LOKO Online Security

Phishing, weer helemaal terug – Frank Diepmaat

Door 30 juli 2019 augustus 27th, 2019 Geen reacties

Wat is phishing?

Het woord phishing komt van het Engelse ‘fishing’, er wordt letterlijk gevist naar gegevens. Vaak gaat het om inloggegevens van mailaccounts en bankportalen, maar ook omgevingen als Microsoft Office365 zijn erg gewild. Bij phishing is het de aanvaller er om te doen uw inloggegevens te verkrijgen en deze te misbruiken. Maar ook andere doeleinden zijn bekend, zoals iemand op een link laten klikken welke vervolgens malicieuze software installeert.

Waarom gebeurt dit nu zoveel?

De afgelopen jaren hebben wij veel dreigingen voorbij zien komen, deze waren vooral gericht op techniek. Denk hierbij aan de crypto-locker malware die uw bestanden versleuteld en losgeld eist, de keyloggers van een aantal jaar terug welke al uw toetsaanslagen vastleggen. Of de meer recente crypto-miners en exploits voor allerlei, op het internet aangesloten, apparatuur. Wat al deze dreigingen echter gemeen hebben, is hun sterke afhankelijkheid van techniek. Vooral techniek welke uit te buiten is, waar kwetsbaarheden in zitten of welke gewoonweg niet beveiligd is. Gebruik maken van deze methoden vereist van criminelen echter wel een bepaald competentieniveau. Niet iedereen kan programmeren of complexe hacking-tools gebruiken. Dit is precies waar phishing van pas komt.

In principe kan iedereen die een e-mail kan versturen een phishing campagne opzetten, zonder echt technische kennis te hebben. Het grote voordeel van een geslaagde phishing actie is directe toegang tot de gegevens waar je bij wil. Geen eindeloos wachten op het kraken van een wachtwoord, geen uren programmeren. Gewoon een e-mail van z1ggo.nl i.p.v. ziggo.nl met een betaallink erin. Verstuur de mail vijfhonderdmaal, er hoeven er maar tien te betalen en je hebt zo tussen de 600-700 euro binnen. Nou is dat een snel voorbeeld, de werkelijke cijfers liggen veel hoger. Zo heb ik zelf onlangs nog een casus gehad waarbij een klant bijna 60.000 euro verloren was. Aan die hele actie gingen niet meer dan zes e-mails vooraf, waarna wij samen met het fraudeteam van een grote bank de actie hebben kunnen stoppen. Gemiddeld worden de kosten voor een phishing aanval op een groot bedrijf tot 10.000 medewerkers geschat op $3,7 miljoen per jaar. De gemiddelde medewerker is ruim 4 uur per jaar bezig met het lezen van phishing mails. De potentieel hoge winsten, het gemak van het opzetten en vooral de slagingskans maken phishing tot één van de meest prominente dreigingen voor 2019.

Maar… Waarom filteren jullie dan niet gewoon hierop?

Om dit beter te begrijpen zal ik kort uitleggen wat de drie meest gebruikte technieken zijn om phishing en ongewenste mail in het algemeen tegen te gaan. Overigens heeft de volgorde geen betekenis.

  1. Zwarte lijsten. Er bestaan zogenaamde ‘blacklists’ op internet. Autoriteiten houden bij welke domeinen wel en niet te vertrouwen zijn. Wanneer er vanuit een domein spam- of phishing mails worden verstuurd komt dit uiteindelijk altijd op de blacklist.
  2. De inhoud. Bepaalde inhoud en combinaties worden door een spamfilter als een score bij elkaar opgeteld. Komt die score hoog genoeg uit dan wordt het bericht aangemerkt als spam. Zo zal een bericht met meerdere malen de woorden ‘viagra’ en ‘discount’ niet snel meer door een spamfilter komen.
  3. Afzenderverificatie. Door het gebruik van SPF records, DKIM en andere technieken kan worden vastgesteld of de verzender ook echt de verzender is.

