Vorige week meldde beveiligingsbedrijf Sophos dat bijna de helft van de Nederlandse bedrijven te maken had met phishing gedurende de afgelopen twee jaar. Vrijwel iedereen die een zakelijk e-mailaccount heeft zal niet zo verbaasd zijn door deze cijfers, als je in de geblokkeerde e-mails kijkt vliegen de waarschuwingen van 'incassobureaus' en meldingen over 'nieuwe bankpassen' je waarschijnlijk om de oren.
'Mens versus technologie' is verkeerd
Erger was dat volgens het bedrijf meer dan de helft van de werknemers de neiging heeft om te reageren op phishingmailtjes, op links te klikken of om ze door te sturen - en niet eens naar de IT-afdeling met de vraag: "Is dit wel in de haak?" Moeten werknemers hier beter op letten of moet IT de systemen beter beveiligen? We spraken onlangs op een congres in Rome met McAfee-CTO Steve Grobman en vroegen welke van de twee belangrijker was.
"Allebei", antwoordde hij. "Mensen bekijken dit nogal eens als 'technologieprobleem versus een personeelsprobleem', maar zo binair is het helemaal niet." Opvallend genoeg voor een softwarebedrijf benadrukt hij dat technologie alleen niet de oplossing is. "Daarbij zie je ook vaak dat het beleid er eentje van straf is. Als je werknemers vermaant vanwege 'domme fouten', zullen ze je ook niet helpen en bijvoorbeeld een waarschuwing sturen als ze iets verdachts tegenkomen." Hij adviseert dan ook om juist de hulp in te roepen van personeel en ze bewust te maken van risicovolle e-mails.
Want zelfs oplettende e-mailgebruikers zullen wel eens zo'n twijfelachtige mail in een achteloos moment openen - bijvoorbeeld op maandagochtend als je nog niet zo scherp bent en je een mailtje krijgt geforward van een collega (zuiver hypothetisch natuurlijk). Het is zaak om werknemers goed voor te lichten en af en toe te testen, maar ook om middelen op hun plek te hebben staan om risicovolle kliks die er toch doorheen glippen op te vangen, zo vertelt vrijwel iedere beveiligingsdeskundige die we spreken.
Van phishing naar spearphishing
Phishing wordt verleidelijker. Waar je vroeger een phishingmail direct opmerkte door het gebrekkige taalgebruik en de inhoudelijke vaagheden, gebruiken phishers nu logo's, gespoofte domeinen en een overtuigende boodschap om mensen te laten klikken. Nog een groter issue is spearphishing, oftewel gerichte phishingmailtjes om iemand van een specifieke organisatie ervan te overtuigen malware binnen te halen of ander risicovol gedrag te vertonen.
Barracuda Networks publiceerde deze week een rapport over de huidige trends in zulke gerichte phishingacties en schetst een plaatje van criminelen die er alles aan doen om een e-mail legitiem te laten lijken. Officiële domeinen worden gespooft, e-mails zijn opgesteld volgens de conventie die in de organisatie gebruikelijk is, ze maken misbruik van het feit dat e-mails op mobiele apparaten worden gelezen en gebruikers minder goed beseffen waar een link heen gaat en nemen accounts over van personen met lage rechten in een bedrijf, puur om op de grote vissen te jagen met een 'interne' e-mail.
Kleine spearphishing, groot plezier
De meeste aandacht gaat nu vaak uit naar afpersingsmails - je kent het wel "we hebben uw webcam geactiveerd en gezien dat u naar filmpje X keek" - maar dit gaat om een op de tien gerichte phishing-aanvallen. Dat staat nog los van alle phishing waarmee grof met hagel wordt geschoten, de bekende "bestel uw nieuwe bankpas" die direct opvalt omdat je bij een andere bank zit. Dit is dus relatief gezien een vrij klein probleem, maar het valt op vanwege de smeuïge aanpak.
