Er wordt de laatste tijd een significante toename geregistreerd in het aantal Phishingaanvallen, maar wat zijn dat nu precies? In dit artikel besteden we aandacht aan de diverse technieken en geven we voorbeelden om niet aan de "haak geslagen te worden".
Phishing populair
Phishing-aanvallen zijn een van de meest voorkomende aanvallen die door cybercriminelen worden uitgevoerd om toegang te krijgen tot je persoonlijke informatie of gevoelige gegevens. Dit kunnen bankgegevens, wachtwoorden of persoonlijke gegevens zijn. Deze worden je meestal op een listige manier ontfutseld, omdat de hackers zich op overtuigende wijze weten voort te doen als een vertrouwd persoon of organisatie. Ze misleiden je dus zodat je op 'vrijwillige basis' vanuit de onwetendheid je gegevens deelt.
Wat is nu eigenlijk het doel van phishing-aanvallen?
Phishingaanvallen zijn kwaadaardig van aard, met de bedoeling slachtoffers te verleiden tot het verstrekken van persoonlijke gegevens zonder enige argwaan. Vaak worden de verkregen gevoelige gegevens gebruikt om het uiteindelijke doel van de hacker te bereiken: financieel gewin. Er zijn uiteraard diverse doelen zoals ontwrichting, uitschakeling, spionage of prestige, maar financieel is in de hoeveelheid wel het meest voorkomende doel. Er zijn echter verschillende tactieken die kunnen worden toegepast om dit doel te bereiken.
Hoe vaak komen dit soort phishing-aanvallen nu echt voor?
In het tweede kwartaal van 2020 werden er bijna 150.000 unieke phishing-websites gedetecteerd. In dezelfde periode werden er ook meer dan 125.000 unieke phishing-e-mails gerapporteerd. Dit betekent dat minimaal 5% van het totaal aantal nieuw geregistreerde domeinen is gebruikt voor phishing. Houd er wel rekening mee dat deze cijfers alleen betrekking hebben op "gedetecteerde" Phishingaanvallen. In werkelijkheid zouden de cijfers veel groter kunnen zijn.
De anatomie van een phishing-aanval
Hoewel phishing-aanvallen aanvankelijk kunnen verschillen van tactiek, volgt hun algemene anatomie eenzelfde soort patroon, zoals ik hieronder heb beschreven:
1. Het aangekochte domein
Hoewel dit niet nodig is bij Phishingaanvallen, kan een “look-a-like-domein” worden gekocht om gebruikers voor de gek te houden zodat ze de afzender nog meer vertrouwen. Bijna 70% van de domeinen die bij Phishingaanvallen worden gebruikt, is afkomstig van verouderde generieke Top Level Domains (TLD's) zoals .com.
2. De vervalste afzender
“E-mail spoofing” houdt in dat er een e-mailbericht wordt gemaakt met een vervalst adres. Met toegang tot een zogeheten SMTP-server of via verschillende online tools, kan het veld "mail van" worden vervangen door elk willekeurig e-mailadres. Hoewel dit de veelal de SPF-, DKIM- of DMARC-controles niet doorstaat, kan een ongetrainde of onwetende e-mailgebruiker zomaar het slachtoffer worden van een dergelijke phishing poging. Om te controleren of de afzender bijvoorbeeld legitiem is in Gmail, kunnen gebruikers klikken op de optie "origineel weergeven" in het e-mailbericht en de kopteksten controleren. Controleer of het verzendadres SPF, DKIM en DMARC heeft doorgegeven.
3. Look-a-like webpagina
Naarmate het dreigingslandschap evolueert, is de noodzaak dat cybercriminelen technisch onderlegd zijn steeds minder relevant. Er zijn zogeheten “Phishing-kits” online beschikbaar en worden verkocht op via diverse kanalen. Voorheen weren deze aangeboden op het “Darkweb” maar vandaag de dag zijn ze ook op diverse legitieme marktplaatsen te koop. Het biedt hackers (in spé) een kant-en-klare phishing-campagne. Deze Phishing-kits klonen bestaande en legitieme zakelijke websites, voegen daar schadelijke software aan toe en worden zo al verpakt voor de verkoop.
De formulieren op de gekloonde website bewaren doorgaans inloggegevens of gevoelige gegevens die kunnen worden misbruikt. Tegenwoordig heeft bijna 80% van de phishing-websites SSL-codering ingeschakeld, wat een gevoel van veiligheid bij slachtoffers creëert. Als je de ‘https’ en het kleine slotje naast de URL ziet, lijkt de website veilig.
Echter, meer dan 90% van deze certificaten is een gevalideerd domein, en is dus de zwakste methode voor een certificaat validatie. Er hoeft nu alleen een e-mail naar een opgegeven contactpersoon te worden gestuurd; dat contact is de phisher!
