Mailgebruikers moeten de komende maanden extra alert zijn op mogelijke nepmails van bedrijven op wiens mailinglijst ze staan. De oorzaak is de diefstal van mailadressen en namen bij het het Amerikaanse e-mail-marketingbedrijf Epsilon. Dat zeggen verschillende beveiligingsexperts.
Marketingleverancier Epsilon is ook actief in Europa, maar er zijn nog geen namen van Europese bedrijven opgedoken op een lijst van getroffen bedrijfsklanten.
Epsilon maakte op 30 maart 2011 bekend dat een deel van hun mailsysteem 'was blootgesteld aan ongeautoriseerde toegang', waarbij mailadressen en klantennamen waren gestolen. Op 4 april voegde de De Amerikaanse e-mail-marketingleverancier daaraan toe dat 'de getroffen klanten slechts 2 procent uitmaken van het totale klantenbestand', en behoren tot de groep klanten die maildiensten van het bedrijf afnemen. Epsilon biedt ook andere marketingdiensten, zoals advisering en analysetechnologie.
Ondanks deze geruststellende woorden waarschuwt een keur aan beveiligingsexperts inmiddels voor de gevolgen van de inbraak. Hoewel het bedrijf de namen van de getroffen bedrijfsklanten niet bekend heeft gemaakt, raken deze toch bekend omdat deze bedrijven waarschuwingsmails aan hun klanten beginnen te sturen. Tot de slachtoffers behoren onder meer een aantal grote Amerikaanse banken, Disney en hotelketens zoals Marriott en het Ritz Carlton.
Phishing is niet grootste gevaar
'Je kunt voor een bedrag onder de tien dollar één miljoen mailadressen kopen, maar dan heb je wel ongeverifieerde adressen', zegt beveiligingsexpert Rik Ferguson van Trend Micro. 'De bij Epsilon gestolen mailadressen zijn echter geverifieerd. Bovendien zijn ze afkomstig van klanten die hebben aangegeven graag mail te ontvangen van de betreffende leveranciers.'
Kwaadwillenden die de gestolen data in handen krijgen, kunnen daardoor zeer gerichte oplichtingsmails componeren. Wanneer dezelfde klant in meerdere bedrijfsdatabases voorkomt, neemt dat risico alleen maar toe. Ferguson: 'Social engineering aanvallen kunnen op die manier veel betrouwbaarder overkomen.'
'Maar het gaat niet alleen om phishing', zegt Ferguson. 'De meeste computersgebruikers zijn zich wel bewust van het gevaar daarvan. Maar wat nog te weinig mensen weten, is dat het klikken op een link in een phishing-mail ook al gevaarlijk kan zijn. Er zijn nog altijd computergebruikers die uit nieuwsgierigheid op een link uit een mail klikken. Ze weten niet dat dat voldoende is om malware te installeren.'
De beveiligingsexpert laat op zijn laptop zien hoe zo'n aanval in zijn werk gaat. Er opent een webpagina waarover een blanco pagina wordt geprojecteerd. Daarachter worden, buiten het zicht van de computergebruiker, een aantal controles verricht naar de software die op de computer is geïnstalleerd. Op basis van die informatie wordt een met malware besmet bestand geselecteerd en gestart, opnieuw buiten het zicht van slachtoffer. Dit bestand installeert een trojan.
Gebruik wegwerpadressen
De les die mailgebruikers uit de Epsilon-hack kunnen halen is volgens Ferguson hoe belangrijk het is om 'wegwerpmailadressen' te gebruiken wanneer ze zich aanmelden voor mailinglijsten. Verschillende mailleveranciers zoals Gmail en Yahoo bieden deze mogelijkheid.
Data-eigenaren zouden van de hack volgens Ferguson moeten leren 'om persoonlijke gegevens van mensen te versleutelen': 'Wanneer gegevens versleuteld zijn en vervolgens gestolen worden, beschouwt de Amerikaanse wet zo'n incident niet eens als een inbraak en hoeft het bedrijf het incident niet openbaar te maken.'
Nederland kent nog geen wetgeving die bedrijven verplicht om datalekken te melden. Digitale burgerrechtenbeweging Bits of Freedom ijvert daar wel voor.
Epsilon
Het Amerikaanse bedrijf Epsilon (niet te verwarren met de Nederlandse computerleverancier Epsilon) is naar eigen zeggen 'de grootste e-mail-marketingleverancier ter wereld'. Het bedrijf heeft wereldwijd 2500 klanten in Noord-Amerika, Europa, Afrika en Azië en verzendt meer dan 40 miljard mails per jaar. Die mails gaan naar mensen die aan bedrijven toestemming hebben gegeven om hun te mailen met interessante aanbiedingen. Het bedrijf heeft nog niet geantwoord op de vraag welke klanten het in Nederland heeft en of deze getroffen zijn door de diefstal.
