behoort de organisatie tot een groter geheel of ressorteert zij misschien onder een andere
overkoepelende organisatie? Welke?
…………………………………………………………………………………………………………………………………………………………….
VII.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, van en over uw
organisatie beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan
de orde komen?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties
VIII.
Welke andere organisaties die zich bezighouden met phishingbestrijding bij de overheid in
België zijn u bekend?
…………………………………………………………………………………………………………………………………………………………….
IX.
Werkt uw organisatie samen met transnationale of internationale anti-phishingorganisaties?
Indien het antwoord ja is, gelieve de naam van deze organisaties ook in te vullen.
…………………………………………………………………………………………………………………………………………………………….
94/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
4 Categorie 1:
1 Welke soorten van phishing komen voor bij de
Belgische en Vlaamse overheid?
Definitie uit de literatuurstudie:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische
objecten te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten.
Deze boodschappen proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten
voordele van de phisher. Deze handelingen kunnen bestaan uit het rechtstreeks doorgeven van de
waardevolle logische objecten of uit het surfen van het slachtoffer naar vervalste websites van
betrouwbare instanties waar de waardevolle logische objecten ontvreemd worden of waar er
ongemerkt malware op het toestel van het slachtoffer geïnstalleerd wordt, die de waardevolle
logische objecten naar de phisher doorstuurt.
X.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen
met de definitie van phishing die binnen uw organisatie wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………...
XI.
Wordt uw organisatie geconfronteerd met phishing tegen de overheid?
…………………………………………………………………………………………………………………………………………………………….
XII.
Met welke soorten van phishing wordt uw organisatie geconfronteerd? Gelieve de
voorkomende soorten te omcirkelen of een kruisje in te vullen achter de soort.
Soorten deceptive
phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per
e-mail
Instant messaging
phishing
Telefoonphishing
Phishingboodschap verstuurd via
instant messaging bericht
Phishingboodschap verstuurd via
telefoon
SMiShing
Phishingboodschap verstuurd per
SMS
Phishingboodschap verstuurd via
VOIP (Voice over IP)
Session
hacking
Web-based
delivery
phishing
Phishingboodschap staat naast de
zoekresultaten met aantrekkelijke
aanbiedingen
De phishingboodschap is gericht
naar een specifieke groep van
persoon of één persoon (CEO, CFO
…).
Wi-Phishing
Vishing
Zoekmachines
Spear-phishing
whaling
XIII.
/
X
Soorten
malwarebased
phishing
Phishing
m.b.v.
Trojans
Key loggers
Screen
grabbing
Man-in-themiddle
Korte uitleg
X
Door op de phishingboodschap te reageren zijn
Trojans geïnstalleerd.
Door op de phishingboodschap te reageren zijn
Key loggers geïnstalleerd.
Door op de phishingboodschap te reageren zijn
screen grabbers geïnstalleerd die screenshots
doorsturen naar de phishers
Sessies naar webservers worden afgeluisterd of
onderschept m.b.v. een sniffer
Door op de URL te klikken in de
phishingboodschap zal het slachtoffer naar een
site gebracht worden die malware op de PC
injecteert.
De phisher maakt gebruik van een vals WiFi
accesspoint.
De phisher positioneert een valse website
tussen het slachtoffer en de echte website. Alle
inloggegevens
worden
opgenomen
en
vervolgens doorgegeven aan de echte website
Met welke misleidende technieken toegepast in een phishingaanval heeft u al te maken
gehad? Gelieve deze te omcirkelen of een kruisje in te vullen achter de misleidende techniek.
Misleidende
technieken
URL hiding
Systeem
herconfiguratie
Korte uitleg
X
Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite
Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen,
wordt het toestel meer vatbaar voor malware.
95/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
Misleidende
technieken
Content injection
Pharming
DNS cache poisoning
XIV.
Korte uitleg
X
De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te
leiden naar een phishingsite
De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites
De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een
reversed proxy), waardoor de gebruikers naar phishingsite worden geleid
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………...
