Phishingmails zijn al jaren dé plaag van de IT-wereld, de Universiteit van Amsterdam kon daar deze week nog over meepraten. We kunnen sommige eenvoudig herkennen aan bepaalde tekenen dat er iets niet in de haak is en vaak genoeg kunnen gebruikers het gevaar van een phisihingmail met één druk op de Delete-knop wegnemen.
Dat geldt minder voor spearphishing: gerichte aanvallen die specifieke gebruikers overtuigen. Zelfs door schade en schande wijs geworden IT-professionals trappen hier nog wel eens in. Waarom? Omdat criminelen als professionals nadenken over hun aanpak en kennis verzamelen over je bedrijf, de projecten waar je aan werkt en je interessegebieden.
Ze proberen je niets te verkopen of geven gratis geld weg, want daar zou je direct wantrouwend van worden. Spearphishers hebben veel geniepigere doelen dan simpele financiële fraude. We kijken naar enkele van deze geavanceerde pogingen, destilleren 10 kenmerken en kijken aan de hand daarvan hoe je uit de klauwen van deze criminelen blijft.
1. De aanval is op maat gemaakt door professionals
Traditionele phishingmails worden gemaakt door oplichters die met hagel schieten: draai een slordige boodschap in elkaar en spam hem naar zoveel mogelijk mensen. Dan is de kans groot dat er ergens wel iemand is die erin trapt. Sterker nog, hoe dommer de phishingmail, hoe beter het is omdat je de naïefste gebruikers te pakken krijgt.
Maar dat is veranderd. Professionele bendes snappen dat je effectiever kunt graaien met betere spam. Securityjournalist Brian Krebs schreef het boek Spam Nation dat kijkt naar de opkomst van Russische bendes die jaarlijks tientallen miljoenen opstrijken en soms zelfs beursgenoteerde legitieme bedrijven ondersteunden met hun acties.
Na de criminelen brak de tijd aan dat overheden doorkregen dat slim ontworpen berichten in staat waren om de juiste personeelsleden te bereiken om zo de sterkste verdedigingslinies te passeren. De grote meerderheid van Advanced Persistent Threats (APT's) gebruiken vandaag de dag deze methode om een voet achter de deur te krijgen.
De internetcriminelen van vandaag de dag werken van negen tot vijf, betalen hun belastingen, zijn vrij in het weekend en krijgen vakantiedagen. De bedrijven waar ze voor werken hebben vaak tientallen tot honderden werknemers, kopen lokale autoriteiten en politici om, en zijn in hun regio vaak de meest gewilde werkgever. Het is voor mensen zelfs een hele eer om te mogen werken voor een organisatie die bij systemen in andere landen inbreekt.
Deze professionele hackbedrijven hebben afdelingen als een normaal bedrijf. Het marketingteam, vaak aangestuurd door professionele leidinggevenden, zoeken klanten die bereid zijn om te betalen om een specifiek bedrijf te hacken. Andersom worden ook bedrijven aangevallen zonder opdracht vooraf om vervolgens te kijken wat de gek ervoor geeft.
Het onderzoeksteam verzamelt informatie over het organogram, bedrijfspartners, servers die via het internet te bereiken zijn, softwareversies en lopende projecten. Ze zullen veel van deze informatie achterhalen door simpelweg de openbare bedrijfspagina te bezoeken en rond te zoeken op de servers van minder goed beveiligde partners.
Deze informatie wordt vervolgens doorgespeeld aan een team van aanvallers dat ervoor zorgt dat de organisatie haakjes uitzet in het bedrijf. Dit team is het belangrijkste en heeft diverse subgroepen die elk hun expertise hebben op een specifiek gebied, bijvoorbeeld het inbreken op servers, het uitvoeren van client-side-aanvallen, social engineering van slachtoffers of spearphishing. Dit laatste team werkt nauw samen met het onderzoeksteam om e-mailsjablonen te bewerken tot berichten die van toepassing zijn voor het specifieke bedrijf.
Dan is er nog een backdoor-team dat de aandacht erop richt om de toegang tot systemen te behouden via trojans, nieuwe gebruikersaccounts en het opslurpen van inloggegevens. Een nazorgteam zoekt naar belangrijke informatie, VIP's en kijkt dieper naar de bedrijfsstructuur. Zo achterhalen ze ook welke beveiligingsmiddelen worden gebruikt en hoe deze moeten worden omzeild. Als er een nieuw project online komt, zijn zij onmiddellijk op de hoogte. Eventuele relevante informatie wordt gekopieerd voor toekomstige verkoop.
