Is het einde van phishing in zicht?

Op een Amerikaanse conferentie werd onlangs beweerd dat phishing binnen een jaar verleden tijd is. Een populaire Chief Information Security Officer vertelde dat hij samen met een groot beveiligingsbedrijf aan een nieuwe technologie werkt die phishing e-mails voor eens en voor altijd buiten de deur houdt.

Het publiek in de zaal vond het fantastisch. Ik moest grinniken. Twintig jaar geleden zei mijn collega Roger Grimes iets soortgelijks. Hij kwam erop terug. Phishing lijkt vrij makkelijk op te lossen, maar twee decennia later zijn we er nog steeds mee bezig – en is het probleem nog nooit zo groot geweest. Meer dan 50 procent van alle verstuurde e-mails is spam en phishing e-mails. Wat we ook doen, dat cijfer blijft nagenoeg stabiel.

Toch zijn er in de afgelopen jaren een aantal technologieën gepresenteerd als heilige graal. Ik vertel je waarom die voorlopig nog niet in staat zijn om phishing uit te bannen:

Anti-Phishing Software

Adverteren dat anti-phishing software alle phishing e-mails tegenhoudt is net zo misleidend als adverteren dat een antivirusscanner honderd procent van alle malware buiten de deur houdt. Toch zien we dat soort advertenties al zeker tien jaar voorbijkomen. De beste producten kunnen 90 tot 99 procent van de phishing e-mails afweren. Dat is heel goed, maar het is geen 100 procent. De gemiddelde eindgebruiker krijgt iedere week vier phishing e-mails binnen die de beveiliging hebben weten te omzeilen.

Hoogstandjes als Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIF) en Domain-based Message Authentication, Reporting and Conformance (DMARC) zouden allemaal een eind maken aan phishing. Dat deden ze niet. Ze kunnen geen phishing e-mails tegenhouden van betrouwbare afzenders waar mensen regelmatig contact mee hebben. Ze werken ook niet tegen vormen van phishing en social engineering die niet per e-mail binnenkomen, zoals phishing via de telefoon of sociale media.

Biometrie

Biometrische toegangsmethoden (bijvoorbeeld via vingerafdrukken of irisscans) zijn niet perfect. Ze zijn zelfs makkelijker te hacken dan MFA-oplossingen. Data kan worden gestolen, vingerafdrukken worden vervolgens nagemaakt, waardoor een biometrisch toegangssysteem nooit kan weten of jij echt jij bent. Ik denk persoonlijk dat biometrische toegangsmethoden op zichzelf misschien wel slechter zijn dan een systeem met gebruikersnamen en wachtwoorden. Een combinatie is denkbaar, maar dat is niet wat ons op lange termijn vooruit gaat helpen.

Multi-Factor Authenticatie

Veel mensen denken dat multi-factor authenticatie (MFA), zoals tokens en smartcards, phishing definitief kan verslaan. Niemand gaat proberen te phishen als mensen geen gebruikersnaam en wachtwoord hebben, toch?

Zo eenvoudig is het helaas niet. Phishing gaat niet alleen over het stelen van inloggegevens. Het gaat net zo goed om mensen overtuigen: ze iets laten doen dat hackers informatie of geld oplevert. Denk aan het overmaken van een bedrag naar een vals rekeningnummer of het installeren van op afstand bestuurbare software. Bovendien, en dit is misschien wel relevanter, kan MFA niet voorkomen dat hackers de inloggegevens van mensen stelen of overnemen. Collega Roger Grimes (daar is hij weer) geeft regelmatig keynotes over de manieren waarop MFA te hacken is. Samenvattend kan iedere MFA-oplossing gemiddeld op drie tot vijf verschillende manieren gehackt worden. MFA maakt hacken wat ingewikkelder, maar zeker niet onmogelijk.

Kunstmatige intelligentie

Kunstmatige intelligentie (AI) wordt algemeen beschouwd als de weg naar sterke authenticatie en het minimaliseren van phishing. Ik zie dat ook zo. Het probleem is dat we nog zo ver verwijderd zijn van de kwaliteit die AI moet hebben om phishing significant te verminderen. Niemand weet hoe lang het nog duurt voordat deze technologie daartoe in staat is – vijf jaar, tien jaar, twintig jaar?

Dat komt omdat veel huidige AI geen echte AI is. Het zijn producten die werken met als-dan scenario’s. Echte AI is een intelligente motor die normaal gedrag lange tijd bestudeert en vervolgens zelfstandig in staat is om de correcte beslissing te nemen als hij geconfronteerd wordt met nieuwe feiten. Als-dan systemen zijn niet zo goed met nieuwe feiten. AI is er juist voor ontworpen, maar we zijn er nog niet. Als het gaat om de doorontwikkeling van AI op een schaal van 1 tot 10, durf ik niet te zeggen dat we verder zijn dan 2. Wat ik wel durf te zeggen is dat een beveiligingssysteem dat claimt puur en alleen met AI te werken een hoop vals-positieve en vals-negatieve uitkomsten heeft. Het mag dan kunstmatig zijn, echt intelligent is het niet.

Profeten

Ik wil hier niet beweren dat er niets te doen is aan phishing en social engineering. We kunnen dit sterk reduceren, maar zijn daar voorlopig nog niet toe in staat. Waarschijnlijk hebben we een combinatie van technologieën nodig die pas over pakweg tien jaar samenkomen.

Tot die tijd moeten we accepteren dat phishing en social engineering aan de orde van de dag zijn. Goede beveiliging en frequente security awarenesstraining zijn essentieel om organisaties te beschermen. Wees sceptisch over profeten die dingen beloven die al vaak beloofd zijn, maar nooit werkelijkheid werden. We komen er echt wel, maar zeker niet volgend jaar.