Ook minder groot dan het soms lijkt, is de zogenoemde CEO-fraude, ook wel bekend onder de creatievere naam whaling. Een aanvaller doet zich daarbij bijvoorbeeld tegenover iemand die de zakelijke creditcard beheert overtuigend voor als de CFO die een dringende transactie vereist. De schade die een succesvolle spearphisher daarmee kan aanrichten is enorm, kijk maar naar het Pathé-incident, dat leidde tot een verlies van meer dan 19 miljoen euro.
Het Pathé-verhaal dient tegenwoordig als wereldwijd schoolvoorbeeld om te wijzen op de gevaren van zulke phishingaanvallen. Het percentage whaling-aanvallen is klein, maar je wilt als bedrijf niet de kranten halen als slachtoffer van zulke oplichters. Nota bene een techbedrijf als Ubiquiti Networks is hier een paar jaar geleden publiekelijk en gênant mee onderuit gegaan. Een phisher overtuigde iemand van de financiële afdeling van de noodzaak van transacties en het bedrijf verloor zo 40 miljoen euro.
Imiteren van merken
Veruit het grootste deel van de spearphishing die wordt uitgevoerd is wellicht de minst sappige: brand impersonation, oftewel het nadoen van een bestaande organisatie. Denk aan e-mails die afkomstig lijken van het Centraal Justititieel Incassobureau om iemand van financiën ervan te overtuigen dat een bedrijfsauto ergens door rood is gereden of een e-mail van een gecontracteerde bank die doorlinkt naar een malafide portal die de officiële inlogportal nabootst. Vooral portals en e-mails van bedrijven als Microsoft, Apple en DocuSign worden het meest geïmiteerd.
Dit soort imitaties doen denken aan ongerichte phishing, maar een spearphisher zoekt eerst informatie uit over het bedrijf dat wordt belaagd. Wat voor auto's heeft een organisatie op de parkeerplaats, is daar kentekeninformatie over beschikbaar, kunnen we meer gegevens vinden online - alles om de mail inhoudelijk realistisch te maken. Of een spearphisger zoekt uit wat voor transacties een financiële afdeling uitvoert en wat daar de normale procedure voor is: wie voert dit uit en wat is het taalgebruik van die persoon?
Om die reden zoeken aanvallers zoveel mogelijk gegevens over doelwitten bij elkaar. Via social media, via officiële correspondentiekanalen, zelfs door te bellen naar recepties en servicedesks. Kennis is macht en irrelevante data is er wat dat betreft bijna niet - iets om rekening mee te houden de volgende keer dat je iets leest over een hack waarbij gegevens worden gestolen waar bijvoorbeeld geen accountdata zijn betrokken. Ook die zijn waardevol.
Slimme tactieken
Criminelen maken verder misbruik van vermoeide werknemers die de laatste uren van een werkdag overladen worden met e-mails door specifiek op deze momenten spearphisngmailtjes te versturen. Ook mikken ze op drukke momenten, bijvoorbeeld in periodes dat belastingen worden ingediend of vlak voor de feestdagen met hetzelfde idee: een vermoeide werknemer is een gewillige prooi. Ook is de IT-afdeling vaak druk met andere dingen (het hoog houden van performance gedurende een periode van hogere netwerkbelasting, bijvoorbeeld) waardoor een waarschuwing van een werknemer aan een helpdesk sneller in een stapel tickets verdwijnt.
Andere veelgebruikte tactieken van 'brand impersonators' zijn het opzetten van een inlogportal die lijkt op bestaande portals en het spoofen van domeinen, bijvoorbeeld zoals vroeger veel werd gedaan met een onderkast L in een url vervangen werd door een hoofdletter i, of een hoofdletter O met een cijfer 0, zodat het domein op het oog legitiem lijkt. Een machine, lees een e-mailfilter of browser, merkt zulke IDN-nabootsingen (als het goed is) wel op, maar een mens kijkt hier snel overheen.
Reageer
Preview