Tag: Phishing

About Phishing

Subscribe Feeds

Mag ik als securitytester phishingmails versturen met andermans logo?

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, Security, 10 reacties
mohamedhassan / Pixabay

Een lezer vroeg me:

Ik ben security consultant en deel van mijn werk is het organiseren van phishing tests bij organisaties. Daarvoor moet ik natuurlijk logo’s en huisstijlen van bekende dienstverleners (zoals Microsoft of Apple, maar ook Nederlandse bedrijven zoals salarisadministrateurs) gebruiken om de testmails en nepsites echt te laten lijken. Nu maakt een klant zich zorgen dat dit merkinbreuk op zou kunnen leveren. Heeft die een punt?
Gebruik van andermans merk om naar producten of diensten te verwijzen die niet van de merkhouder zijn, is in principe merkinbreuk als je het formeel bekijkt. En dat is hier het hele punt, je wilt nu juist verwarring creëren bij mensen over de afzender/eigenaar van die site zodat ze in je phish-truc trappen. Het merkenrecht kent geen expliciete uitzondering zoals fair use in het (Amerikaanse) auteursrecht.

Daar staat tegenover dat merken bedoeld zijn om producten of diensten mee te onderscheiden. Dat doe je niet met zo’n test. Je bent niet je eigen producten aan het verkopen als zijnde Microsoft Authentic of de laatste AFAS vakantiedagen-app of zo. En als je niets verkoopt, of je eigen bedrijf mooier laat lijken door die merken, dan pleeg je per definitie geen merkinbreuk.

Voor mij geeft de doorslag dat je het merk wel móet gebruiken voor een goede test, je kunt geen tests doen als het er niet een beetje realistisch uitziet. Dat is maatschappelijk aanvaard en ook echt nodig om mensen op te voeden / alert te houden. Dat zie ik als een zwaarwegend en wat de merkenwet een “eerlijk” gebruik noemt, en dan kom je in deze categorie (art. 2.23 lid 1 sub c BVIE):

[Gebruik van] het merk met het oog op de identificatie van of de verwijzing naar waren of diensten als die van de houder van dat merk, in het bijzonder indien het gebruik van dat merk noodzakelijk is om de bestemming van een waar of dienst aan te duiden, met name als accessoire of onderdeel; één en ander voor zover het gebruik door de derde plaatsvindt volgens de eerlijke gebruiken in nijverheid en handel.
Dit artikel is normaal bedoeld voor mensen die bijvoorbeeld accessoires verkopen (“past in alle Miele-stofzuigers”) of anderszins naar de merkhouder willen vermijden (“wij gebruiken Google Analytics”). Dat doe je hier eigenlijk niet, want je verwijst naar een phishingsite. Maar je kunt ook zeggen dat je juist wél naar die merkhouders verwijst, met dus in het achterhoofd dat dat nodig is om mensen phishings te leren herkennen.

Ik zou dus zeggen; dit kan, maar vermijd zo veel mogelijk in openbare materialen deze logo’s, of maak ze dan klein en alleen voor de herkenning “oh ja phishing mails van Microsoft”. Ga zeker niet adverteren met “Wij testen op phishing met onder meer nep-loginsites van Google of AFAS, zie screenshots”.

Voor deze klant is dit waarschijnlijk wat weinig zorg. Je kunt dan alleen nog aanbieden dat je de klant zult vrijwaren van claims mochten deze merkhouders zich werkelijk melden bij de klant met een rekening voor merkinbreuk. Die situatie lijkt mij namelijk nogal onwaarschijnlijk – sowieso is de kans klein dat zo’n claim er komt, en als die er komt dan komt die toch al bij jou want jij bent degene die de phishingsite beheert.

Arnoud

 

Bol.com trapte in phishingmail en maakte 750.000 euro over naar oplichters

Geplaatst op in Ondernemingsvrijheid, Regulering, 28 reacties

Bol.com heeft 750.000 euro overgemaakt naar oplichters nadat het bedrijf in een phishingmail was getrapt, las ik bij Tweakers. De rechtbank Midden-Nederland oordeelde recent dat men argwanender had moeten zijn. Weliswaar klopte het afzendermailadres (door een computerhack) en leken ook layout en namen correct, maar het taalgebruik was van het niveau Google Translate halfbakken Engels en dat is voor twee jarenlang samenwerkende Nederlandse bedrijven bepaald gek.