Dat is dus heel andere koek dan een scriptkiddie die een spamactie in elkaar flanst. Dit verklaart waarom phishing zo effectief is geworden de afgelopen jaren. Het is gewoon een baan - eentje waarop je zelfs moet solliciteren - met salaris, secundaire arbeidsvoorwaarden en bonus. Je tekent zelfs een NDA, krijgt te maken met P&O en kantoorpolitiek. Vergis je niet: phishing is een business geworden.
2. De aanval wordt verstuurd door een bekende
De spearphishingmails komen vaak van iemand met wie je dagelijks e-mailt en niet de bekende Nigeriaans prins. Het lijkt vaak alsof ze van een baas, teamhoofd of ander autoriteitsfiguur afkomstig zijn, zodat de kans groter is dat een slachtoffer de e-mail leest en sneller geneigd is om te doen wat er wordt gevraagd.
De mail kan van buitenaf komen, lijkend op een adres van die autoriteitsfiguur. Sommige gebruikers letten niet op een ander account, omdat we nou eenmaal soms verschillende accounts gebruiken om e-mails te versturen en we dat zien als een gangbare vergissing. Zo stuurt een externe topman opeens iets via Gmail omdat hij niet bij zijn werkaccount kan. Wie heeft dat nou niet zelf meegemaakt?
Maar net zo vaak komt de mail van het échte werkadres, omdat de aanvallers het nepadres kunnen spoofen of daadwerkelijk is binnengedrongen op het systeem van een externe partij. Die laatste vorm is populair aan het worden, want wie zou er niet klikken op een belangrijke e-mail van de baas van een externe partij waar je vaak belangrijke correspondentie mee voert?
3. De aanval gaat over een project waar je aan werkt
Veelal trappen we in deze trucs omdat de aanvaller weet waar je aan werkt. Dat komt door de uitgebreide onderzoek, gecombineerd met het bezit van het account van een collega. De e-mail kan dan iets zijn met als onderwerp "Dat XYZ-rapport waar je al een tijdje op wacht" of "RE: [Verslag dat je gisteren stuurde]" met een bijlage met correctie van jouw oorspronkelijke bijlage, die dan nu natuurlijk een trojan bevat. Of het kan verwijzen naar je project en je tot actie zetten met een onderwerpregel als "Iemand is met ons idee aan de haal gegaan" of "Dit kan wel eens gevolgen hebben voor ons", met een link naar een malafide nieuwsartikel over het onderwerp waar je mee bezig bent.
Ik heb bijvoorbeeld e-mails gezien die zogenaamd van een in de arm genomen advocaat komen over de alimentatieregeling die een werknemer met een ex probeert te treffen. Ik heb mails gezien van bestuursleden die informatie hebben over een op handen zijnde rechtszaak met de vraag of ze de bijgevoegde PDF willen 'ontgrendelen'. Ik heb updates gezien voor IT-professionals die valse informatie bevatten over beveiligingsmaatregelen van een onlangs in gebruik genomen security-product. Niemand is veilig voor een vernuftige oplichtingstruc.
Het gaat dus niet om generieke e-mails met een oproepje "kijk hier eens naar". Nee, e-mails van spearphishers komen van iemand die je vertrouwt en gaan over iets waar je daadwerkelijk mee bezig bent. Na een paar van deze mails ga je terugverlangen naar de tijd dat we overspoeld werden met hoaxes over beroemdheden en de verkoop van erectiepillen.
4. De aanvaller monitort alle correspondentie
Vandaag de dag houden aanvallers tientallen accounts binnen je organisatie in de gaten. Zo komen ze de juiste context op het spoor om jou en je collega's te laten toehappen en achterhalen ze waar de belangrijkste informatie te vinden is. Als je ontdekt dat er phishing heeft plaatsgevonden, ga er dan vanuit dat het bestuursniveau gecompromitteerd is en dat dit al een tijdje zo is.
De aanvallers zijn zelfs op de hoogte van de eerste melding dat er iets niet klopt. Ze weten hierdoor wat jij weet. De enige echte oplossing is het volledig offline halen van het bedrijf en aan de slag te gaan met volledig nieuwe accounts en vernieuwde systemen. De rest is, als je te maken hebt met deze professionele aanvallers, waarschijnlijk enkel tijdverspilling.
5. Een aanvaller kan e-mails onderscheppen en wijzigen
De aanvallers van vandaag zijn geen passieve lezers. Ze onderscheppen berichten en maken onopvallende wijzigingen als het nodig is. Een projectbeslissing voor 'nee' kan opeens een groen licht worden en andersom. Ontvangers kunnen worden verwijderd van de e-maillijst of er kan iemand worden toegevoegd. Outlook-groepen kunnen worden aangepast. Encryptie kan worden uitgeschakeld.