XV.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten
aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
96/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
5 Categorie 2:
2 Hoe vaak komt phishing voor bij de Belgische en
Vlaamse overheid?
XVI.
Wat is het aantal phishingmeldingen binnen uw organisatie?
…………………………………………………………………………………………………………………………………………………………...
XVII.
Kan u per soort van phishingaanvallen aangeven hoe vaak deze zijn gemeld / ontdekt binnen
uw organisatie?
Soorten deceptive phishing
E-mailphishing
Instant messaging phishing
Telefoonphishing
SMiShing
Vishing
Zoekmachines
Spear-phishing / whaling
XVIII.
Soorten
malware-based
phishing
Phishing m.b.v. Trojans
Key loggers
Screen grabbing
Session hacking
Web-based delivery phishing
Wi-Phishing
Man-in-the-middle
Aantal
Kan u per misleidende techniek aangeven hoe vaak deze zijn gemeld / ontdekt binnen uw
organisatie?
Misleidende technieken
URL hiding
Systeem herconfiguratie
Content injection
Pharming
DNS cache poisoning
XIX.
Aantal
Aantal
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
XX.
Op welke manier registreert / telt u phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
97/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
6 Categorie 3:
3 Wat zijn de gevolgen van phishing voor de Belgische en
Vlaamse overheid
XXI.
Op welke aspecten / onderdelen / ministeries / diensten van de Vlaamse overheid heeft
phishing een impact?
…………………………………………………………………………………………………………………………………………………………...
XXII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………...
XXIII.
Wat zijn de direct gevolgen van phishing die u waarneemt? (Financiële schade,
identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………...
XXIV.
Wat zijn de indirecte gevolgen van phishing die u waarneemt? (Groeiend wantrouwen van de
gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
98/110
Bijlage F: Vragenlijst Vlaamse overheidsinstellingen
7 Categorie 4:
4 Anti-phishingmaatregelen
XXV.
Zijn er richtlijnen of een beleid opgesteld over het omgaan met phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
XXVI.
Welke sociale maatregelen neemt uw organisatie om phishing te bestrijden? (Training van de
gebruikers in het herkennen van phishingboodschappen, phishingaanval simulaties,
sensibiliseringscampagnes, boodschappen van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………...
XXVII.
Welke technische anti-phishingmaatregelen neemt uw organisatie om phishing bij de
overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of er een kruisje bij
te zetten.
Anti-phishingmaatregel
Het
gebruiken
van
antiphishingtoolbars en plug-ins in
browers
SSL
Desktop agenten installeren op de PCs
E-mail client hardening
Browser hardening
E-mail controle op de server
Web applicatie security
Two-factor authentication
Back-end analysis
Gateway services
Gecentraliseerd portaal voor online
overheidsdiensten
XXVIII.
Korte uitleg
In de browsers software componenten toevoegen die waarschuwingen geven aan de
gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS
Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een
persoonlijk intrusion detection systeem, een
persoonlijke antispam software en een spyware detectie software.
HTML gebaseerde mails verhinderen om automatisch naar het internet te laten
connecteren. Automatisch openen van bijlages blokkeren.
Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning
De server automatisch laten controleren of de DNS gegevens in de mails kloppen.
Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP)
Gebruiken van een vorm van web application firewalling
Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een
paswoord
Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite
waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren.
Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de
phishingboodschappen, virussen en malware filtert.
De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer
ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die uw organisatie neemt die niet vernoemd zijn?
Welke?
…………………………………………………………………………………………………………………………………………………………...
Ik dank u en uw organisatie hartelijk voor het invullen van deze vragenlijst en de deelname aan het
onderzoek.
99/110
Bijlage G: Vragenlijst Vlaamse partijen
Bijlage G: Vragenlijst gericht aan de cyberspecialisten van de Vlaamse
politieke partijen
1 Gegevens over de persoon die de vragenlijst invult
I.
Wat is uw naam?
…………………………………………………………………………………………………………………………………………………………….
II.