4. Bericht aan doelwit (s) met oproep tot actie
Een bericht kan worden verzonden via e-mail, sms of tegenwoordig de meer voorkomende en veelgebruikte instant messaging-platforms zoals Whatsapp. Slachtoffers denken dat het bericht afkomstig is van een bekende afzender. Voorbeelden van afzenders kunnen de CEO van je bedrijf of je bank zijn, maar ook dat van een goede vriend of familielid. In het bericht wekt de phisher een gevoel van urgentie waardoor je als slachtoffer uiteindelijk op een link klikt die je naar een nep webpagina (Look-a-like webpagina) leidt of om je vraagt om een bestand te downloaden.
Voorbeelden van phishing
Hoewel phishing een veelgebruikte tactiek is, zijn er verschillende methoden van phishing. Elke methode bevat doorgaans dezelfde componenten, maar heeft vaak verschillende doelen.
Spoofed Emails
Doordat mensen vaak uren per dag aan e-mails spenderen, is het gemakkelijk om per ongeluk op een e-mail te klikken die is ontvangen van een vervalst e-mailadres. Hoewel deze slachtoffers vaak naar een webpagina worden geleid, vragen velen om een verificatie via geld in de vorm van een overboeking of acceptatie van bijvoorbeeld cadeaubonnen.
Spear Phishing
Spear-phishing richt zich op een specifieke persoon of onderneming in plaats van op een generieke groep. Phishers doen vaak aan onderzoek naar een persoon of onderneming om de aanval nog effectiever te maken. Het is niet verwonderlijk want er zijn gigantisch veel persoonlijke of herleidbare gegevens te vinden op het internet en de sociale mediaplatforms zoals LinkedIn of Facebook.
De Phishers kunnen je netwerk, contactgegevens en ervaring inzien n daarop anticiperen om een zeer persoonlijk phishingbericht op te stellen. Een valse of gecompromitteerde e-mail kan bijvoorbeeld worden gebruikt in een zogeheten Business Email Compromise (BEC) -aanval op te zetten en daarbij financieel werknemers te misleiden om inloggegevens te lekken of geld over te boeken.
Clone Phishing
Clone phishing is een phishing-aanval die gebruikmaakt van de bekendheid van een gebruiker met de afzender. Een eerder verzonden e-mail met een link of bijlage wordt onderschept en gekloond. De originele link of bijlage is echter vervangen door een schadelijke link of bijlage. Het kan vanaf een vervalst e-mailadres worden verzonden om er dan uit te zien alsof deze afkomstig is van de oorspronkelijke afzender. Door te verwijzen naar het eerdere bericht, kan de phisher vertrouwen opbouwen bij jouw als de ontvanger.
Whaling
Whaling heeft dezelfde kenmerken als een typische phishing aanval, alleen is de “VIS”veel groter. Bij deze aanval richten cybercriminelen zich op sleutelfiguren of hooggeplaatste personen bij een organisatie, zoals een CEO, of Financieel directeur. Als een belangrijk lid van de financiële afdeling een vervalst bericht ontvangt dat naar zijn mening afkomstig is van de CEO die om een overboeking vraagt, hoeft hij niet lang na te denken. Net als bij spearphishing zijn deze aanvallen zeer gericht.
Hoe je phishing kunt voorkomen
De reden dat phishing een veelvoorkomende aanvalsvector is voor cybercriminelen, is omdat het werkt en het relatief weinig moeite kost. Er zijn verschillende stappen die individuen en organisaties kunnen nemen om te voorkomen dat ze het slachtoffer worden van phishing-pogingen.
Controleer de e-maillinks
Mensen moeten altijd iets meer alert zijn als het, het bekijken van e-mails met bijlagen betreft. Door over een bijlage te bewegen, toont uw browser de daadwerkelijke bestemming van de link. Als het er niet uitziet als een website die u kent of herkent, klik er dan niet op.
Controleer e-mailafzenders
Als de e-mail afkomstig lijkt te zijn van iemand die u kent, maar onverwacht is of informatie bevat die te mooi is om waar te zijn, is de kans groot dat het een phish is. Door de kopteksten van het e-mailbericht te bekijken en te controleren of de DKIM, SPF en DMARC zijn geslaagd, kunt u verifiëren of dat het een legitieme afzender is. Als het bericht nog steeds verdacht lijkt, neem dan rechtstreeks contact op met de afzender via de telefoon of chat bericht om te verifiëren dat deze het bericht daadwerkelijk heeft verzonden.
