Scholieren en studenten in Nederland houden zich actief bezig met phishingaanvallen en malware, aldus Roel Schouwenberg, senior virus-analist van het Russische Kaspersy Lab. Met name bankaanvallen blijken erg populair. Het gehobby met malware zou vooral worden veroorzaakt door de instroom van Oost-Europeanen. "Verschillende bedrijven zeggen dat ze veel activiteit vanuit Roemenië zien," zegt Schouwenberg. Hij is het daar niet helemaal mee eens. "Roemenië is wel een van de landen waar cybercrime duidelijker aanwezig lijkt te zijn dan in bijvoorbeeld Polen." Door het openstellen van de grenzen verwacht hij dat we met meer Trojaanse paarden en phishingaanvallen te maken krijgen. "Open grenzen bieden ook voor hen nieuwe mogelijkheden."

De malware van Nederlandse makelij die de virusanalist krijgt te verwerken is niet van een hoogstaand niveau. Met name MSN is een geliefd platform voor de Nederlandse virusschrijver. Zo zag hij laatst nog een backdoor die zich via Microsoft's chatprogramma verspreidde en door een Nederlander of Belg gemaakt was. "De penetratiegraad van MSN is gewoon gigantisch hier. ICQ is niet meer bestaand in Nederland."

Het gebruik van Instant Messaging kent de nodige voordelen ten opzichte van e-mail. Zo is e-mail door iedereen te monitoren, terwijl je bij IM meteen vastzit aan de endpoint scanner. Schouwenberg ziet daarnaast een ander voordeel en dat is dat gebruikers niet security bewust zijn. "Het lijkt erop dat de gebruiker voor elk platform moet leren om er veilig mee om te gaan."

Sociale malware

Een platform waar dat zeker voor geldt zijn sociale netwerken. De analist denkt dat dit het volgende grote doelwit van cybercriminelen zal worden. Sites zoals Facebook en Linkedin bevatten zakelijke informatie die zeer interessant voor phishers is. "De hoeveelheid informatie op Facebook is de droom van een aanvaller en de nachtmerrie van een Security officer". Doordat al die informatie via dit soort netwerken te vinden is, zijn gerichte aanvallen veel eenvoudiger uit te voeren. Veel malware op Hyves heeft Schouwenberg nog niet gezien. "Het is te hopen dat Hyves geen iframes toelaat." In het geval van MySpace pasten criminelen uiteindelijk genoeg obfuscatie toe om het verbod op iframes toch te omzeilen.

Een ander probleem op dit soort websites waar het voornamelijk om input en content van de gebruiker draait, is cross-site scripting. "XSS is een ondergeschoven kindje en veel populairder dan men denkt."

Het aanvallen van sociale netwerksites zou vooral vanwege datamining interessant zijn. Schouwenberg bekijkt vooral de dreiging vanuit het oogpunt van gerichte aanvallen. "Op het moment hebben ze voldoende infecties via andere kanalen, dus zijn sociale netwerken nog geen ideaal doelwit." Voor phishingaanvallen is dat een ander verhaal. Zo werden vorig jaar meer dan 1800 topmanagers het slachtoffer van een gerichte aanval. Volgens de virusbestrijder zou het best kunnen dat de aanvallers als voorbereiding informatie van sociale netwerksites hebben gehaald.

Het afslaan van dit soort aanvallen vereist de nodige inspanningen. Ze hebben namelijk onderwerpen en bijlagen die de doelgroep aanspreekt. "Dit soort berichten verwachten mensen in die groep. Je zag het ook met een rapport over China." Met name kwaadaardige PDF documenten zijn populair om de nietsvermoedende manager te infecteren. Microsoft beschikt over een goede update structuur in tegenstelling tot een Adobe Acrobat, waar mensen vaak handmatig moeten updaten. "Dat maakt het een interessante aanvalsvector voor de bad guys."

Educatie

Niet alleen het waarschuwen van managers blijkt in de praktijk lastig, ook de eindgebruikers. Volgens sommigen een gebed zonder einde. Toch wil Schouwenberg niet zeggen dat 20 jaar "user education" gefaald heeft. Als er genoeg mensen op britney.exe zouden klikken, zou dat betekenen dat de aanvallen niet complexer hoeven te worden, maar dat is niet het geval. Aanvallen worden wel complexer en dat maakt het onderwijzen van gebruikers weer stuk moeilijker, waarschuwt de analist.

Met name bij het updaten van software valt nog veel winst te behalen. "Het zegt mensen gewoon niets, ze zullen op z'n hoogst met Windows Update bekend zijn." De fabrikanten spelen daarbij ook een rol en moeten het updaten eenvoudiger maken. Kaspersky heeft bijvoorbeeld de vulnerability scanner van Secunia aan haar eigen software toegevoegd.

Die scant echter niet op ActiveX controls, die toch al een probleem op menig Windows systeem vormen. "Neem bijvoorbeeld ActiveX controls. Veel scanners controleren niet of die controls lek zijn en ook al doen ze dat wel, hoe ga je ze updaten?" Wat betreft het nut van virusscanners ziet Schouwenberg die nog steeds als broodnodig, zeker bij een gebrek aan bewustzijn. "Mensen die nog steeds op britney.exe klikken zijn voor hun bescherming nog altijd afhankelijk van een virusscanner."