Voor welke organisatie / partij werkt u?
…………………………………………………………………………………………………………………………………………………………….
2 Gegevens over de organisatie
III.
Kan u kort beschrijven wat de objectieven (m.b.t. cybercriminaliteit en phishing) van uw partij
zijn?
…………………………………………………………………………………………………………………………………………………………….
IV.
Zijn er relevante openbare publicaties, zoals rapporten en jaarverslagen, parlementaire
vragen beschikbaar waarin cybersecurity in het algemeen of phishing in het bijzonder aan de
orde komen m.b.t. de overheid?
…………………………………………………………………………………………………………………………………………………………….
3 Andere organisaties
V.
Welke organisaties die zich bezighouden met phishingbestrijding bij de overheid in België zijn
u bekend?
…………………………………………………………………………………………………………………………………………………………….
100/110
Bijlage G: Vragenlijst Vlaamse partijen
4 Categorie 1:
1 Welke soorten van phishing komen voor bij de
Belgische overheid?
Definitie uit de literatuurstudie:
Phishing is een frauduleus proces waarbij een crimineel, i.e. de phisher, probeert waardevolle logische objecten
te ontvreemden, gebruikmakend van boodschappen die misleidende informatie bevatten. Deze boodschappen
proberen het slachtoffer aan te zetten tot het uitvoeren van handelingen ten voordele van de phisher. Deze
handelingen kunnen bestaan uit het rechtstreeks doorgeven van waardevolle logische objecten of uit het
ongemerkt installeren van malware op het toestel van het slachtoffer. Deze malware kan waardevolle logische
objecten ontvreemden en naar de phisher doorsturen of de phisher toegang verschaffen tot middelen die
toekomstige phishingaanvallen faciliteren.
VI.
Bovenstaande definitie is van toepassing binnen dit onderzoek. Komt deze definitie overeen
met de definitie van phishing die binnen uw partij wordt gehanteerd?
…………………………………………………………………………………………………………………………………………………………...
VII.
Wordt de Belgische overheid, voor zover u weet, geconfronteerd met phishing?
…………………………………………………………………………………………………………………………………………………………….
VIII.
Met welke soorten van phishing wordt de Belgische overheid, voor zover u weet,
geconfronteerd? Gelieve de voorkomende soorten te omcirkelen of een kruisje in te vullen
achter de soort. Indien u kennis heeft dat de overheid met nog andere soorten geconfronteerd
wordt, gelieve ook deze in de vullen in de lege vakken (Andere?) met eventueel een korte
uitleg.
Soorten deceptive
phishing
Korte uitleg
E-mailphishing
Phishingboodschap verstuurd per email
Phishingboodschap verstuurd via
instant messaging bericht
Phishingboodschap verstuurd via
telefoon
Instant messaging
phishing
Telefoonphishing
X
Soorten
malwarebased
phishing
Phishing
m.b.v. Trojans
Key loggers
Screen
grabbing
SMiShing
Phishingboodschap verstuurd per
SMS
Session
hacking
Vishing
Phishingboodschap verstuurd
VOIP (Voice over IP)
via
Web-based
delivery
phishing
Zoekmachines
Phishingboodschap staat naast de
zoekresultaten met aantrekkelijke
aanbiedingen
De phishingboodschap is gericht naar
een specifieke groep van persoon of
één persoon (CEO, CFO …).
Wi-Phishing
Spear-phishing
whaling
Andere?
IX.
/
Spearphishing
whaling
Andere?
/
Korte uitleg
X
Door op de phishingboodschap te reageren
zijn Trojans geïnstalleerd.
Door op de phishingboodschap te reageren
zijn Key loggers geïnstalleerd.
Door op de phishingboodschap te reageren
zijn screen grabbers geïnstalleerd die
screenshots doorsturen naar de phishers
Sessies
naar
webservers
worden
afgeluisterd of onderschept m.b.v. een
sniffer
Door op de URL te klikken in de
phishingboodschap zal het slachtoffer naar
een site gebracht worden die malware op de
PC injecteert.