In een notoir voorbeeld wist een bedrijf dat het ernstig onder vuur lag van een echte APT. In een poging om het netwerk weer in handen te krijgen, stuurde de helpdesk een e-mail waarin werd gevraagd dat ontvangers hun wachtwoord wijzigden. Dat zou het aanvallers lastig maken, ware het niet dat de aanvallers de controle hadden over het e-mailaccount van de helpdesk.
Net voordat de e-mail werd verstuurd, pasten de aanvallers de link in het bericht aan, zodat ontvangers naar een legitiem ogende kopie van de wijzigingsportal van het bedrijf werden gestuurd. Gebruikers volgden netjes de instructies van de helpdesk op, maar juist door dat te doen kregen de aanvallers de accounts van iedereen die dat deed in handen.
6. Aanvallers gebruiken jouw tools tegen je
Decennialang gebruikten phishers malware als bijlage bij de e-mails en de kans is dan groot dat het ergens door beveiligingssoftware wordt opgepikt. Tegenwoordig gebruiken ze de tools in het systeem dat jij gebruikt. Beveiligingsproducten merken een malafide bestand of opdracht niet op, omdat het lijkt op een legitieme opdracht. Als de aanvallers eenmaal binnen zijn, gebruiken ze bijvoorbeeld alleen opdrachten die jij ook zou gebruiken.
Malafide scripts die zijn geschreven in de ingebouwde talen die jouw organisatie hanteert (PowerShell, PHP en wat dies meer zij) worden de tool bij uitstek voor aanvallers. Sterker nog, PowerShell duikt zelfs op in malware-toolkits die enkel PowerShell-malware creeëren, zoals je hier, hier en hier ziet.
Dit is mede zo'n populaire methode, omdat het veel moeilijker is voor beveiligingsproducten en zelfs forensische analyse om te zien of een legitieme tool wordt gebruikt voor malafide toepassingen. Neem bijvoorbeeld RDP-verbindingen. Bijna elke admin gebruikt deze. Als de slechterik dat ook doet, is het lastig om te zien welke RDP-sessie malafide is. Bovendien kan het lastig zijn om de legitieme tool te verwijderen als je die ook zelf nodig hebt om het systeem op te schonen.
7. Versleuteling wordt gebruikt om data te exfiltreren
De tijd dat aanvallers willekeurige poorten kozen om data van je netwerk te plukken liggen ver achter ons. Dat geldt ook voor de dagen dat ze populaire gereserveerde poorten gebruikten (zoals TCP/6667 voor IRC) om malafide software op afstand aan te sturen.
Nu gebruiken alle malwareprogramma's SSL/TLS, poort 443, en gebruiken ze gestandaardiseerde sterk beveiligde AES-encryptie. Veel bedrijven kunnen poort 443 niet monitoren en de meeste proberen het niet eens. Ze gebruiken firewalls en ander netwerkbeveiligingsproducten om het digitale certificaat te vervangen voor een eigen, zodat ze versleutelde communicatie kunnen inspecteren.
Maar als die datastroom verder is versleuteld met AES-encryptie, hebben onderzoekers daar weinig aan. De datastroom is dan een onbegrijpelijke reeks tekens. Als je malware ontdekt die poort 443 gebruikt en geen AES-encryptie toepast, heb je waarschijnlijk te maken met een ongerichte aanval van een scriptkiddie. Of het zit al héél lang in je netwerk en je hebt het nu pas opgemerkt.
8. Aanvallers wissen hun sporen
De meeste bedrijven logden tot een paar jaar terug niet eens en als ze dat wel deden, werd er vaak niet naar de bestanden gekeken of werden er geen meldingen gezet op verdachte events. Maar dat is inmiddels anders en IT-beveiligers zouden hun taken verwaarlozen als logfiles niet werden verzameld en er regelmatig naar werd gekeken.
De slechteriken reageren daarop met eigen technieken, zoals met behulp van command-line-opdrachten en scripts die minder snel worden opgepikt door loggingtools. Of ze verwijderen zelfs de logbestanden als ze klaar zijn. Enkele geavanceerde aanvallers gebruiken rootkits waarmee het besturingssysteem zodanig wordt aangepast dat loggingtools events die te maken hebben met de aanval niet opslaan.
9. Ze zitten jarenlang in je netwerk
De gemiddelde tijd die een aanvaller doorbrengt in het netwerk van een bedrijf voordat hij of zij wordt opgemerkt is doorgaans uit te drukken in maanden tot jaren. Ik kom regelmatig bij bedrijven waar meerdere bendes actief zijn in het systeem en in sommige gevallen blijken ze al acht jaar aanwezig te zijn in het netwerk.
