De meeste systemen werken het best als ze eenvoudig zijn, eerder dan ingewikkeld. Dat geldt voor beleggen. Voor vermageren. En absoluut ook voor online oplichting.
Het acroniem KISS – Keep It Simple and Stupid – dateert al minstens uit de jaren dertig van de vorige eeuw. Dat we het nog altijd kennen, betekent dat het een succesformule is, en dat hebben phishers heel goed begrepen. Een nieuw bewijs voor de eenvoud én de kracht van phishing werd de afgelopen week geleverd bij onze zuiderburen, waar 1 op 2 Fransen het slachtoffer werd van een cyberaanval, die mogelijk werd gemaakt door één enkele gephiste mailaccount. U leest het goed: één persoon die argeloos op een phishinglink in een mail klikte, veroorzaakte ongewild dit lek.
Een systeem is immers maar zo veilig als haar zwakste schakel. De coronacrisis bewees het als nooit tevoren; één besmette persoon kon een heel verzorgingstehuis in gevaar brengen. Bij virtuele dreigingen is dat niet anders. Een bedrijf mag nog gigantische sommen investeren in de beveiliging van haar systemen, het is genoeg dat één medewerker een phishingmail niet herkent, om het schip te laten zinken.
Hoewel eenvoud dus overduidelijk werkt, zijn mensen veel vaker op zoek naar nieuwigheden. Minder eten en meer bewegen voelt nu eenmaal een beetje saai voor wie kilo’s wil verliezen, dus als er iemand met een nieuw vermageringsplan een boek uitbrengt, belandt dat meteen in de top tien van Standaarduitgeverij.
Afgelopen dinsdag was Safer Internet Day. De dag voordien was ik te gast in het provinciehuis van Leuven, waar een opleiding plaatsvond voor enkele nieuwe politiezones die zich wilden aansluiten bij het Cyber Preventie Adviseurs initiatief van het BIN kenniscentrum. Dit nobele initiatief van Benno Gekiere bestaat nu al twee jaar en boekt gestaag vooruitgang. Intussen heb ik al verschillende trainingssessies op mijn palmares, die allemaal gericht zijn op het voorkomen van cyberfraude. Steevast hebben we het op zo’n infoavond ook over de klassiekers zoals whatsappfraude, helpdeskfraude en alle vormen van “-ishing” zoals daar zijn phishing, smishing, vishing en quishing.
Na de training van maandag merkte een deelnemer op dat de basis behoorlijk veel aandacht krijgt en er dus (te?) veel tijd gaat naar de manieren waarop je een phishingmail kan herkennen. ‘Maar wat bijvoorbeeld met crypto, waarover we meer en meer dossiers krijgen?’ was de reactie. Valse aanbiedingen om mensen te laten investeren in cryptomunten verschillen nauwelijks van valse aanbiedingen van airfryers, Nespressotoestellen of bioscooptickets die u hebt gewonnen. Het principe is steeds hetzelfde: een oplichter vist naar uw vertrouwen en uw geld, en baant zich zo een weg naar uw bankrekening, uw privacy en eventueel de systemen van het bedrijf waar u werkt. Welke wortel of zalm er als lokaas aan die vislijn hangt, is eerder een detail. Alle reden dus om je niet zozeer in wortelteelt of zalmsoorten te verdiepen wanneer je je online gedrag veilig wil stellen, maar om nog beter te worden in het herkennen van die vermaledijde phishingmails. Want reken maar dat ze steeds moeilijker te identificeren zijn.
Dankzij AI, ChatGPT, en gelekte databestanden van steeds meer bedrijven, gaat de kwaliteit van die mails er immers met rasse schreden op vooruit. Een fluitje van een cent wordt het op die manier om een mail te ontdoen van zijn typische taalfouten, en de inhoud af te stemmen op jouw persoonlijke profiel, en op de actualiteit. Dus ook op de zogezegd unieke investeringsopportuniteiten die een specifiek cryptoplatform te bieden heeft, in een tijd waarin de klassieke, saaie banken aan vertrouwen hebben verloren. In een mum van tijd overtollige kilo’s verliezen door één enkele hippe voedingstip, is even populair als onrealistisch. Omdat dingen die werken, nu eenmaal veel vaker door eenvoud, saaiheid en doorzettingsvermogen worden gekenmerkt. Vermageren is in dat opzicht niet anders dan beleggen. Of je online veiligheid garanderen. Deep fake en AI mogen dan wel hip en nieuw klinken, ze ontslaan ons geenszins van het belang van het herkennen van die aloude phishingmail.
Wie dus gelooft dat phishingmails alleen maar voorlopers waren van hippere, innovatievere vormen van fraude, heeft het mis. De collega’s van SafeOnWeb kregen vorig jaar 10 miljoen mails doorgestuurd. Goed voor bijna 30.000 mails per dag. Terwijl de meeste mensen dan nog niet eens de reflex hebben om hun phishingmails door te sturen naar verdacht@safeonweb.be. De kwantiteit van phishingmails zal blijven toenemen. Daarbovenop zullen de kwaliteit en de overtuigingskracht van de mails alleen maar verbeteren. Omdat de ‘beste’ mails dus beslist nog moeten komen, kan je maar beter de tijd nemen om ze te leren herkennen.
