De Efteling heeft de twijfelachtige eer om voorloper te zijn in een (relatief) nieuwe vorm van cybercriminaliteit. Het gaat om het hardnekkige ‘letterphishing’. Volgens specialisten het begin van een ware plaag.
‘Efteling geeft vijf gratis tickets weg aan vijfhonderd gezinnen om zijn 68-jarig jubileum te vieren.’ Het was een Whatsapp-bericht dat ik vorige week kreeg via een ex-collega. En verder stond er: ‘Haal je gratis kaartjes bij’ en vervolgens een url die op het eerste zicht perfect oké leek.
Samen met mij kregen duizenden Belgen en Nederlanders de voorbije dagen deze boodschap. Bij de Efteling zullen ze het geweten hebben. Daar stond de telefoon roodgloeiend.
VTM en Argenta
Over het pretpark Walibi werden naar verluidt gelijkaardige berichten verspreid. De neppromoties bleken al snel een vorm van phishing: wie op de link klikte, ging naar een fake website waar criminelen hengelen naar uw persoonlijke gegevens. Ik vermoedde het wel, maar vond het verdorie knap gemaakt. Geen taalfouten en op het eerste zicht een duidelijke url.
Het wordt steeds moeilijker om phishing-mails van echte mails te onderscheiden. Ik heb ooit naar de woordvoerster van de VTM gemaild om te melden dat er phishing-berichten over hun app werden verstuurd, tot bleek dat die mails van hun partnerbedrijf kwamen en dus volledig legitiem bleken. De twijfelachtige Argenta-phishing kon ik dan wel herkennen en doorspelen.
Russische letters
Maar het wordt moeilijker. Vroeger herkende u phishing-berichten aan de kromme zinnen, de vele taalfouten en de overduidelijke fake url’s. Maar hier niet: alleen wie heel goed kijkt, ziet in de link naar de Efteling-site een minuscuul puntje onder de letter t staan.
De oplichters maken handig gebruik van ‘punycode’, een algoritme dat internationale lettertekens in een domeinnaam – denk aan Chinese of Russische karakters – omzet in een reeks karakters in ons bekende alfabet. Sommige browsers kunnen die vreemde karakters niet lezen en vertalen ze verkeerd. Hackers misbruiken die foutjes om bekende domeinnamen nagenoeg perfect na te bootsen.
Miljoenen mogelijkheden voor misbruik
Volgens Geert Baudewijns, ceo en oprichter van Secutec, die ik erover aansprak, zijn er alvast gigantisch veel mogelijkheden. Zijn bedrijf deed ooit een test waaruit bleek dat er 32 miljoen karakters beschikbaar zijn om de naam van een bekende bank met punycode na te bootsen.
Volgens Baudewijns zal ‘letterphishing’ de komende jaren een ware plaag worden. En die plaag is van een andere orde. Vroeger zag je dan bijvoorbeeld bankofamerica.com, en werd je meegenomen naar bank0famerica.com (dus met een nul in plaats van een o). Of ze leidden je naar citiibank.com, dus met twee i’s in het nepadres.
Maar de Efteling-phishing is dus een graad erger. Volgens Baudewijns vormt deze Efteling-oplichting slechts het topje van de ijsberg. Hij ziet het aantal aanvallen toenemen en werkt aan monitor-oplossing voor bedrijven om te voorkomen, dat bedrijven met hun site ‘gephisht’ worden. ‘Maar als consument kan je hier niets aan doen buiten zeer oplettend te zijn’, stelt hij vast.
Rendement van 12.000 procent
Voor criminelen zijn de kosten voor deze digitale oplichterij natuurlijk belachelijk laag. In het boek ‘Cybercrime en cyberwar’ van Marc Goodman – overigens een kluif van bijna zeshonderd pagina’s, zoveel valt er over cybercriminaliteit te vertellen – wordt onder meer het economische model van phishing uit de doeken gedaan. Voor slechts 65 dollar zijn in de digitale onderwereld volledig geautomatiseerde phishingkits te koop waarmee je scamberichten naar een half miljoen e-mailadressen kan verzenden.
Met een investering van 130 dollar, en dus een miljoen phishing-berichten, kunnen criminelen zestienduizend dollar verdienen, een rendement van 12.000 procent. Daar kan geen aandeel of vastgoedinvestering tegenop. Weet dat er jaarlijks 36 miljard phishingberichten worden verstuurd, en je hebt een goed beeld op de draagwijdte van winst en cybercrime.
En zoals ze ook bij de Efteling intussen weten: het beste moet nog komen. Vergeet de klassieke phishing, daar is letterphishing.
