Dinsdag 20 oktober 2015

Phishing

Een van de meest voorkomende vormen van internetcriminaliteit is phishing. Bij phishing probeert de crimineel op listige wijze gevoelige gegevens zoals gebruikersnaam, wachtwoord of creditcardgegevens van een nietsvermoedende gebruiker te achterhalen. De dader gebruikt deze informatie vervolgens om zich in de digitale omgeving voor te doen als het slachtoffer. Slaagt de dader in zijn opzet, dan betekent dit bijna altijd dat de bankrekening van de consument leeggeroofd wordt. Dezelfde werkwijze kan echter worden toegepast om illegaal toegang te krijgen tot allerlei soorten accounts, of het nu gaat om e-mail, social media, online games, of internetbankieren.

Daar komt nog bij dat de bank niet in alle gevallen wettelijk verplicht is om de schade te vergoeden, wanneeer een particulier slachtoffer wordt van phishing.¹Link naar artikel ‘het eigen risico van het internetbankieren  Vooral voor de onervaren of onoplettende internetgebruiker is phishing dus een groot gevaar.

Maar wat is phishing, en hoe gaan phishers te werk? Welke wetten overtreden zij eigenlijk? En hoe kun je je als consument tegen phishing wapenen?

Oorsprong

De term ‘phishing’ is naar analogie van het woord ‘fishing’, aangezien de werkwijze van de daders in zekere zin als vissen of hengelen (naar gegevens) kan worden beschouwd. Het substitueren van de ‘f’ met de ‘ph’ vindt haar oorsprong in het zogenaamde ‘phone phreaking’.  Zo werd het kraken van het telefoonnetwerk door middel van technische trucs en handigheden genoemd voor het internet haar intrede deed.² http://www.historyofphonephreaking.org/faq.php.

Phishing is een verzamelterm voor allerlei handelingen die erop zijn gericht om op een slinkse manier aan gevoelige gegevens van anderen te komen. Phishers kunnen dan ook op vele manieren en met allerlei hulpmiddelen toeslaan.

Werkwijze

Wanneer de phisher via de telefoon te werk gaat, doet hij zich bijvoorbeeld voor als een medewerker van de bank, om vervolgens het slachtoffer onder valse voorwendselen te vragen zijn wachtwoord op te geven. Wanneer een nietsvermoedende consument het wachtwoord prijsgeeft, gebruikt de phisher dit om in te loggen en geld van de rekening af te halen.

Een andere methode is om een zorgvuldig vervalste webpagina op te zetten, die nagenoeg precies lijkt op de website van het doelwit (vaak banken of online winkels). Wanneer  de gebruiker op deze valse pagina terecht komt en in logt zonder iets door te hebben, worden de gegevens buitgemaakt door de crimineel, om vervolgens de bankrekening van het slachtoffer te plunderen. Vaak lijkt het adres van de valse website sterk op dat van de oorspronkelijke website.

Zo’n vervalste site gaat vaak gepaard met het in bulk rondsturen van een e-mail, waarin de phisher zich voordoet als de bank of andere instantie, en aan de cliënt vraagt om in te loggen via de hyperlink die in de e-mail gegeven staat. De link voert uiteraard weer naar de valse pagina, en ook hier geldt dat de gebruiker die hierop inlogt prompt wordt bestolen. Dergelijke e-mails komen helaas vaak voor, en er zijn dan ook talloze voorbeelden vindbaar online.³ https://www.veiligbankieren.nl/downloads/valse_mails/phishingmail2.pdf.

Phishers maken ook graag gebruik van allerlei malware, oftewel kwaadaardige software. Deze software wordt vaak verspreid door malafide websites, via e-mail, of door middel van chatprogramma’s. Een keylogger bijvoorbeeld houdt bij welke toetsen er zoal worden ingetoetst op het keyboard en stuurt deze informatie naar derden, terwijl een trojan een virus is dat het makkelijker maakt voor derden om de PC aan te vallen of binnen te dringen.

Pharming

Naast phishing onderscheidt men ook ‘pharming’. In plaats van het maken van een nieuwe pagina waar bezoekers naar toe worden gelokt, kaapt de dader bij pharming het domeinnaamsysteem van een al bestaande internetpagina. Dit stelt hem in staat om internetverkeer te herrouteren naar de eigen, valse pagina, waarlangs net zoals bij phishing accountgegevens buitgemaakt worden. Zou een pharmer er bijvoorbeeld in slagen om de pagina van apple aan te vallen, dan zouden bezoekers van het adres www.apple.com plotseling geconfronteerd kunnen worden met een door de pharmer opgezette pagina. Als deze pagina genoeg op de oorspronkelijke lijkt is het voor een bezoeker in zo’n geval bijna onmogelijk om de actie van een pharmer te herkennen.

Niet voor niets waarschuwen banken en de overheid consumenten regelmatig voor dit soort praktijken. Toch werden in 2012 maar liefst 58.000 mensen slachtoffer van phishing (en pharming).⁴ http://www.cbs.nl/nl-NL/menu/themas/veiligheid-recht/publicaties/artikelen/archief/2013/2013-3912-wm.htm.

Strafbaarstelling

Het grensoverschrijdende en anonieme karakter van het internet maakt het lastig om internetcriminelen in de kraag te vatten. Wordt een phisher echter betrapt, dan zijn er genoeg  artikelen in het Wetboek van Strafrecht (Sr) die het mogelijk maken om iemand die zich schuldig maakt aan phishing veroordeeld te krijgen.