Het probleem met al deze technieken is dat deze enkel effectief te gebruiken zijn wanneer iemand duidelijk iets verkeerds van plan is. De meeste phishing campagnes tegenwoordig maken gebruik van volledig legitieme handelingen. Die vaak ook nog eens in de verwachting van het slachtoffer liggen. Zo wordt er steeds vaker een volledige website gemaakt, inclusief een certificaat om hem te versleutelen. Vervolgens worden ook grote dienstverleners als Microsoft en Google gebruikt om phishing te verzenden. Dit maakt het extra lastig hierop te filteren. Het wordt al helemaal een opgave dit te detecteren wanneer de mails bijvoorbeeld van een geïnfecteerde printer/scanner uit het eigen netwerk komen. Onlangs ben ik zelf nog een actie tegengekomen waarbij er zelfs complete namaakbedrijven met meerdere vestigingen opgetuigd zijn. Inclusief websites, geverifieerde locaties in Google en duizenden namaak recensies om echt te lijken.

Wat kan er tegen phishing gedaan worden?

Allereerst training en bewustwording. De meeste beveiligingsproducten en omgevingen zijn zo ingericht dat het automatisch uitvoeren van een bestand niet zomaar kan. Ook worden de meeste IT-omgevingen zo ver beperkt dat de gemiddelde medewerker zelf niets kan installeren. De aanvaller zal in bijna alle gevallen een ander mens moeten overtuigen een handeling uit te voeren. Iets aan te klikken, te downloaden, installeren, inloggen, etc. Om dit alles iets minder zweverig te maken zal ik wat duidelijke handvaten geven om phishing mails te onderkennen.

  1. Verwacht ik deze e-mail?
    Een hele eenvoudige check om na te gaan of de mail echt is. Wanneer er een mail met een bijlage binnenkomt van de scanner op de gang, maar ik niks gescand heb, is dat opmerkelijk. Een factuur van KPN zou ik ook opmerkelijk vinden, ik krijg altijd een aankondiging van afschrijving en geen factuur per mail namelijk.
  2. Klopt de afzender?
    Veel phishing is afkomstig van domeinen die erg lijken op hetgeen zij imiteren. Zo kan het domein w3hkamp.nl al snel aangezien worden voor het echte wehkamp.nl.
  3. Wat zit er achter de links?
    Ga even met de muis op een link “staan” en kijk waar deze naartoe verwijst. Een veelgebruikte techniek is een link met een ander adres dan waar je op denkt te klikken. Probeer het maar eens bij dit voorbeeld: google.nl
  4. Wat wordt er gevraagd?
    Is hetgeen wat gevraagd wordt erg redelijk en gebruikelijk? De overheid geeft dit bijvoorbeeld goed aan door nooit per mail of telefonisch om gegevens te vragen. Je moet altijd zelf inloggen bij mijn.verzineendienst.nl om jouw gegevens in te zien. Iemand die vraagt of je iets in Word toe wil staan om een afbeelding te openen, is erg ongebruikelijk.
  5. Bij twijfel? Bellen!
    Deze is vooral belangrijk bij spearfishing. Dit is een vorm van phishing welke gericht is op één persoon, afdeling of een bepaalde organisatie. Vaak zijn dit e-mails waarbij van tevoren veel informatie over het doelwit verzameld is om de kans dat deze klikt/download/inlogt vele malen groter te maken. Ook valt dit samen met CEO-fraude, waarbij zogenaamd de CEO of directeur vraagt geld over te maken. Wanneer je een e-mail krijgt van de CEO om 12.000 euro over te maken, is het raadzaam even te bellen. Je kan misschien niet lezen dat het Rajesh uit Calcutta India is, maar wanneer je belt hoor je heel gauw dat die man geen Henk heet.

Dit zijn een aantal handvatten om geen verkeerde e-mails te openen of uit te voeren wat daarin gevraagd wordt. Er zijn nog heel veel meer manieren om vast te stellen of een mail echt is, deze zijn over het algemeen technisch en vereisen echt affiniteit met IT. En zelfs dan, in de waan van de dag, is een linkje zo aangeklikt. Wat ik als laatste punt nog mee wil geven is dat iedereen wel eens op een foute link klinkt, of iets download wat niet in orde is. Word hier, zeker als werkgever niet boos over, maar probeer er met de juiste tools achter te komen waarom er geklikt is en zorg voor training en bewustwording. Doelgerichte training op dreigingen die relevant zijn voor uw sector met performance gerichte beloning werkt erg effectief. Phishing training met bijvoorbeeld een intern scorebord voor de beste “niet klikkers” is een erg effectieve en prettige methode…

Wil je weten of jouw organisatie digitaal gevaar loopt?

Krijg zonder zorgen grip op jouw beveiligingsrisico
dankzij LOKO Online Security

Bekijk oplossing

Laat een reactie achter