Hebben Phishers meer palen in het water?

Gaan phishing-aanvallen omhoog of omlaag? Het antwoord hangt af van wie je het vraagt.

Ongetwijfeld is phishing nog steeds een groot probleem op internet, maar regelmatige statistische rapporten van verschillende leveranciers laten een gemengd beeld achter. Leveranciers hebben de neiging om gegevens op verschillende manieren en uit verschillende bronnen te verzamelen en het is moeilijk om twee rapporten te vinden die een echte één-op-één vergelijking mogelijk maken.

MarkMonitor, een bedrijf in San Francisco dat misbruik van domeinnamen opspoort, vrijgegeven een rapport van maandag dat het aantal phishing-aanvallen een recordniveau heeft bereikt in de periode van april tot en met juni.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

MarkMonitor's bevindingen komen kort na twee andere grote beveiligingsbedrijven, IBM en Symantec, concludeerden dat phishing afnam.

Dus welk bedrijf heeft gelijk? Het hangt echt af van wat er wordt gemeten.

MarkMonitor telde meer dan 150.000 phishing-aanvallen in het tweede kwartaal van 2009, waarbij een aanval werd gedefinieerd als een unieke URL (uniform resource locator) die als host fungeert voor een phishing-site. In een phishing-poging creëert een cybercrimineel een website die er legitiem uitziet en die mensen voor de gek houdt om hun gevoelige persoonlijke of financiële gegevens bekend te maken.

MarkMonitor komt te weten over mogelijke phishing-sites van bedrijven zoals Yahoo en AOL, die verdachte ogende URL's doorsturen die verschijnt in e-mail, zei Charlie Abrahams, vice-president van MarkMonitor voor Europa, het Midden-Oosten en Afrika.

Het bedrijf controleert vervolgens die URL's handmatig om er zeker van te zijn dat ze inderdaad phishing-sites zijn en onderneemt namens hun klanten stappen om die sites worden gesloten, hetzij door contact op te nemen met registrars van domeinnamen of de ISP's die ze hosten.

IBM kwam echter onlangs tot een andere conclusie in haar X-Force trendrapport voor midden jaren 2009, uitgebracht in augustus. Het bedrijf keek naar phishing-e-mail als een percentage spam, een veel andere maatstaf dan MarkMonitor. Phishingsites worden meestal gepromoot via spam. vond dat phishing-e-mails in de eerste helft van 2009 slechts 0,1 procent spam waren, een daling ten opzichte van 0,5 procent in 2008. Het bedrijf kwam tot de conclusie dat phishing daalt.

"De afname in phishing en stijgingen op andere gebieden (zoals bank-Trojaanse paarden) duiden erop dat aanvallers mogelijk hun bronnen naar andere methoden verplaatsen om de winst te behalen die phishing ooit heeft behaald," volgens het rapport van IBM.

Een rapport van Symantec die in augustus van dit jaar een maand besloeg, concludeerde dat phishing-aanvallen de afgelopen maand met 45 procent zijn gedaald, hoewel uit het rapport niet duidelijk is hoe dat cijfer is berekend. In een andere statistiek merkte Symantec op dat het 4 procent minder phishing-URL's zag in vergelijking met juli. MarkMonitor's Abrahams zei dat zijn bedrijf het aantal unieke URL's telt. Dat heeft het potentieel om het aantal van wat MarkMonitor classificeert als aanvallen drastisch te verhogen. Criminelen gebruiken bijvoorbeeld vaak maar één hostnaam voor een site, maar de site wordt feitelijk op verschillende servers op verschillende locaties gehost en schakelt na een korte tijd van server, een methode die we fastflux noemen.

Dus één slecht web site kan op honderden plaatsen worden gehost, elk geteld als een aanval.

"Er zijn veel verschillende metingen voor phishing," zei Abrahams. "We denken dat het aantal sites belangrijker is dan het aantal e-mails."

De Anti-Phishing Working Group (APWG), die bestaat uit privébedrijven en andere groepen, houdt unieke e-mailcampagnes bij. Als de onderwerpregel in honderden e-mails hetzelfde is, wordt dit geteld als één campagne. Wat phishingsites betreft, telt APWG de unieke basis-URL van een bepaalde site.

In zijn rapport voor de laatste zes maanden van 2008 zei APWG dat het aantal e-mailcampagnes in oktober piekte op 34,758. Die gegevens zijn samengesteld op basis van door consumenten ingediende rapporten. Maar het cijfer viel tot 23.187 in december.

Unieke phishingsites namen toe van juli tot oktober 2008 en bereikten een high van 27.739. Maar dat was nog steeds minder dan februari 2008 of de enorme piek in april 2007 van 55.643, volgens APWG.