Vertrouw het SSL-hangslot niet
Als de site geen “HTTPS” is met een SSL-certificaat, worden uw gegevens in platte tekst naar de hostingserver verzonden. Voer daarom geen gevoelige gegevens in. Het hebben van een SSL-certificaat alleen is echter niet voldoende om de veiligheid te verifiëren. Controleer of de site is gecertificeerd door een certificeringsinstantie en niet enkel door het domein is geverifieerd. Onthoud dat ongeveer 80% van de domeinen domein-geverifieerde SSL-certificaten heeft en veilig lijkt te zijn. Om de uitgever van het certificaat te verifiëren: klik op het SSL-hangslot, klik vervolgens op certificaat en bekijk de details.
Wees alert op nieuw geregistreerde domeinen
Bedrijven en organisaties zouden anti-phishing-software moeten gebruiken om nieuw geregistreerde domeinen te controleren om zo te zien of ze hun merk of handelsmerk ergens vermeldt wordt en mogelijk misbruikt. Als dat het geval is en het domein niet tot de organisatie behoort, is dat een rode vlag. Het is voor bedrijven en organisaties absoluut noodzakelijk om dit soort domeinen continu te volgen terwijl ze zich ontwikkelen, want als ze vandaag geen bedreiging vormen, kan morgen anders zijn. Je kan als organisatie op anticiperen door je personeel, relaties, partners te informeren om alert te zijn op de betreffende domeinen of verzoeken die afwijken van normaal.
Monitor inkomend e-mailverkeer
Business Email Compromise (BEC) is een uitgelezen kans voor cybercriminelen om slachtoffers te misleiden om geld over te maken of naar een kwaadaardig domein te navigeren om daar inloggegevens in te voeren. Door anti-phishing-tools te gebruiken die o.a. inkomende e-mails controleren en authenticeren, kunnen medewerkers in de organisatie preventief worden gewaarschuwd voor malafide berichten die vanaf de vervalste e-mailadressen worden verzonden.
Wat te doen als je een Phishing aanval vermoedt
Het opstellen van een algemeen proces hiervoor is aan te raden. Maak het integraal onderdeel van het aanname-en afvloei- beleid van je organisatie door HR erbij te betrekken. Zij staan immers aan het begin van een nieuwe carrière maar zijn ook belast met de correcte afwikkeling als er een vertrek van een medewerker aanstaande is. Bewust en onbewust kleven hier risico’s aan voor een organisatie. Zo kan een welkomst mail van je nieuwe CEO na een bekendmaking van je nieuwe start op LinkedIn, er zo maar eens één worden met grote gevolgen.
Als je een Phishing aanval vermoedt, meld dit dan aan de verantwoordelijke voor beveiliging binnen je organisatie. Deze zal de “phish-poging” dan melden bij de betrokken domein verstrekker, e-mail en/ of webhosting providers.
Zorg dat je intern hiervoor een standard proces hebt ingeregeld dat bekend is bij alle medewerkers en voorziet in punten zoals;
- Uniforme informatieverstrekking en protocol,
- Algemeen meldpunt: hoe te rapporteren aan wie en hoe
- Acties; (do’s and don’t),
- Periodieke awareness trainingen, die een reel beeld geven en je bewust maken van actuele dreigingen, maar ook nieuwe medewerkers op korte termijn meeneemt
Als deze zaken in orde zijn kan je als organisatie ook gaan kijken naar de juiste mail beveiligingsoplossing. Een die je daadwerkelijk ondersteund in hetgeen je bedrijf nodig heeft.
Het optimaliseren van de productiviteit van je medewerkers is natuurlijk fijn. Dit door vooraf een grote hoeveelheid aan SPAM, ransomware en phishing af te vangen. Maar ook zaken om inkomende en uitgaande mail communicatie te beveiligen spelen een toenemende rol. Het scannen van domeinen en certificaten alsmede de inhoud op diverse vlakken is een functionaliteit die je gezien de huidige finesse van aanvallen graag meeneemt in je functionaliteit. Dit soort functionaliteiten zorgt er dus voor dat de handmatige verificatie acties worden teruggebracht naar een minimaal volume. Ook moet het beschikken om de geavanceerde aanvallen te detecteren en te mitigeren, zoals een man-In -the-middle, imposter threats of CEO fraude.
Phishing is een veel voorkomende en zeer succesvolle aanvalsvector voor cybercriminelen. Zolang Phishing aanvallen voortduren, lopen organisaties het risico op financieel verlies en reputatieschade.
Met de juiste ondersteunende technische oplossingen en trainingsprogramma's voor medewerkers verkleint je de kans om een phishing-slachtoffer te worden.
De conclusie:
Zorg voor digitale veiligheid vanaf het eerste toegangspunt tot je infrastructuur.
E-mail, Er is slechts 1 klik voor nodig!
Bron: Rik Schoonis, Country manager Benelux