In de eerste plaats is er artikel 326 Sr, dat oplichting strafbaar stelt. Dit artikel is in 2009 nog aangepast met het specifieke doel om phishing praktijken onder de delictsomschrijving te brengen. Voorheen gold nog dat de gegevens in de delictsomschrijving ‘geldwaarde in het legale handelsverkeer’ moesten hebben, maar deze eis is losgelaten.⁵ Memorie van Toelichting conceptwetsvoorstel versterking bestrijding computercriminaliteit, p. 7. Nu is het ‘ter beschikking stellen van gegevens’ afdoende, wat een veroordeling onder omstandigheden flink vergemakkelijkt. Van een ‘valse hoedanigheid’ en ‘listige kunstgrepen’ is bij phishing logischerwijs al snel sprake.

Als tweede is er het artikel over computervredebreuk, namelijk artikel 138ab Sr. Wanneer een phisher een computer zonder toestemming binnendringt kan hij op grond van artikel 138ab lid 1 Sr veroordeeld worden, of hij zich nu voordoet als de oorspronkelijke gebruiker, of door gebruik van malware zoals een trojan. Als de phisher na het binnendringen van de computer ook nog gegevens overneemt, aftapt, of opneemt,  treedt de strafverzwarende omstandigheid van lid 2 ook in.

Artikel 350a lid 1 Sr stelt het vernielen of manipuleren van informatie in een geautomatiseerd werk strafbaar, terwijl artikel 350a lid 3 Sr er is om het verspreiden van virussen af te straffen.

Na het Giraal Geldarrest⁶Giraal Geldarrest (HR 11 mei 1982, NJ 1982, 583. en het Runescape-arrest⁷http://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:HR:2012:BQ9251. is gebleken dat ook giraal geld en in specifieke omstandigheden ook virtuele goederen aangemerkt kunnen worden als een ‘goed’ in de zin van het strafrecht. Dit maakt 310 Sr een van de meer voor de hand liggende bepalingen die phishing strafbaar stelt, aangezien het de phisher meestal simpelweg om het stelen van geld te doen is.⁸ http://www.ejure.nl/2011/05/virtuele-diefstal/.

Dan is er ook nog artikel 225 Sr, valsheid in geschrifte. Om mensen succesvol om de tuin te leiden zal de phisher immers mogelijk gebruik maken van vervalste certificaten, diploma’s, of andere geschriften.

Als laatste is een actie op grond van het merkenrecht in sommige gevallen ook nog mogelijk. Vaak berust phishing op het zo scherp mogelijk nabootsen van een bepaalde website of een bepaald merk. De merkhouder kan hiertegen optreden op grond van het Benelux Verdrag Inzake de Intellectuele Eigendom (BVIE), mits hij althans een geldig depot heeft gedaan bij de juiste instantie. De merkhouder kan optreden op grond van artikel 2.20 BVIE.

Bescherming

In principe heeft het Openbaar Ministerie dus een stevige basis om een online opererend fraudeur mee achter slot en grendel te plaatsen, ervanuit gegaan dat men deze weet op te sporen. Maar wat kan een consument zelf doen om te voorkomen dat onverwacht zijn bankrekening leeggeroofd wordt?

De Nederlandse Vereniging van Banken (NVB) heeft in 2014 de vijf uniforme veiligheidseisen uitgebracht.⁹ https://www.veiligbankieren.nl/nl/betaalmiddelen/internetbankieren/uniforme-veiligheidsregels.html. Wie zich hieraan houdt, loopt al een stuk minder risico.

De belangrijkste verdediging tegen phishing aanvallen is goed opletten. In sommige gevallen, zoals bij pharming, is het echter vrijwel onmogelijk om te zien dat het gaat om een vervalste site. Veel phishing e-mails zijn echter juist gemakkelijk te herkennen vanwege de vele spelfouten, slordige structuur en niet overeenkomende stijl. Het feit dat er in zulke mails ook steevast gevraagd wordt om ofwel het wachtwoord prijs te geven, ofwel onmiddellijk een bepaalde hyperlink te volgen en ergens in te loggen vormt nog wel de meest duidelijke indicatie.

De onoplettende of onervaren computergebruiker kan echter nog steeds gemakkelijk ten prooi vallen aan deze e-mails. Helaas worden internetcriminelen steeds geraffineerder, waardoor het gemakkelijk herkennen van phishing moeilijker wordt.¹⁰ http://www.beschermjebedrijf.nl/media/tools/Handreiking_Cybercrime_NCSC.pdf p73.

Conclusie

Phishing blijkt een veelomvattende term. Het omvat allerlei gedrag dat erop gericht is om burgers om de tuin te leiden en zo hun persoonlijke gegevens buit te maken. Phishers gebruiken veel verschillende technieken, en maken vaak gebruik van malafide software om hun doel te bereiken.

Wie zich schuldig maakt aan phishing overtreedt al snel meerdere bepalingen uit het wetboek van strafrecht, waaronder de artikelen 326, 138ab, 350a en 225 Sr. Onder omstandigheden kan soms ook het merkenrecht een rol spelen.

De consument kan zich het beste wapenen door goed op te letten. Het blijkt echter moeilijk om deze vorm van criminaliteit uit te bannen, omdat phishers met het verstrijken van de tijd steeds deskundiger en creatiever worden.

Aangezien het gros van de financiële transacties tegenwoordig via het internet wordt gedaan, zullen banken en consumenten dus ook in de toekomst scherp en alert moeten blijven om internetcriminelen een stap voor te blijven.