Over Phishing e-mail Inleiding Regelmatig ontvangen UvA-medewerkers en studenten een e-mail waarin gevraagd wordt naar UvAnetID gegevens. De afzender doet het voorkomen alsof het verzoek van het afkomstig is. De ontvanger wordt misleid doordat gebruik wordt gemaakt van een herkenbaar afzender-mailadres, zoals bijvoorbeeld support@uva.nl. Vaak wordt uitbreiding van de e-mailbox of updaten van inloggevens als reden opgegeven voor het opvragen van UvAnetID gegevens. Deze poging tot fraude staat bekend als phishing en is een vorm van identiteitsfraude. Phishing e-mail is voor de eindgebruiker hinderlijk en verwarrend, maar kan ook tot overlast en schade leiden. Kwaadwillenden gebruiken de UvAnetID inloggevens primair om toegang te verkrijgen tot de UvA mailvoorziening om vervolgens grootschalig SPAM de wereld in te sturen. Veel onderwijsinstellingen hebben last van phishing e-mail maar ook andere instellingen zoals banken en internetproviders. Bij onderwijsinstellingen speelt mee dat e-mail adressen van medewerkers eenvoudig te achterhalen zijn door adresboeken te raadplegen of m.b.v. het doorzoeken van websites. Statistiek In 2009 zijn er 63 phishing e-mail incidenten door CERT-UvA geregistreerd. Daarnaast zijn er 21 Identity theft incidenten geregistreerd, doordat UvA medewerkers hebben gereageerd op phishing e-mail. De laatste categorie incidenten neemt de laatste maanden wel af. Het aantal phishing e-mails gericht op de UvA neemt niet af. Schade Verkregen UvAnetID gegevens worden primair gebruikt voor het versturen van grote hoeveelheden SPAM vanuit de UvA. Dit kan tot geval hebben dat: Er verstoring optreedt aan de UvAmaildienst doordat de UvA op een of meerdere blacklists komt te staan. Op basis van deze blacklists bepalen veel organisaties of mail wel of niet wordt geblokkeerd. Microsoft (Hotmail) hanteert bijvoorbeeld na een SPAM incident een periode van 72 uur waarin geen enkele e-mail aangepakt wordt, die afkomstig is van de SPAM versturende instelling.
In de praktijk blijkt dan ook dat na een succesvolle phishing aanval bij de UvA, vaak klachten binnenkomen van UvA gebruikers, omdat de door hen verstuurde mail niet aankomt bij bepaalde organisaties (zoals VU, Hotmail, etc.). Verhoogde belasting op de UvA mailvoorziening die kan leiden tot verslechtering van de performance UvAmail beheer veel tijd kwijt is aan analyse en aan het opschonen van de UvAmail voorziening (verwijderen van nog te versturen SPAM uit de outputqueues) de mailbox van het phishing slachtoffer volloopt met mail replies op de SPAM Maatregelen Gebruikers klagen er soms over waarom er niets aan phishing e-mail wordt gedaan of waarom de phishing e-mail niet worden geblokkeerd? Zondermeer blokkeren van e-mail waar trefwoorden zoals username/password in voorkomen is niet gewenst, omdat het risico op false-positives (zie opmerking hierna) levensgroot is. Een voorbeeld hiervan is een gebruiker die zich bij een dienst aanmeldt (denk aan een webwinkel of bv. de aanvraag van een gastaccount voor UvAdraadloos). De gebruiker ontvangt na aanmelding in veel gevallen een legitieme e-mail met daarin vermeld username/password. De UvA doet veel (preventief en reactief) om overlast van phishing e-mail te voorkomen of te beperken, maar is daarbij wel zeer terughoudend met het tegenhouden van e-mail op basis van inhoud. Preventieve maatregelen Voorlichting Periodiek wordt op de UvAwebsite of in nieuwsbrieven gewaarschuwd tegen phishing e-mail. Het onderwerp phishing komt ook onder de aandacht in de beveiligingscampagne Cybersave yourself. SPAM adres filtering De basis SPAM maatregelen (greylisting en blacklisting van notoire SPAM bronnen) die zijn genomen in de UvAmail infrastructuur houden meer dan 80% SPAM en phishing e-mail tegen.
