- Door
- Jeroen Mulder
- geplaatst op
- 13 november 2014 11:40 uur
Botnets and DDoS de grootste dreiging op het internet? Welnee. Google publiceerde eind vorige week een onderzoek waaruit een schokkende dreiging met kop en schouders boven alles uitsteekt: phishing. Hackers blijken hiermee uitermate effectief in het achterhalen van accounts en daarmee flink schade kunnen aanrichten. Bottomline: dan kun je als provider alles uit de kast halen, als jouw klant niet voorzichtig is met accountinformatie – dan is alle moeite soms echt vergeefs.
Eerlijk is eerlijk: dergelijke onderzoeken rieken al snel naar het schoonpoetsen van de eigen straat. In de afgelopen maanden doken er immers regelmatig verhalen op van clouddiensten die niet voldoende deden om data van klanten afdoende te beschermen. Het bekendste verhaal: de weinig verhullende privékiekjes van beroemdheden die uit Apple’s iCloud werden gehaald. De beveiliging van iCloud zou onvoldoende zijn. Apple zelf beweerde dat er niets mis was en dat het probleem eerder gerelateerd was aan onvoorzichtigheid met accountinformatie. Ook Google krijgt regelmatig te maken met dit soort claims en dus onderzocht het bedrijf maar eens hoe gegevens nu eigenlijk op straat terechtkomen.
Het antwoord is onthutsend. Ondanks alle publieke campagnes blijkt dat liefst 45 procent van de hacks – op Google-data – komt omdat gebruikers toch hun gegevens vrijgeven via phishingsites of door te reageren op phishing-mails. Veruit de meeste pogingen worden ondernomen vanuit China, Ivoorkust, Maleisië, Zuid-Afrika en Nigeria. Dat laatste land begint echt een serieuze reputatie op te bouwen als het gaat om dubieuze praktijken op het internet: vanuit dit land worden nep-websites die lijken op sites van grote corporates en nationale bedrijven aan de lopende band opgezet. Vooral instellingen in de financiële sector en gezondheidszorg zijn het doelwit.
Maar het werkt en sterker nog: het is vreselijk effectief. Volgens het onderzoek van Google is het ontstellend gemakkelijk om iemands account te achterhalen. De kans dat je met één account (username en wachtwoord) diverse clouddiensten kunt ontsluiten is bovendien groot. Daar gaat geen firewall of IPS iets aan veranderen. Vraag is nu in hoeverre het de verantwoordelijkheid van de provider is om gebruikers hierin op te voeden. Daarin doet Google geen uitspraken, wel over de wenselijkheid van two-factor-authenticatie. Een hacker besteedt niet veel tijd per account: als hij niet vrijwel direct succes heeft, gaat hij verder met een volgende. Two-factor authenticatie is niet waterdicht, maar vertraagt het proces in elk geval voldoende – in de meeste gevallen.
Maar natuurlijk blijft accountinformatie vooral een verantwoordelijkheid van de gebruiker zelf.