Phishing treft steeds vaker webwinkels

Een golf van phishing-aanvallen tijdens de feestdagen vorig jaar maakte van ecommerce de tweede meest aangevallen branche in de tweede helft van 2011. Het moest alleen nog de financiële diensten voor zich dulden, die sector kreeg de meeste aanvallen te verduren.

Per email naar creditcard-gegevens vissen
De phishing-aanvallen worden bijvoorbeeld gedaan via e-mailcampagnes waarbij consumenten een mailtje krijgen met als vervalste afzender een (fictief) bedrijf dat de lezer wil verleiden tot het doorklikken naar een frauduleuze website waar dan vertrouwelijke informatie als creditcard-nummers of een wachtwoord moet worden ingetypt.

“Zoals verwacht namen het aantal phishing-aanvallen alleen maar toe naarmate we in de tweede helft van 2011 de vakantieperiode en de daarbij behorende feestdagen naderen”, aldus Ihah Shrain, analist bij Anti-Phising Working Group. In de tweede helft van vorig jaar waren er 144,144 phishing-aanvallen, een stijging van 1,9% ten opzichte van diezelfde periode in 2010. Maar in het laatste kwartaal van 2011 was er een veel grotere stijging ten opzichte van diezelfde periode in 2010 waarneembaar, want in een jaar tijd is het aanval phishing-aanvallen in het laatste kwartaal met 15,7% gestegen. En als we december 2010 vergelijken met december 2010 dan was er zelfs een stijging van 56,9 procent waarneembaar!

Financiële diensten op één
En mede door die grote stijging in het laatste kwartaal is de ecommerce-branche nu dus de tweede meest aangevallen industrie in de tweede helft van 2011. Deze branche werd in 20,5% van alle aanvallen die periode het slachtoffer. De betalingsdienstenbranche werd in 17,8% van het totaal aangevallen. Op nummer één staan de financiële diensten, met 42,4%.

Wat kan de webwinkel eraan doen?
De phising-emailtjes zijn niet door de webwinkels zelf verstuurd, en hebben meestal ook niet tot doel om de gegevens van die websites buit te maken. Meestal gaat het simpelweg om het verzamelen van data. Creditcard-gegevens uiteraard maar bijvoorbeeld ook wachtwoord- en emailcombinaties waarbij de hackers vervolgens hopen dat deze gegevens identiek worden gebruikt op websites als PayPal. 

Dat wil je dus voorkomen maar data beschermen dat niet van jou afkomstig is, is lastig! Kwaadwillenden weten steeds beter websites na te maken en als we kijken naar websites van bijv. ING of ABN Amro, die dagelijks met dit soort praktijken te maken hebben, zien we dat deze eigenlijk geen serieus weerwoord (kunnen) bieden tegen dit soort aanvallen.

Toch wat doen? Maak in ieder geval je bezoekers duidelijk dat je werkt met een SSL-certificaat en dat ze kunnen letten op de groene kleur, het slotje in de adresbalk en het beginnen met https:// in de adresregel zelf. En last but not least, vraag nooit meer data dan je zelf nodig hebt en sla alleen data op dat werkelijk noodzakelijk is.