Op 25 november 2019 werd een e-mail aan ‘supplierfinance@bol.com’ gestuurd met onder meer de volgende inhoud: ‘Bijgevoegd vindt u onze nieuwe betalingsroute zoals opgedragen door het management, doe het nodige voor de volgende betaling. Alvast bedankt!’. Afzender: meneer [A], wiens mailbox was gehackt “via de cloud”. Het vonnis bevat een printscreen van de gehele mail. De strekking: een verzoek om betalingen voortaan niet meer over te maken aan de bij Bol.com bekende bankrekening van Brabantia Netherlands maar aan een Spaanse bankrekening die ten name van ‘Brabantia International B.V.’ zou staan.

De oplichter bleek hardnekkig want de navolgende dagen werd een keurige reminder gestuurd (“Kunt u bevestigen dat uw crediteurenadministratie is bijgewerkt als bijgevoegd.“) Uiteindelijk werd daarop gereageerd, maar die mail bleef buiten het zicht van de gehackte Brabantia-medewerker. Daarna dacht Bol.com alles geregeld te hebben en werden de verkoopopbrengsten keurig overgemaakt naar het nieuwe nummer. Na zo’n 750.000 euro niet te hebben gekregen, trok het Brabantse bedrijf aan de bol, sorry bel, en kwam de fraude uit.

Wie draait daar voor op? Het begon dus bij een overgenomen mailbox van een medewerker van Brabantia, en ook kon men bij het briefpapier-template van Brabantia, zodat het op zich echt doen lijken van de berichten mogelijk was. De inhoud van de mails gaf echter te denken:

Om te beginnen bevat deze merkwaardige fouten als ‘Houd he [?] rekening mee’ en de frase ‘een wijziging in onze bankrekeninggegevens hebben voor incaende [?] betalingen’, waarbij ‘incaende’ meer dan een gewone typefout lijkt. Bovenal roept de frase ‘moten all incoming betalingen have been overgemaakt’ onmiddellijk grote vraagtekens op, zelfs als een zekere mate van gebrekkig taalgebruik of een overmatig gebruik van het Engels voor lief wordt genomen.
Bol.com moest begrijpen dat dergelijke frases praktisch niet van directeuren van Brabantia Netherlands afkomstig kunnen zijn of door hen kunnen zijn goedgekeurd. Dat met de daarop volgende Engelstalige passage ‘niets mis is’, zoals Bol.com benadrukt, doet hier niet aan af, nog afgezien van het feit dat het gebruik van de Engelse taal in deze context op zich zelf al tot twijfel had moeten leiden.

Vanwege al deze omstandigheden is de conclusie voor de rechter helder: Bol.com had beter op moeten letten, en zij heeft dus wanprestatie gepleegd jegens Brabantia door die 750k niet te betalen op de rekening waar die hoorde te komen.

Het enige vind ik steekhoudende tegenargument is dat Bol.com dus had gereageerd naar Brabantia (het gehackte mailadres) en dat men daar het niet opgepakt had. Dat kwam omdat de crimineel mails met als afzender Bol.com in het mapje “RSS Feeds” (zo’n standaardmap van Outlook die niemand wil) had laten komen en automatisch als gelezen gemarkeerd. Zo kon die keurig reageren maar zou de medewerker die waarschijnlijk niet zien. Je zou dan zeggen: die berichten zijn bij Brabantia aangekomen, het niet checken van dat mapje is voor rekening van dat bedrijf dus die hadden het moeten zien. Alleen:

Bij de vraag of Bol.com te goeder trouw was bij de betalingen, is bepalend of zij had moeten twijfelen (zie hiervoor in 3.11). Hiervoor heeft de rechtbank vastgesteld dat Bol.com door de brief van 25 november 2019 ernstig moest twijfelen. Die ernstige twijfel wordt naar het oordeel van de rechtbank niet weggenomen doordat Brabantia Netherlands de bevestiging van Bol.com onbeantwoord heeft gelaten.
Bol.com had al moeten twijfelen vóórdat ze een reply stuurde, laat staan voordat ze het rekeningnummer aanpaste. En dan kun je dus niet zeggen “jullie hebben nooit gereageerd op ons bericht dat we het nummer aangepast hebben”. Ook het sturen van betalingsaankondigingen hielp haar niet, als leverancier hoef je daar niet naar te kijken en al helemaal niet te denken, wat raar dat ze vier weken na de aankondiging nog niet betaald hebben.