De phisher maakt gebruik van een vals WiFi
accesspoint.
De phishingboodschap is gericht naar een
specifieke groep van persoon of één
persoon (CEO, CFO …).
Met welke misleidende technieken toegepast in een phishingaanval wordt de Belgische
overheid geconfronteerd (voor zover u weet)? Gelieve deze te omcirkelen of een kruisje in te
vullen achter de misleidende techniek. Indien u kennis heeft dat de overheid met nog andere
soorten geconfronteerd wordt, gelieve ook deze in de vullen in de lege vakken (Andere?) met
eventueel een korte uitleg.
101/110
Bijlage G: Vragenlijst Vlaamse partijen
Misleidende
technieken
Vervalste websites
URL hiding
Systeem
herconfiguratie
Content injection
Pharming
DNS cache poisoning
Man-in-the-middle
Korte uitleg
X
Legitieme websites worden nagemaakt om gebruikers gegevens afhandig te maken of om malware te
installeren
Het plaatsen van een legitiem lijkende URL, die eigenlijk verwijst naar een phishingsite
Phishers roepen het slachtoffer op om foute instellingen op het toestel aan te passen. Door dit te doen,
wordt het toestel meer vatbaar voor malware.
De phisher wijzigt een stuk van een legitieme (slecht beveiligde) site om het slachtoffer vervolgens af te
leiden naar een phishingsite
De phisher heeft DNS domeinen aangepast om de slachtoffers te verwijzen naar zijn phishingsites
De phishers past de DNS cache aan van een systeem dat typisch gericht is naar het internet (bv. een reversed
proxy), waardoor de gebruikers naar phishingsite worden geleid
De phisher positioneert een valse website tussen het slachtoffer en de echte website. Alle inloggegevens
worden opgenomen en vervolgens doorgegeven aan de echte website
Andere?
Andere?
X.
Merkt u een bepaald patroon / een bepaalde trend in de soorten phishing?
…………………………………………………………………………………………………………………………………………………………...
XI.
Wie / wat is het doelwit van de phishingaanvallen? Met welk doel worden deze doelwitten
aangevallen? (bv. om valse reispassen of identiteitsbewijzen te kunnen maken …)
…………………………………………………………………………………………………………………………………………………………...
102/110
Bijlage G: Vragenlijst Vlaamse partijen
5 Categorie 2:
2 Hoe vaak komt phishing voor bij de Belgische overheid?
XII.
Heeft u een idee over het aantal phishingmeldingen tegen de Belgische overheid?
…………………………………………………………………………………………………………………………………………………………...
XIII.
Kan u per soort van phishingaanvallen aangeven hoe vaak een bepaalde soort per tijdeenheid
is waargenomen? Indien u kennis heeft dat de overheid met nog andere soorten
geconfronteerd wordt gelieve (Andere?) in te vullen met hun aantallen.
Soorten deceptive phishing
Aantal
Soorten
malware-based
phishing
Phishing m.b.v. Trojans
Key loggers
Screen grabbing
Session hacking
Web-based delivery phishing
Wi-Phishing
E-mailphishing
Instant messaging phishing
Telefoonphishing
SMiShing
Vishing
Zoekmachines
Spear-phishing / whaling
Andere?
Andere?
Andere?
Andere?
XIV.
Aantal
Kan u per misleidende techniek aangeven hoe vaak aanvallen aangeven hoe vaak een
bepaalde techniek per tijdeenheid is waargenomen? Indien u kennis heeft van nog andere
misleidende technieken waarmee de Belgische overheid geconfronteerd wordt, gelieve deze
in de lege vakken (Andere?) in te vullen met hun aantallen.
Misleidende technieken
Vervalste websites
URL hiding
Systeem herconfiguratie
Content injection
Pharming
DNS cache poisoning
Man-in-the-middle
Andere?
Aantal
Andere?
XV.
Merkt u een trend (stijgend / dalend) in het aantal phishingaanvallen?