Het alom gerespecteerde Data Breach Investigations Report van Verizon merkt op dat de meeste inbraken worden gedetecteerd door externe partijen. In de meeste gevallen komt dat doordat die partij jarenlang werd aangevallen en tijdens het eigen forensische onderzoek naar het incident zien ze dat de oorspronkelijk begon bij dat andere bedrijf.
Ik heb zelfs eens meegemaakt dat de aanvaller al zo lang actief was dat zijn malware was opgenomen in het basisimage, het image waar alle computers van worden voorzien. Ik heb meegemaakt dat malware op die manier jarenlang werd verspreid door IT'ers omdat ze dachten dat het een noodzakelijk component was dat een ander had toegevoegd aan het image. Malafide hackers zijn dol op zulke aannames.
10. De aanvaller is niet bang gepakt te worden
Vroeger wilde een phisher binnendringen, geld of informatie stelen en dan zo vlug mogelijk weer weg zijn. Door zo snel mogelijk te bewegen, liep je de minste kans om geïdentificeerd, gepakt en vervolgd te worden. Maar aanvallers zitten meestal in veilige buitenlanden waar dwangbevelen niet werken en de autoriteiten geen jurisdictie hebben. Je kunt zelfs de aanvallers tot in detail identificeren en hun fysieke adressen bemachtigen om door te spelen naar de plaatselijke politie en dan gebeurt er nog niks.
In de meeste aanvallen die ik de afgelopen jaren heb aangepakt en afgeweerd, slaan de hackers niet op de vlucht als ze worden ontdekt. Ze doen er natuurlijk wel alles aan om niet opgemerkt te worden, maar als dat eenmaal gebeurt zijn ze harder en grover, alsof ze nu écht hun kans kunnen grijpen.
Het oplossen van een aanval wordt vervolgens een kat-en-muis-spel waarbij de aanvallers een voorsprong hebben. In het begin weet je niet waar ze zijn binnengekomen en heb je geen zicht op de toegangsmogelijkheden die ze hebben veroverd. En het is allemaal begonnen met die ene spearphishingmail...
Wat te doen?
Het begint met het uitleggen van de nieuwe realiteit van phishing. Iedereen moet weten dat ouderwetse e-mails vol met beloftes van geld en spelfouten niet langer je hoofdzorg zijn. Leg uit hoe spearphishing in zijn werk gaat en dat ze met de hand op maat worden gemaakt zodat ze op een legitieme e-mail lijken die van een betrouwbare collega afkomstig lijkt te zijn.
Werknemers moeten voor dat ze acties uitvoeren als het invoeren van gegevens of klikken op uitvoerbare bestanden onafhankelijk van de e-mail een bevestiging vragen (bijvoorbeeld via de telefoon of een berichtje). Zo'n vlugge check is vandaag de dag simpelweg nodig. Vertel werknemers dat ze alle verdachte e-mails melden, zelfs als ze naderhand pas argwaan krijgen.
Je moet ook het stigma proberen weg te nemen dat je dom moet zijn om voor de gek gehouden te worden. Laat werknemers weten dat iedereen, zelfs beveiligingsexperts, dankzij de zorg en aandacht die aan de aanval is besteed in zo'n phishingmail kunnen trappen.
Veel bedrijven testen werknemers met nep-phishingmails. Deze moeten het voorbeeld van spearphishers volgen en lijken op de aanvallen waar we vandaag de dag mee te maken krijgen en niet de phishingmails van vroeger. Blijf de test herhalen totdat je een laag percentage hebt van werknemers die er nog intrappen. Als je het goed aanpakt, worden werknemers van nature achterdochtig als ze inloggegevens moeten invoeren of een programma moeten starten. Het is een goed teken als werknemers beginnen te twijfelen aan daadwerkelijk legitieme e-mails.
En als het voorkomt dat een spearphishing-aanval succes heeft, gebruik dan de daadwerkelijke e-mail en het verhaal van het slachtoffer (als deze geliefd is of vertrouwd wordt binnen de organisatie) om anderen iets te leren over zulke geavanceerde phishing. Alles wat een nieuwe les leert is welkom. De sleutel tot preventie is dat gebruikers het nieuwe phishen leren herkennen.
Lees verder over wat je als IT'er moet doen om het netwerk te beschermen, mochten gebruikers in phishing zijn getrapt in 10 tips om een phishing-aanval te pareren.
dpclk.com MALWARE pas op bij installeren van Google Chrome setup.exe. Bestrijden met PANDA software
Reageer
Preview