Het huidige wettelijke kader in België maakt het niet mogelijk een doeltreffende beschermingsmaatregel tegen smishing (phishing via sms) toe te passen, namelijk het proactief filteren van berichten door telefoonoperatoren. Dit zal binnenkort mogelijk zijn, belooft Petra De Sutter (Groen), de minister van Overheidsbedrijven.
“Het grootste obstakel in de strijd tegen gerichte smishing is vandaag het feit dat het wettelijk nog niet mogelijk is om berichten te filteren”, gaf De Sutter woensdag toe in de Commissie Consumentenbescherming.
Het probleem heeft de gedaante van een technologische plaag aangenomen. De financiële schade loopt in de gekende gevallen op tot tientallen miljoenen euro’s, maar de effectieve negatieve impact is nog veel erger. Het treft bedrijven waarvan de reputatie wordt geschaad. Het vormt een bedreiging voor burgers die bij sommige oplichtingspraktijken in het bezit kunnen komen van namaakproducten, zoals geneesmiddelen.
Fraudeurs sturen sms/mms-berichten die afkomstig lijken te zijn van een betrouwbare ontvanger, zoals een bank, bpost en andere overheidsbedrijven. Het doel is natuurlijk om op een oneerlijke manier informatie te verkrijgen, of zelfs om de slachtoffers te beroven.
Een sms-versie van een spamfilter
Deze tekstberichten blijven voor de ontvangers moeilijk te verifiëren. Het is echter bekend dat dit soort fraude voor een groot deel kan worden voorkomen door gerichte automatische filtering van zowel inkomende als uitgaande berichten.
Dit betekent dat de inhoud en de metagegevens van berichten kunnen worden geanalyseerd met behulp van algoritmen om te zoeken naar verdachte patronen. Inhoud zou kunnen worden onderzocht op basis van een lijst van verdachte woorden en URL’s, vergelijkbaar met spamfilters in e-mailboxen. Terwijl de metadata zouden kunnen worden gecontroleerd op basis van het aantal berichten, de afzender, enz.
Deze automatische filtering zou frauduleuze berichten detecteren en deze blokkeren of de URL vervangen door een waarschuwing.
Stop Phishing
In het kader van het herstelplan wil minister De Sutter de telecomoperatoren financieel steunen om te investeren in fraudebestrijdingssystemen via het project Stop Phishing. Het doel van dit project is om phishing- en fraudepogingen via telecomnetwerken op te sporen en te blokkeren door beschermingsplatformen te implementeren bij Belgische operatoren, in samenwerking met het Centrum voor Cybersecurity België (CCB) en de Belgische telecomregulator (BIPT).
Het is de bedoeling ultramoderne platforms met maximale automatisering te implementeren, overeenkomstig de aanbevelingen van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) en de internationale federatie van mobiele exploitanten en fabrikanten (GSMA).
Er is echter een vacature bij het CCB, dat op zoek is naar een projectleider. “De aanwerving valt onder de verantwoordelijkheid van de CCB, die mij meedeelde dat het momenteel niet gemakkelijk is om een geschikte kandidaat voor het zeer specifieke profiel te vinden wegens de schaarste op de arbeidsmarkt, maar dat de zoektocht wordt voortgezet”, aldus de minister.
Het project Stop Phishing zal daarom naar verwachting niet voor het eind van het jaar van start gaan. Niet te vergeten dat alle scenario’s nog moeten worden onderzocht, met inbegrip van het uitschrijven van een aanbesteding. En het huidige rechtskader staat nog steeds geen systematische filtering van sms-berichten toe.
De wet is streng..
Daarom moest een juridisch initiatief worden genomen. De minister is zich daar terdege van bewust, aangezien zij woensdagochtend bij de commissie een wetsvoorstel heeft ingediend tot omzetting van de Europese code voor elektronische communicatie en tot wijziging van diverse bepalingen inzake elektronische communicatie.
Onder de maatregelen is er een specifieke maatregel die de exploitanten in staat stelt alle sms-berichten proactief te filteren op mogelijke fraude.
Wat de telecombedrijven betreft: zij zullen deze filtering moeten uitvoeren in overeenstemming met de Algemene verordening gegevensbescherming (GDPR), d.w.z. onder meer nagaan of de maatregel doeltreffend en evenredig is. Bovendien zullen de exploitanten transparant moeten zijn over eventuele fouten die zij hebben gemaakt.
(bzg)