Ook een argument van Bol.com was dat Brabantia haar mailboxen beter had moeten beveiligen, bijvoorbeeld met tweefactorauthenticatie. Dan was de inbraak waarschijnlijk niet gelukt, en had dit alles voorkomen kunnen worden. Een terechte klacht, en dit had ook zeker de doorslag gegeven als de mail perfect Nederlands was geweest en een Nederlands IBAN was gebruikt. Maar dat was dus niet zo, en precies  daarom had Bol.com argwanender moeten zijn. Als de afzender klopt maar de inhoud bizar is, dan is er iets mis. En dan ligt de bal écht bij jou als ontvanger.

Arnoud

Zijn telecomproviders aansprakelijk voor gespoofte telefoonnummers?

Geplaatst op in Ondernemingsvrijheid, 52 reacties

Een lezer vroeg me:

Regelmatig wordt bericht over SMSjes of telefoongesprekken afkomstig van criminelen die gebruik maken van gespoofte telefoonnummers en zo hun geloofwaardigheid te vergroten. Denk aan nummers van banken of de overheid. Zijn telecombedrijven aansprakelijk wanneer zij dergelijke vormen van spoofing toestaan, en maakt het dan nog uit hoe actief zij daarop toezien?
Helaas komt het steeds vaker voor dat oplichters (“phishers”, in het jargon) gebruik maken van gespoofte telefoonnummers. In februari werd bijvoorbeeld bericht dat de politie samen met de Nederlandse grootbanken een onderzoek is gestart naar het spoofen van telefoonnummers van banken door oplichters. Ik heb nog geen resultaten gelezen, maar het laat de urgentie van het probleem zien. Wanneer een slachtoffer het werkelijke nummer van een bank als beller ziet, zal hij eerder het verhaal geloven natuurlijk.

Het doet raar aan dat een beller andermans telefoonnummer kan meesturen. Deze situatie bestaat echter al heel lang. Er zijn namelijk legale toepassingen, zoals wanneer een bedrijf bij alle uitgaande telefoontjes het centrale nummer meestuurt. Dan komen terugbellende klanten niet bij een specifieke medewerker terecht maar altijd bij de telefoniste.

Raar is wel dat daarbij in de praktijk geen enkele beperking wordt gehanteerd, zoals dat het ingestelde nummer ergens aan jouw bedrijf gekoppeld moet zijn in de administratie van de telecomprovider. Ik weet niet waarom dat niet gebeurt.

Aansprakelijk voor problemen als gevolg van zo’n nepnummer is een telecomprovider niet. In de wet staat immers dat partijen die toegang geven tot communicatienetwerken niet aansprakelijk zijn voor de doorgegeven informatie (art. 6:196c lid 1 BW), en dat geldt dus ook voor telefonieproviders. Onder “informatie” valt ook metadata zoals het nummer van de afzender/beller.

Ik begrijp dat de ACM (de toezichthouder in deze sector) al sinds 2018 bezig is met telecomproviders samen te werken hier wat aan te doen. Ik kan geen specifieke wettelijke regels of beleidsregels vinden waar dit onder zou vallen. Het lijkt mij een vrij eenvoudige regel om in te voeren, en gezien de opkomst van deze fraude ook geen gek idee. Of mis ik een reële case waarom mensen arbitraire nummers moeten kunnen meesturen met uitgaande telefoongesprekken?

Arnoud

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

Geplaatst op in Regulering, 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

Nieuw op Ius Mentis: Fraude en misbruik van betaalmiddelen

Geplaatst op in Security, 27 reacties

Eindelijk tijd voor weer eens een artikel op mijn site: Fraude en misbruik van betaalmiddelen.

