Een blik achter de schermen van verdacht@safeonweb.be

donderdag 17 oktober 2019 - 08:30
Als je een verdachte e-mail in je mailbox vindt, dan raad De Inspecteur je aan om die door te sturen naar verdacht@safeonweb.be. Dat is het e-mailadres dat het Centrum voor Cybersecurity België (CCB) twee jaar geleden lanceerde om phishing tegen te gaan. Het initiatief is een groot succes. Er komen elke dag zo'n 10.000 verdachte mails binnen. Maar wat gebeurt er als je zo'n bericht doorstuurt?

Anonieme automatische controle

In de kelder van het CCB gonst het van het lawaai. Er staan meer dan 900 verschillende machines van drie verschillende datacenters. De servers van het verdacht@safeonweb.be maken deel uit van dat geheel. 

Als je een verdachte e-mail doorstuurt naar verdacht@safeonweb.be dan gebeurt de controle van dat bericht volledig automatisch door een machine. Er komt dus geen ambtenaar aan te pas die met een vergrootglas onderzoekt of het al dan niet om phishing gaat. 

De machines lezen ook niet alle e-mails. Want hoe mooi het verhaaltje van sommige internetcriminelen ook is, uiteindelijk is enkel de URL gevaarlijk. Dat is de link waarop je zogezegd als gebruiker moet klikken om een nieuwe bankkaart te activeren of om een supermarktcode te bemachtigen. Als je daarop klikt, bestaat de kans dat je bestolen wordt.

Verdachte linken worden gecontroleerd 

De machines van het CCB gaan eerst en vooral kijken of er überhaupt een URL in de mail staat. Sommige e-mails lijken verdacht maar blijken niet meer dan een paar loze woorden te zijn om je bang te maken. Als er een URL gevonden wordt, haalt de machine die eruit en gaat die controleren op phishing.

De machine kijkt of de URL ooit eerder gesignaleerd werd als verdacht of dat die ooit eerder geblokkeerd werd.  Als de machine de URL niet kent, zal er gekeken worden of het over een echte of een valse website gaat. Daarvoor vergelijkt de server de ingezonden URL met bestaande linken van bedrijven, banken of instellingen die echt bestaan. Alle internetpagina's van de banken zitten bijvoorbeeld in het systeem van het CCB zodat de servers snel kunnen zien of de URL die jij als verdacht doorstuurt echt of vals is.  

Als de machines de URL na al die controles als phishing bestempelen, dan gaat het CCB de URL laten blokkeren in de browsers. De verdachte link wordt dus doorgestuurd naar Google en Microsoft die de verdachte linken dan blokkeren. Soms gaat dat heel snel maar het gebeurt ook dat er dagen overheen gaan of dat de bedrijven van mening zijn dat het niet nodig is om de verdachte URL te blokkeren.

Meer dan 100 geblokkeerde URL's per dag 

Verdacht@safeonweb.be bestaat nu ruim twee jaar, het e-mailadres werd gelanceerd op 2 oktober 2017. Het initiatief is een groot succes maar het kan altijd beter. Daarom lanceerde het CCB begin oktober een campagne om ons aan te moedigen om alle verdachte e-mails door te sturen. 

De campagne slaat aan. Miguel De Bruycker, directeur van het CCB, merkt een duidelijke stijging van het aantal meldingen. "Sinds het begin van de campagne zien we een verdriedubbeling van het aantal berichten. Dat is spectaculair! Daar waar we in augustus zo'n 4000 à 5000 berichten per dag kregen, hebben we nu pieken boven de 10.000 en zelfs 12.000 berichten. Dat is een heel goed resultaat." 

De stijging van het aantal berichten zorgt trouwens ook voor een stijging van het aantal websites dat geblokkeerd wordt. "Vorig jaar hebben we gemiddeld 4 à 5 URL's per dag kunnen blokkeren. Net voor de zomer steeg dat aantal tot 30. Nu gaat dat gemakkelijk tot over de 100."

Ook al lijkt het soms dat we dweilen met de kraan open, De Bruycker gelooft wel in deze aanpak. "Mensen zijn nog altijd een betrouwbare bron als het op verdachte berichten aankomt. Dankzij al die meldingen kunnen we de infrastructuur van die criminelen gemakkelijker platleggen. Al blijft het een grote uitdaging om dat snel genoeg te doen zodat er niet al te veel schade wordt aangericht." 

Ook verdachte sms- en WhatsApp berichten kan je doorsturen

Bepaalde berichten vanuit WhatsApp of sms'en zijn uiteindelijk ook gewoon URL linken. Die kan je in principe kopiëren in een e-mailbericht en doorsturen naar verdacht@safeonweb.be. Dus ook al ziet het bericht er niet uit als een e-mail, de URL die je toegestuurd krijgt, kan door de machines van het CCB wel herkend worden als phishing. 

Op termijn zou het ook mogelijk kunnen zijn om nog specifieker op de inhoud van de berichten te gaan focussen. Maar zo eenvoudig is dat niet. De scans van het CCB gebeuren enkel door analyse van de URL maar het zou best kunnen dat er in de toekomst wel een oplossing gevonden wordt om de verdachte inhoud op een andere manier te gaan filteren.

 

Aanbevelen via mailSturen via mail

het gezegd heeft!