Een lezer vroeg me:
Al een tijdje wordt in België het Belgian Anti Phishing Shield (BAPS) gebruikt. Als het Cyber Security Belgium (CCB) oordeelt dat een site een phishingsite is, maken de grote internetproviders een DNS-omleiding zodat je bij een waarschuwingspagina uitkomt. Mag dat eigenlijk wel van de Europese regels of moet dit op basis van voorafgaande toestemming?Het BAPS is al wat jaartjes actief. Bij het CCB lees ik dat men al in 2022 “ongeveer 25 waarschuwingen naar internetgebruikers per minuut” afgaf. Haar directeur, Miguel De Bruycker, kreeg er zelfs een prijs voor.
Inbreken in internetverkeer moet in Europa binnen de regels van de Open Internet Verordening (2015/531) gerechtvaardigd worden. Hoofdregel hierbij is dat alle internetverkeer gelijk wordt behandeld en je overal bij moet kunnen. Uitzonderingen zijn alleen mogelijk als het gaat om “redelijke verkeersbeheersmaatregelen” of de expliciet genoemde gevallen van
- wettelijk verplichte (inclusief door rechters of toezichthouders opgelegde) blokkades of beperkingen
- noodzakelijke blokkades om “de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen”
- ingrepen om “nakende netwerkcongestie te voorkomen en de effecten van uitzonderlijke of tijdelijke netwerkcongestie te beperken, op voorwaarde dat gelijkwaardige soorten verkeer gelijk worden behandeld”.
Uit het beleidsdocument haal ik dat het CCB deze constructie heeft opgetuigd omdat externe partijen zoals Microsoft en Google niet altijd even snel hun lijsten bijwerken als er een Belgische phishingsite wordt gemeld. Extensies zoals SmartScreen helpen dus te weinig.
Dat is een duidelijke motivatie richting noodzaak, want veel phishingtrucs zijn gebouwd om snel resultaat te krijgen. De figuren daarachter weten dat autoriteiten (en de hostingbedrijven waar ze zitten) binnen een paar dagen wel ingrijpen, dus dat is het window waarbinnen men moet opereren. De BAPS maatregel kan binnen bij wijze van een uur genomen zijn.
Natuurlijk kan een site als vals positief op de lijst komen, terwijl geen sprake is van phishing. Maar zo’n vermelding gebeurt dankzij het oudere project BePhish waar het publiek links rapporteert. Dat maakt de kans voor mij klein dat sites valselijk vermeld worden. Ik zie dus niet meteen een reden waarom deze dienst in strijd met Europees recht zou zijn.
Arnoud
Hoewel ik natuurlijk zwaar tegen phishing ben, heb ik toch de indruk dat jij en het CCB de regels wel makkelijk buigen richting een gewenst resultaat.
Zo zie ik de ‘noodzaak’ niet. Mensen kunnen zelf ook opletten, en het bezoeken van zo’n site leidt niet meteen tot schade, dus noodzaak? Behulpzaam misschien, maar geen noodzaak.
En dan “de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen”. Met het netwerk gebeurt niets, met de eindapparatuur gebeurt er soms iets maar lang niet altijd bij phishing, en met de diensten gebeurt ook niets (behalve dat er een nutteloze, en potentieel gevaarlijke, dienst bij komt, maar dat verandert niets aan de echte diensten).
Dus ook dat past maar ‘misschien een beetje’
Ik lees in b.: noodzakelijke blokkades om “de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen”. Het weren van phishing sites beschermt gebruikers van financiële internetdiensten. Of dit nu integriteit, veiligheid of beiden is, daar kunnen we over discussiëren. (Ik zeg beiden.)
Noodzakelijk zou ik niet weten. Zeer wenselijk is zo’n blokkade zeker. En bij financiële diensten kijk ik breder dan de pure bankservers (die niet direct aangetast worden); het (gewenste) betalingsverkeer wordt door deze phishing sites gecorrumpeerd. Het CCB mag hier dan wel tegen wettelijke grenzen aanleunen, maar naar mijn mening op een zeer verdedigbare wijze, zowel juridisch als moreel.
Ja maar dat staat er niet in b).
‘de diensten die via dit netwerk worden aangeboden’ lees ik als: de echte sites van de echte banken.
En daar verandert niets aan door de phishing.
Kortom, op grond van b) is ingrijpen noodzakelijk als iemand de site van de SNSbank hackt, maar niet als iemand zich onterecht voor doet als de SNSbank en gebruikers probeert te overreden om naar zijn nepsite te gaan.
Zo lees ik het, en dan is het onvoldoende om phishing sites te blokkeren.
Hoe nobel het doel ook is, en hoe jammer ik of jij dat ook mag vinden.
Ik zie dat onze discussie zich richt op hoe je de term “dienst” moet interpreteren. Als ik naar de website van mijn bank ga, doe ik dat om betalingen te verrichten. De dienst die ik wens te gebruiken is “het verrichten van girale betalingen” en (zoals vrijwel iedereen) heb ik zeer specifieke ideeën over bedragen en ontvangers.
Een phishing site (die bedragen of rekeningnummers kan manipuleren) kan ervoor zorgen dat mijn betalingen niet de beoogde ontvanger bereiken. Dat is een serieuze inbreuk op de integriteit van de online girale betalingsdienstverlening van mijn bank. Het verstoort de verwachting dat de correcte betalingen bij de correcte ontvangers komen.
Inderdaad, daar lijkt de discussie zich op toe te spitsen. Maar ik denk niet dat we het eens gaan worden, dus ik stel beleefd voor om het hierbij te laten.
Nog een kleine muggenzift. Ik vind “blokkeren” (wat er feitelijk gebeurt) wel iets fundamenteel anders dan het “onderscheppen” (kennisnemen van de inhoud) uit de titel van de blog. Voor onderscheppen zie ik in de wet dan ook geen aanleiding, blokkeren wel.
Kan ik niet makkelijk de site van een ander laten blokkeren door een aantal zelfgemaakte nep-phishing mails aan hen te sturen?
Via NextDNS heb ik voor een luttel bedrag per maand echt ontzettend veel DNS-blokkades ingesteld. Alle thuisapparaten nemen die vanzelf mee. Was even sleutelen om de TV en Ziggo te overtuigen. Kan ik iedereen aanraden. Denk dat het verschil in de redenering van u/cg is dat ene verplicht is (BAPS) en de andere oplossing vrijwillig (NextDNS)?
Ik zou ook wel een whitelist oplossing voor SMS kunnen gebruiken. 50% van mijn berichten aldaar zijn spam. En geen provider die daar wat tegen wil doen.
De basisgedachte voor moderne IT-security die in mij opkomt is dat mensen bijna nooit ongestructureerd contact hebben met vreemden. Iedere vreemde moet eigenlijk geverifieerd worden, voordat een boodschap kan overkomen. Denk email, SMS, internet, apps, social media. Het is gek dat alle kanalen daar heel verschillend mee omgaan.
Ik vind dat eigenlijk een heel trieste vaststelling als kenmerk van onze moderne samenleving.