Elektronisch betalingsverkeer (zoals creditcard, pinnen of internetbankieren) is kwetsbaar voor allerlei vormen van fraude. Pincodes kunnen worden afgekeken, websites vervalst (“phishing”) en passen kunnen worden gestolen. De wet bepaalt dat de bank in principe hier het risico voor draagt, met een eigen risico voor de klant van maximaal € 150.

Bij opzet en grove nalatigheid door de klant komen de niet-geautoriseerde betalingen volledig voor rekening van de klant. Wanneer daarvan sprake is, hangt heel erg van de specifieke situatie af. Banken stellen in hun algemene voorwaarden allerlei veiligheidsvoorschriften. Dat mag, en het niet opvolgen daarvan is een belangrijke factor om te bepalen of sprake is van grove nalatigheid. Wel moeten de voorwaarden natuurlijk redelijk zijn.

Dat inschatten wanneer nalatigheid grof is, blijkt nog een hele klus. De rechtspraak en uitspraken van de geschillencommissie laat nogal wat situaties zien, van open fietstassen tot portemonnees die met ketting aan de broek vastzitten maar waar dan stiekem de pinpas uit gehaald is.

Wat ik níet vond, waren uitspraken over internetbankieren en wanneer je laten pakken door phishers grove nalatigheid oplevert. Dat je in een criminele truc trapt, is niet automatisch grof nalatig zo blijkt uit een uitspraak over de “tientjestruc” (waarbij je afgeleid wordt door een tientje op de grond zodat men je net gepinde geld kan stelen).

Hebben jullie voorbeelden van wat je wél grof nalatig zou vinden bij internetfraude?

Arnoud

Phishing-bestrijders krijgen donaties van phishers

Geplaatst op in Security, nog geen reacties

Wat doe je als je als oplichter last hebt van een groep mensen die jou probeert te laten stoppen? Die geef je een deel van je inkomsten.

Via Slashdot vond ik een blogpost in de Washington Post over een groep phishers die de vrijwilligers-groep Castlecops het leven zuur maakt. De truc: doneer een deel van je gestolen geld aan Castlecops, zodat zij er op worden aangekeken als de transactie wordt getraceerd.

The unauthorized contributions all came in via PayPal, the online payment service owned by eBay. Some were sent via PayPal accounts that attackers had hijacked in phishing scams; others were submitted through PayPal’s e-check option using compromised checking account numbers. A few donations were for as little as $1, while other fake donations ranged as high as $2,800.

To the victims of the stolen PayPal accounts, it looks as if CastleCops is the one stealing their money, when in reality, it’s the attackers. Also, the fraudulent activity seeks to ruin their relationship with PayPal.

Via Security.NL nog de reactie van Gunter Ollmann, directeur Security Strategy bij IBM:

“Ik geloof dat het resultaat van deze acties is dat buitenstaanders CastleCops als belangrijk zien, en dat er meer werk verricht moet worden om het internet een veiligere plek te maken.” Ollmann sluit zelfs niet uit dat als de mensen wiens creditcard misbruikt is zien waar de website voor staat, ze juist besluiten om te doneren.

Arnoud

Nieuw op Jurofoon: Wat zijn je rechten als slachtoffer van phishing?

Geplaatst op in Security, nog geen reacties

Een nieuw artikel op de juridische helpdesk Jurofoon over de rechten van slachtoffers van phishing, een vorm van oplichting waarbij men probeert inloggegevens voor webwinkels of internetbanken los te krijgen. Meer over phishing in de special van Planet en ook nog praktische tips bij XS4All. Maar wat kun je doen als je toch slachtoffer bent geworden van zo’n truc, en geld kwijt bent geraakt?

Banken zijn niet gauw geneigd om de schade te vergoeden als de klant beweert dat zijn pinpas is kwijtgeraakt en criminelen vervolgens daarmee hebben kunnen pinnen. Uit het feit dat de crimineel de pinpas met bijbehorende pincode kon bemachtigen leidt de bank af dat de klant zelf onzorgvuldig is geweest. Met een verwijzing naar de algemene voorwaarden wijst de bank vervolgens aansprakelijkheid af.

Wat zijn je rechten als slachtoffer van phishing?

Arnoud