…………………………………………………………………………………………………………………………………………………………...
XVI.
Weet u op welke manier phishingaanvallen tegen de Belgische overheid geregistreerd
worden?
…………………………………………………………………………………………………………………………………………………………...
103/110
Bijlage G: Vragenlijst Vlaamse partijen
6 Categorie 3:
3 Wat zijn de gevolgen van phishing voor de Belgische
overheid
XVII.
Op welke aspecten / onderdelen / ministeries / diensten van de Belgische overheid heeft
phishing een impact?
…………………………………………………………………………………………………………………………………………………………...
XVIII.
Heeft phishing een impact op de manier waarop de overheid haar beleid bepaalt / prioriteert?
…………………………………………………………………………………………………………………………………………………………...
XIX.
Wat zijn de directe gevolgen van phishing tegen de overheid die u heeft waargenomen?
(Financiële schade, identiteitsdiefstal, reputatieschade overheid …).
…………………………………………………………………………………………………………………………………………………………...
XX.
Wat zijn de indirecte gevolgen van phishing tegen de overheid die u heeft waargenomen?
(Groeiend wantrouwen van de gebruikers…)
…………………………………………………………………………………………………………………………………………………………...
104/110
Bijlage G: Vragenlijst Vlaamse partijen
7 Categorie 4:
4 Anti-phishingmaatregelen
XXI.
Zijn er voor zover u weet, richtlijnen of een beleid opgesteld over het omgaan met
phishingaanvallen? Weet u waarop is dit beleid gestoeld (op studies, op vroegere ervaringen,
een bepaalde visie)?
…………………………………………………………………………………………………………………………………………………………...
XXII.
Welke sociale maatregelen, voor zover u weet, worden door Belgische overheid genomen om
phishing te bestrijden? (Training van de gebruikers in het herkennen van
phishingboodschappen, phishingaanval simulaties, sensibiliseringscampagnes, boodschappen
van algemeen nut over phishing uitzenden …)?
…………………………………………………………………………………………………………………………………………………………...
XXIII.
Welke technische anti-phishingmaatregelen worden door de Belgische overheid genomen om
phishing bij de overheid tegen te gaan. Gelieve de toegepaste maatregelen te omcirkelen of
er een kruisje bij te zetten.
Anti-phishingmaatregel
Het
gebruiken
van
antiphishingtoolbars en plug-ins in
browers
SSL
Desktop agenten installeren op de PCs
E-mail client hardening
Browser hardening
E-mail controle op de server
Web applicatie security
Two-factor authentication
Back-end analysis
Gateway services
Gecentraliseerd portaal voor online
overheidsdiensten
XXIV.
Korte uitleg
In de browsers software componenten toevoegen die waarschuwingen geven aan de
gebruiker wanneer deze naar een onveilige site zou willen connecteren.
X
Sites enkel beschikbaar maken via HTTPS
Toestellen voorzien van lokale antivirus bescherming met een persoonlijke firewall, een
persoonlijk intrusion detection systeem, een
persoonlijke antispam software en een spyware detectie software.
HTML gebaseerde mails verhinderen om automatisch naar het internet te laten
connecteren. Automatisch openen van bijlages blokkeren.
Bepaalde gevaarlijke browser add-ons blokkeren: Active X, Java Runtime ondersteuning
De server automatisch laten controleren of de DNS gegevens in de mails kloppen.
Eventueel gebruik maken van e-mail ondertekening (S/MIME – OpenPGP)
Gebruiken van een vorm van web application firewalling
Gebruiken van twee identificatiemechanismen i.p.v. uitsluitend te steunen op een
paswoord
Verdacht verkeer, bv. een connectie vanuit Nigeria naar een Belgische overheidssite
waarbij het paswoord verschillende malen fout wordt ingegeven, blokkeren.
Al het in- en uitgaand verkeer laten passeren via een controle systeem dat de
phishingboodschappen, virussen en malware filtert.