Extra filterregels zijn toegevoegd die e-mail blokkeren op basis van een discutabel afzenderadres (zoals support@uva.nl, helpdesk@uva.nl) en vanaf adressen die in het verleden zijn gebruikt om phishing e-mail te versturen (account@upgrade.com, info@helpdesk.com, etc.) SPAM content filtering Zodra de UvAmail voorziening een e-mail aanpakt treedt het SPAM content filter in werking. Nu wordt ondermeer een statistische analyse gemaakt van de combinatie van een aantal kenmerken m.b.t. de inhoud van de mail en de mate van waarschijnlijkheid dat deze combinatie spam of phishing betreft. Deze methode is niet waterdicht maar vangt een groot deel van de ongewenste berichten af. Er zijn ook kenmerken opgenomen om phishing e-mail te herkennen, zoals username en password. Naast de basis set heeft de UvA extra regels toegevoegd die de kans op het detecteren van phishing E-mail verhogen. Opmerking: Het SPAM filter kan ten onrechte een mail aanmerken als SPAM (falsepositive). Daarom geldt het principe dat de UvAmail voorziening nooit autonoom SPAM berichten tegenhoudt op basis van inhoud. De binnenkomende e-mail wordt voorzien van een SPAM score. Op basis van de SPAM score (SPAM flag) kan de eindgebruiker m.b.v. de e-mail client (bv. Outlook) rules definieren. De SPAM rules bepalen wat de eindgebruiker wil met een e-mail. De eindgebruiker kan bijvooorbeeld besluiten e-mail met een bepaalde SPAM score te verwijderen of op te slaan in een speciale folder (junk e-mail). SPAM filtering is niet waterdicht Toch komt het met regelmaat voor dat phishing e-mail door de SPAM filtering glipt. Hier zijn een aantal redenen voor aan te voeren: De spammers/phishers kennen onze verdediging en passen zich daaraan aan De filters zijn niet waterdicht. De SPAM/phishing filters vereisen telkens weer onderhoud (mede door punt 1) vanwege nieuwe berichten. Veel phishing e-mail bevat ook geen trefwoorden meer zoals username/password, maar verwijzen naar een webformulier, waar de gebruiker wordt uitgenodigd vertrouwelijke gegevens in te voeren. Eindgebruikers maken geen gebruik van SPAM rules en ontvangen phishing e- mails in de inbox, ondanks dat de SPAM flag actief is.
Reactieve maatregelen Eindgebruikers melden regelmatig ontvangst van een phishing e-mail bij de servicedesk. De servicedesk registreert de melding en houdt een lijst bij van reeds gesignaleerde phishing e-mails. Nieuwe phishing e-mails worden doorgestuurd aan CERT-UvA inclusief alle mailheaders. CERT-UvA analyseert de e-mail en probeert phishing e-mail zo snel mogelijk onschadelijk te maken door: het reply-to e-mailadres te blokkeren en bovendien de betrokken serviceprovider te informeren en te verzoeken om maatregelen te nemen; in het geval dat in de phishing e-mail verwezen wordt naar een webformulier waar het slachtoffer verzocht wordt identiteitsgegevens achter te laten, wordt de desbetreffende webbeheerder op de hoogte gesteld en dringend verzocht het formulier te verwijderen; phishing e-mail met een te lage SPAM score door te sturen naar UvAmail beheerders met het verzoek om het SPAM-filter (indien mogelijk) aan te passen. Correctieve maatregelen In het geval dat een eindgebruiker toch UvAnetID gegevens heeft verstrekt wordt z.s.m. diens account geblokkeerd om de schade zoveel mogelijk te beperken. Daarnaast wordt direct actie ondernomen om UvAmail servers die t.g.v. SPAM-runs op blacklists staan z.s.m. weer van de blacklists te (laten) verwijderen. Aanvullende maatregelen Ondanks bovengenoemde maatregelen ondervindt de UvA nog steeds overlast van phisihing e-mail. De overlast kan verder worden teruggebracht door: Modernisering van de infrastructuur (Exchange2007/2010) waardoor misbruik van de e-mail voorziening eerder gedetecteerd wordt en beperkt wordt. De kwaliteit van het SPAM-filter kan nog worden verbeterd door actiever beheer. Aanpassen van rules op basis van phishing e-mail die geen of onvoldoende SPAM score heeft gekregen. Gebruik van de SPAM rules in de (Outlook) mail cliënt is onvoldoende bekend bij de eindgebruiker. Een default instelling van de SPAM rules in de mail cliënt kan mogelijk bijdrage aan het verkleinen van de kans dat een eindgebruiker een phishing E-mail tegenkomt.
Mogelijk is het zinvol gebruik te maken van op het internet beschikbare lijsten van ongewenste reply-to adressen. Alternatief is om binnen Surfnet-verband de lijst van ongewenste reply-to mailadressen centraal te registreren. Herhaaldelijk blijven voorlichten over phishing e-mail, maar ook voorlichting over het belang van het UvAnetID draagt bij aan het terugdringen van het aantal incidenten. Opmerking: Een Universitair Medisch Centrum heeft op initiatief van het lokale CERTteam phishing e-mail verstuurd aan haar eigen medewerkers. De bedoeling was om inzicht te verkrijgen in het aantal medewerkers dat zou reageren en om vervolgens de resultaten te gebruiken om de bewustwording te verhogen. Uiteindelijk hebben meer dan 400 medewerkers gereageerd en username/password gegevens achtergelaten. Sinds de actie is het aantal Identity theft incidenten drastisch teruggelopen. De resultaten zijn interessant, maar de actie heeft wel voor veel onrust gezorgd. Het geeft wel aan dat meer instellingen te maken hebben met het fenomeen phishing en hun heil ondermeer zoeken in bewustwording. Over de wijze waarop lopen de meningen uiteen.