Mail van eBay is niet van eBay

Herbert Blankesteijn

Vergeleken met 'phishers' zijn spammers bijzonder beschaafd. Ze sproeien hun mail in het rond en bezorgen daarmee veel overlast, maar of je op hun commerciële aanbiedingen ingaat, moet je zelf weten.

'Phishing' is pure flessetrekkerij. Phishers vissen naar creditcardnummers en dergelijke. Ze sturen massamail die afkomstig lijkt van eBay, PayPal of een andere bedrijf waar veel consumenten financiële betrekkingen mee hebben. In dat mailtje wordt melding gemaakt van een technisch probleem waardoor men uw gegevens kwijt is. Of u even uw gebruikersnaam, wachtwoord, en als u toch bezig bent uw creditcardnummer en pincode wilt doorgeven.

Deze mailtjes zijn soms amateuristisch, soms erg knap gemaakt. Beet kreeg er niet lang geleden eentje waar het logo van eBay instond, en een link waarop je moest klikken om je gegevens in te leveren. Als je dat deed, kreeg je een webpagina met een redelijk vertrouwenwekkend adres (iets als: www.ebaylogin.com). Het was een invulformulier van de bekende soort, ook weer met het logo van eBay, en ergens in de hoek kon je klikken op 'Help.' Deed je dat, dan kreeg je de echte eBay helpfile! Niet dat je daar wat aan had, maar goedgelovige mensen gaan dan al snel denken dat het wel in orde zal zijn. Tik je je wachtwoord en je creditcardnummer in, dan kan de oplichter je identiteit aannemen en op jouw kosten online winkelen.

Een bedrijf genaamd PassMark Security heeft een manier bedacht om deze truc te bemoeilijken. Het komt erop neer dat niet alleen de gebruiker zich identificeert bij het bedrijf, maar ook andersom. Dat gaat met een 'passmark' en een 'passphrase', die de gebruiker kiest en die het bedrijf bij elk contact moet reproduceren. Het passmark is een afbeelding die de klant mag uitzoeken uit een aantal voorbeelden, maar die de klant ook zelf mag uploaden. De passphrase is een bijbehorend woord of zinnetje.

Een demonstratie staat op www.largebank.com. Als Beet daar inlogt ziet het er zo uit:

Phishing2.jpg

En deze fictieve bank stuurt mailtjes met de volgende opmaak:

Phishing3.jpg

Om dit te imiteren zou een bedrieger precies moeten weten welke passmark en passphrase horen bij welke gebruiker, of liever bij welk mailadres. Daarvoor zou hij de complete klantgegevens van deze persoon moeten hebben. Maar als hij die heeft, hoeft hij de klant al niet meer te benaderen (beter van niet zelfs) om hem te kunnen plukken. Met PassMark weet de consument zeker dat het bedrijf is wat het zegt te zijn, en dat hij daar bekend is. Het is geen extra belasting van het geheugen van de thuiscomputeraar, want hij hoeft het passmark en de passphrase niet zelf te reproduceren; hij hoeft ze alleen maar te herkennen.

Niets is waterdicht; je kunt je voorstellen dat de eerste registratie of een latere inlogprocedure wordt 'afgeluisterd,' maar het is waarschijnlijker dat online zwendelaars een nieuwe, makkelijke manier zullen verzinnen om goedgelovige mensen te tillen. Dat is minder moeite dan het inzetten van geavanceerde technieken om een beveiliging als deze te kraken.

'PassMark'is door PassMark Security geregistreerd als merk en is beschermd door een octrooi. Het bedrijf heeft nog niets bekend gemaakt over afnemers die de techniek gaan toepassen.