De online overheidsdiensten worden enkel beschikbaar gesteld aan gebruikers wanneer
ze eerst via een portaalsite surfen die hun identiteit controleert.
Zijn er nog andere anti-phishingmaatregelen die de Belgische overheid neemt, die niet
vernoemd zijn? Welke?
…………………………………………………………………………………………………………………………………………………………...
XXV.
Heeft u nog andere informatie over phishing bij de overheid die niet aan bod gekomen zijn in
de vragenlijst? Kan u deze kort toelichten?
…………………………………………………………………………………………………………………………………………………………...
Ik dank u en uw partij hartelijk voor het invullen van deze vragenlijst en de deelname aan het
onderzoek.
105/110
Bijlage H: Begeleidende e-mail
Bijlage H: Begeleidende e-mail
106/110
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten
(beschikbaarheid cijfermateriaal)
Parlementaire
vraag
Overheidsinstelling / verantwoordelijke
5-7583
Ambtenarenzaken en
Openbare Diensten
Cijfers
over
cyberincidenten?
Cijfers
vrijgegeven?
Cijfers
Gedeeltelijk
Ja
Dienst Vreemdelingenzaken
Commissariaat-Generaal voor Vluchtelingen en
Staatlozen
Ja
Neen
Op
6
maanden
1 of 2
incidenten
-
Ja
Neen
-
Raad voor Vreemdelingenbetwistingen
Ja
Neen
-
Federaal Agentschap voor opvang van asielzoekers
Programmatorische
Overheidsdienst
(POD)
Maatschappelijke Integratie, Armoedebestrijding en
Sociale Economie
Staatssecretaris voor Staatshervorming, toegevoegd
aan de eerste minister, en staatssecretaris voor de
Regie der gebouwen, toegevoegd aan de minister
van Financiën en Duurzame Ontwikkeling, belast met
Ambtenarenzaken
Fonds voor Arbeidsongevallen
Ja
Neen
-
Neen
-
Ja
Neen
-
Gedeeltelijk
Neen
-
-
-
Neen
-
Federale Overheidsdienst (FOD) Mobiliteit
Nog niet
Via
externe
dienst
Ja
Neen
-
FOD Volksgezondheid en Leefmilieu
Gedeeltelijk
Neen
-
5-7578
Minister van Werk
Ja
Neen
-
5-7576
Minister van Justitie
Minister
van
Overheidsbedrijven,
Wetenschapsbeleid en Ontwikkelingssamenwerking,
belast met Grote Steden
Minister van Landsverdediging
Minister van Middenstand, KMO's, Zelfstandigen en
Landbouw
Ja
Neen
-
Gedeeltelijk
Neen
-
Ja
Neen
-
Federaal Agentschap voor de Veiligheid van de
Voedselketen
Ja
Ja
In
2012
3000
inbreuken
Centrum voor Onderzoek in Diergeneeskunde en
Agrochemie
Gedeeltelijk
Neen
-
Belgisch Interventie- en Restitutiebureau
Ja
Ja
5-7582
5-7581
5-7580
Modernisering
van
de
Fonds voor de Beroepsziekten
Rijksdienst voor Kinderbijslag voor Werknemers
5-7579
5-7575
5-7574
5-7573
5-7572
Via
dienst
externe
In 2012 8
incidenten
1 incident
in 10 jaren
Rijksinstituut voor de Sociale Verzekeringen der
Zelfstandigen
Minister van Sociale Zaken en Volksgezondheid,
belast met Beliris en de Federale Culturele
Instellingen
FOD Volksgezondheid
Neen
Ja
Gedeeltelijk
Neen
-
FOD Sociale zekerheid
Ja
Neen
-
Rijksinstituut voor Ziekte- en Invaliditeitsverzekering
Ja
Neen
Rijksdienst voor Sociale Zekerheid
Ja
Ja
40
per
maand
107/110
Bijlage I: Antwoorden op parlementaire vraag 7566 en aanverwanten
Parlementaire
vraag
Overheidsinstelling / verantwoordelijke
Rijksdienst voor Sociale Zekerheid van de Provinciale
en Plaatselijke Overheidsdiensten
Hulp- en Voorzorgskas voor Zeevarenden
Dienst voor de Overzeese Sociale Zekerheid
Controledienst voor de Ziekenfondsen en de
Landsbonden van Ziekenfondsen
Kruispuntbank van de Sociale Zekerheid + eHealthplatform
Minister van Binnenlandse Zaken en Gelijke Kansen
Centrale Diensten
5-7571
Cijfers
over
cyberincidenten?
