Een recente publicatie heeft aangetoond dat er veel te doen is over 'phishing' op smartphones. Wat zouden we er aan kunnen doen, nu en in de toekomst?
De publicatie 'Phishing on Mobile Devices' van twee onderzoekers van de University of Berkeley heeft me aan het denken gezet. Inderdaad, 'phishing' – het vissen van gebruikersgegevens zonder toestemming van de gebruiker – is een groot probleem op het web. Regelmatig word ik uitgenodigd om bankgegevens in te vullen van rekeningen die ik niet eens aanhoud, en met mij zullen er velen zijn. Goed nieuws: recent onderzoek heeft aangetoond dat we hier alerter op worden. Maar hoe werkt dat precies met de smartphone? Ook ik ben inmiddels in het bezit van een iPhone 4. Het gemak waarmee ik apps download (kan ik de maker ervan, en de uitgever, verifiëren?) en gebruik doet eigenlijk afbreuk aan wat ik dagelijks propageer – let op, doe niet, kijk naar … Kortom, een dilemma. Zelfs ben ik bereid voor een gratis applicatie (free app) van de iTunes store mijn creditcardgegevens inclusief CVC-code aan te roepen, eigenlijk te gek voor woorden. In het document staan voorbeelden van een echte, en een valse Facebook-login. Niet van elkaar te onderscheiden. Dus hoe moet ik nu weten wat veilig is?
Het geheel roept om een soort indicatie die aangeeft wat het risico van de app is. Dit kan bijvoorbeeld door sleutels en certificaten te verstrekken, die worden gepresenteerd als een soort symbool, equivalent aan het 'slotje' in de standaard web browser. Dat zou mij al een goed gevoel geven en is ook de conclusie van het rapport. Uitgevers van apps zouden hieraan kunnen bijdragen. Begin maar eens met de loginschermen van Facebook en Twitter. Volgens de publicatie worden deze het meest aangeroepen, en dus het meest ‘gevist’.
Daarnaast zie ik ook dat er een soort toekomstbeeld gaat ontstaan waarbij de smartphone zelf een soort beveiligd mechanisme wordt voor identificatie, en dus ook het aanloggen aan verschillende diensten. Wachtend op de generieke uitrol van deze NFC-techniek is het nog even behelpen. In de UK wordt al gestudeerd op 'het paspoort op internet'. Is dit nog in de verre toekomst?
Rest nog de vraag wat men er nu aan kan doen. Eigenlijk vrij simpel: kijk eerst naar de reviews van de apps, voor ze te downloaden. Maak dan een afgewogen inschatting. Kijk voor je verbinding maakt met een URL eerst even naar de URL vanaf je webbrowser. En tenslotte: wees altijd voorzichtig met het afgeven van je gebruikersnaam en wachtwoord…
