Wat zijn phishing en pharming?

Enkele weken geleden vond ik een phishing-e-mail in mijn inbox. Aangezien deze vorm van internetfraude nog steeds voorkomt, wordt er hier aandacht aan besteed. Vorige week werden de verschillende soorten malware besproken. In dezelfde context worden de termen phishing en pharming gebruikt. In theorie vallen deze vormen niet onder de definitie van malware, omdat er bij phishing en pharming geen gebruik wordt gemaakt van software. Daar in beide gevallen het doel duidelijk financieel is, worden deze termen als internetfraude gezien. In dit artikel zal worden ingegaan op wat er met deze termen wordt bedoeld en hoe deze vormen van internetfraude in elkaar steken.

Het woord phishing is ontstaan door het samenvoegen van de woorden ‘Password Harvesting Fishing`; in hackerstaal wordt de ‘f’ wel vaker vervangen door een ‘ph’. Zoals gesteld is phishing een vorm van internetfraude, waarbij gebruik wordt gemaakt van een valse webpagina. De consument denkt bijvoorbeeld op de webpagina van zijn bank te zijn, terwijl hij op een heel goede kopie van die webpagina aan het surfen is. Als de consument zijn bankgegevens invult, worden zij niet doorgestuurd naar de bank maar naar de fraudeur. Deze krijgt vervolgens de beschikking over de ingevulde gegevens, waarmee hij misbruik kan maken van zijn slachtoffer.

Een techniek die bij phishing gebruikt kan worden heet Uniform Resource Locator(URL)-spoofing. Een URL is een adres dat verwijst naar bijvoorbeeld een webpagina of een ander bestand op het internet. Bij URL-spoofing wordt de URL van een site bijna identiek gekopieerd. Slachtoffers van phishing komen op de verkeerde URL terecht door het klikken op een link in een e-mail. De niet altijd volledig geïnformeerde consument zal op deze link klikken, omdat hem in de mail wordt wijsgemaakt dat hij dit moet doen ter controle of omdat zijn rekening geblokkeerd zal worden als hij dit niet doet. Omdat niemand wil dat zijn rekening wordt geblokkeerd, is deze wijze van misleiding effectief. Een andere techniek die bij phishing wordt gebruikt is phishing door middel van een trojaans paard – voor meer informatie over wat dit is, zie het artikel over malware. Een trojaans paard is een virus dat ervoor kan zorgen dat iemand de controle krijgt over andermans computer. Ook kan iemand anders via een trojaans paard meekijken met wat er op het toetsenbord en beeldscherm wordt ingevuld. Een fraudeur kan dus met behulp van deze software allerlei gegevens bemachtigen.

Bij pharming wordt een bestaande webpagina schijnbaar overgenomen door de fraudeur. Hij maakt net als bij phishing een kopie van de betreffende webpagina, die op dezelfde plek lijkt te staan als het origineel. Schijn bedriegt echter. Om de werking van pharming duidelijk uit te leggen moet er eerst dieper worden ingegaan op de manier waarop het internet werkt. Als er een webpagina op internet wordt opgezocht wordt er een webpagina-adres ingetypt, ook wel de ‘hostname’ genoemd. Door het intypen van de ‘hostname’ komt men terecht op de server, waarop de opgevraagde webpagina staat. Iedere ‘hostname’ is ook gekoppeld aan een ‘ip-adres’: de eigenlijke locatie van de server. Het ‘ip-adres’ geeft tevens de plek op de server aan waarop de betreffende webpagina staat. Het zou onpraktisch zijn indien we de ‘ip-adressen’ van alle webpagina’s, die we willen zien, moeten onthouden. Een ‘ip-adres’ bestaat uit een combinatie van vier getallen, waarvan elk ook nog eens maximaal uit 3 cijfers bestaat. Een voorbeeld hiervan is 189.566.102.1. Om ervoor te zorgen dat we niet alle ‘ip-adressen’ hoeven te onthouden, zijn er ‘hostnames’ aan de ip-adressen gekoppeld. Dit gebeurt door een zogenaamde ‘DNS’-Server. De afkorting ‘DNS’ staat voor ‘domein name system’.

Bij pharming wordt de originele DNS verwijzing gewijzigd. Aldus wordt de consument doorverwezen naar de nagebootste webpagina, die dan wordt beheerd door de fraudeur. Doordat de nietsvermoedende consument zijn inloggegevens invult op de nagebootste webpagina, kan de fraudeur er misbruik van maken. Fraudeurs zijn tot pharming overgegaan omdat consumenten de laatste jaren veel actiever zijn geworden bij het controleren van hun internetadressen. Het succes van phishing door middel van URL-spoofing is de laatste jaren dan ook flink afgenomen. Bij pharming is er echter geen verschil in de ‘hostname’ te zien, maar alleen in het ‘ip-adres’. Het ‘ip-adres’ is niet zomaar zichtbaar en de gemiddeld geïnformeerde consument zal niet naar het ‘ip-adres’ kijken. Als een consument wel kijkt, zal hij in veel gevallen het verschil in de ip-adressen niet zien. Er is wel een manier waarop de consument zich tegen deze vorm van internetfraude kan proberen te beschermen. Banken en andere belangrijke instantie hebben een beveiligde webpagina. Pharmers bezitten deze beveiligde webpagina’s niet. Zij zijn te herkennen aan de https voor het webpagina-adres. Bij een niet-beveiligde webpagina staat er http. Sommige internetbrowsers helpen de consument met het herkennen van beveiligde webpagina’s door de adresbalk een andere kleur te geven, of een slotje in beeld te laten verschijnen.

Resumerend: Phishing en pharming zijn vormen van internetfraude. Het woord phishing is ontstaan door het samenvoegen van de woorden ‘Password Harvesting Fishing`. Daarnaast wordt in de hackerstaal de ‘f’ vaker vervangen door een ‘ph’. Bij phishing wordt gebruik gemaakt van een valse webpagina. Een techniek die bij phishing kan worden gebruikt heet Uniform Resource Locator(URL)-spoofing. Bij URL-spoofing wordt de URL van een site bijna identiek gekopieerd. Een andere techniek die bij phishing wordt gebruikt is een trojaans paard. Een fraudeur kan door deze software allerlei gegevens bemachtigen. Bij pharming wordt een bestaande webpagina schijnbaar overgenomen door de fraudeur. Hij maakt net als bij phishing een kopie van de betreffende webpagina. De webpagina lijkt op dezelfde plek te staan als het origineel, maar schijn bedriegt. Bij pharming wordt de originele DNS-verwijzing gewijzigd. Door de wijziging wordt de consument doorverwezen naar de nagebootste webpagina, die dan beheerd door de fraudeur. Volgende week zal worden ingegaan op wat cybercrime is.

Lees ook de andere artikelen van mr. Sophia Sipkens.