Cijfers
vrijgegeven?
Cijfers
Neen
-
-
Gedeeltelijk
-
-
Ja
Neen
-
Ja
Neen
-
?
-
-
Ja
Neen
-
Algemene Directie Instellingen en Bevolking
Gedeeltelijk
Neen
-
Algemene Directie Civiele Veiligheid
Ja
Niet
toepassing
Neen
-
-
-
Algemene Directie Crisiscentrum
van
Minister van Pensioenen
5-7570
5-7569
5-7568
Rijksdienst voor Pensioenen
Ja
Neen
-
Pensioensdienst voor de overheidssector
Ja
Neen
-
Minister van Economie, Consumenten en Noordzee
Minister van Buitenlandse Zaken, Buitenlandse
Handel en Europese Zaken
Minister van Financiën en Duurzame Ontwikkeling,
belast met Ambtenarenzaken
Ja
Neen
-
Gedeeltelijk
Neen
-
Niet
relevant
1 tot 2
incidenten
5-7566
Eerste minister
Ja
Ja
in
6
maanden
Tabel 18: Overzicht van de antwoorden op de parlementaire vragen over de beschikbaarheid van cijfermateriaal m.b.t.
cybercriminaliteit (Lijnen N., 2013a)
5-7567
Ja
Ja
108/110
Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355
Bijlage J: Extract uit het antwoord op parlementaire vraag 5-10355
Deze uitspraak is gegrepen uit een presentatie van Christian Van Heurck (coördinator van CERT.be bij
Belnet) gegeven tijdens de recente Belgian Internet Security Conference – BISC 2013. De presentatie
kan in PDF-vorm gevonden worden op de volgende locatie:
http://bisc.belnet.be/sites/default/files/Presentation%20of%20Christian%20Van%20Heurck_0.pdf
De teneur van de presentatie is dat er nog steeds een gebrek is aan bewustwording (awareness) op
het gebied van cybersecurity in het algemeen: awareness bij het grote publiek, bij bedrijfsleiders,
binnen overheidsinstellingen, ja zelfs binnen de politiek.
De presentatie geeft ook aan (aan de hand van de ervaringen van die mensen die in het veld staan)
dat de problemen op het gebied van cybersecurity niet afnemen maar eerder toenemen en dit zal ook
zeker zo zijn naar de toekomst toe. Bovendien leiden de meeste cybersecurityproblemen meer en
meer tot misbruik door cybercriminelen.
Indien er niet meer bewustzijn ontstaat in alle lagen van de bevolking, zullen de problemen die het
gevolg zijn van cybersecurity en cybercrime enkel toenemen, wat uiteindelijk onze maatschappij veel
geld kost en een negatieve impact heeft op de algemene veiligheid van onze samenleving.
Cybercriminelen werken immers wel samen, gebruiken steeds meer gesofisticeerde technieken en
staan niet stil.
De uitspraak “We are losing this battle” moet dan ook in deze context worden gezien. Deze uitspraak
werd bewust confronterend gedaan met als bedoeling om meer bewustwording te creëren. Immers
door bewustwording komt een erkenning van de ernst van de problematiek. En erkenning is de eerste
en meest fundamentele stap in een efficiënte aanpak van het probleem. De erkenning van de
cyberdreiging is ook één van de pijlers van de Belgische Cybersecurity Strategie. (Lijnen N, 2013).
109/110
Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten
Bijlage K: Antwoorden op parlementaire vraag 7566 en aanverwanten
(voorlichting personeel)
Parlementaire
vraag
5-7583
5-7582
Overheidsinstelling / verantwoordelijke
Ambtenarenzaken en Modernisering van de Openbare Diensten
Dienst Vreemdelingenzaken
Commissariaat-Generaal voor Vluchtelingen en Staatlozen
Raad voor Vreemdelingenbetwistingen
Personeel
voorgelicht?
Ja
Ja
Ja
Enkel
ICTmedewerkers
Ja
Ja
Federaal Agentschap voor opvang van asielzoekers
Programmatorische Overheidsdienst (POD) Maatschappelijke Integratie,
Armoedebestrijding en Sociale Economie
5-7581
Staatssecretaris voor Staatshervorming, toegevoegd aan de eerste minister, en Neen
staatssecretaris voor de Regie der gebouwen, toegevoegd aan de minister van
Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
5-7580
Fonds voor Arbeidsongevallen
Ja
Fonds voor de Beroepsziekten
Ja
Rijksdienst voor Kinderbijslag voor Werknemers
Neen
5-7579
Federale Overheidsdienst (FOD) Mobiliteit
Ja
FOD Volksgezondheid en Leefmilieu
Ja
5-7578
Minister van Werk
Ja
5-7576
Minister van Justitie
Nog niet
5-7575
Minister
van
Overheidsbedrijven,
Wetenschapsbeleid
en Ja
Ontwikkelingssamenwerking, belast met Grote Steden
5-7574
Minister van Landsverdediging
Ja
5-7573
Minister van Middenstand, KMO's, Zelfstandigen en Landbouw
Federaal Agentschap voor de Veiligheid van de Voedselketen
Ja
Centrum voor Onderzoek in Diergeneeskunde en Agrochemie
Ja
Belgisch Interventie- en Restitutiebureau
Ja
Rijksinstituut voor de Sociale Verzekeringen der Zelfstandigen
Ja
5-7572
Minister van Sociale Zaken en Volksgezondheid, belast met Beliris en de Federale
Culturele Instellingen
FOD Volksgezondheid
Ja
FOD Sociale zekerheid
Ja
Rijksinstituut voor Ziekte- en Invaliditeitsverzekering
Ja
Rijksdienst voor Sociale Zekerheid
Ja
Rijksdienst voor Sociale Zekerheid van de Provinciale en Plaatselijke Ja
Overheidsdiensten
Hulp- en Voorzorgskas voor Zeevarenden
Neen
Dienst voor de Overzeese Sociale Zekerheid
Ja
Controledienst voor de Ziekenfondsen en de Landsbonden van Ziekenfondsen
Neen
Kruispuntbank van de Sociale Zekerheid + eHealth-platform
Ja
5-7571
Minister van Binnenlandse Zaken en Gelijke Kansen
Centrale Diensten
Neen
Algemene Directie Instellingen en Bevolking
Ja
Algemene Directie Civiele Veiligheid
Neen
Algemene Directie Crisiscentrum
Neen
5-7570
Minister van Pensioenen
Rijksdienst voor Pensioenen
Ja
Pensioensdienst voor de overheidssector
Ja
5-7569
Minister van Economie, Consumenten en Noordzee
Ja
5-7568
Minister van Buitenlandse Zaken, Buitenlandse Handel en Europese Zaken
Ja
5-7567
Minister van Financiën en Duurzame Ontwikkeling, belast met Ambtenarenzaken
Ja
5-7566
Eerste minister
Ja
Tabel 19: Overzicht van de antwoorden op de parlementaire vragen over de opleiding van het personeel om met
cybercriminaliteit om te gaan (Lijnen N., 2013a)
110/110

Week van de veiligheid 2014

Press release by the Competition Council of Belgium

Edito - Bomarbre

FINAL - NL - 2014-07-23 YOG 2014 Communique

Naslag voor de security issues uit de game Issue Advies Back-up

PDF, 2.09 MB

Slemstand donderdag

“België engageert zich”, Dimensie 3, januari