Spearphishing, zeer doelgerichte e-mail aanvallen op personen, is een groeiend probleem voor organisaties. Na grondig onderzoek naar het potentiële slachtoffer versturen criminelen zorgvuldige opgestelde e-mails, uit naam van iemand binnen de eigen organisatie of van een partner of klant. Van spelfouten of slecht geformuleerde zinnen is vaak geen sprake meer, dus daar zijn deze nepmails niet snel meer aan te herkennen
Daarnaast zien we ook steeds meer pogingen tot ‘ceo-fraude’. Het slachtoffer – meestal iemand op de financiële administratie – ontvangt dan een e-mail die schijnbaar afkomstig is van de ceo of directeur. Daarin wordt gevraagd om met spoed een bedrag over te maken op een rekening, in verband met een businessdeal. Vergelijkbare methodes worden ook op andere manieren ingezet om mensen zo ver te krijgen om geld over te maken. Een voorbeeld is: een aanval die erop was gericht om een huizenkoper zover te krijgen dat hij een groot bedrag zou overmaken naar de rekening van de crimineel.
In dit voorbeeld was de aankoop bijna afgerond. Na afhandeling van de laatste zaken zou de huizenkoper de sleutels van zijn nieuwe huis ontvangen. Het belangrijkste wat er nu moest gebeuren, was het overmaken van het eigen deel van het aankoopbedrag naar de notaris. Op de dag dat hij dit zou doen, ontving hij echter een e-mail van de notaris waarin werd gemeld dat deze onlangs van bank was gewisseld en dat de nieuwe betaalinstructies in een bijlage te vinden waren.
Natuurlijk zou een dergelijk bericht de nodige vraagtekens moeten oproepen bij huizenkopers. Van bank veranderen is natuurlijk niet iets wat een notaris snel zal doen en zelfs als dat zou gebeuren, dan zou dit waarschijnlijk veel eerder en op een andere manier worden aangekondigd. Toch blijkt dat criminelen erin slagen om op deze manier huizenkopers op te lichten. Daarom zou iedereen die van plan is om een huis te kopen, zich bewust moeten zijn van dit risico.
Domeinvervalsing
In dit specifieke geval vertrouwde de koper het bericht gelukkig niet en nam hij direct contact op met zijn notaris om dit te checken. En toen hij nog eens goed keek naar het e-mailadres van de afzender van het bericht, bleek de domeinnaam (het ‘@xxxx.nl’ gedeelte van het e-mailadres) af te wijken van de domeinnaam in de handtekening van de notaris onder de e-mail. Het bleek dat de aanvallers het domein hadden vervalst (ge-‘spoofed’), zodat het leek alsof het e-mailbericht afkomstig was van de notaris. Gelukkig is er een makkelijke manier om dat te checken, namelijk door even de muis boven het zichtbare e-mailadres van de afzender te houden (zonder erop te klikken). Er verschijnt in de meeste gevallen dan een klein venstertje waarin het daadwerkelijke adres wordt getoond.
Behalve de vervalste e-mail domeinnaam, had de aanvaller een bijlage meegestuurd met instructies voor het overmaken van het geld. Nu is zo’n e-mail verzoek natuurlijk op zich al vreemd, maar het is daarnaast altijd een risico om zomaar e-mail bijlages te openen. Hoewel de aanvaller in dit geval er op uit was om de huizenkoper zo ver te krijgen het geld naar een verkeerde rekening over te maken, kan een dergelijke bijlage gebruikt worden om het systeem van de ontvanger te besmetten met ransomware of andere malware. Het advies blijft dan ook: wees voorzichtig bij het openen van bijlagen. Bij twijfel: niet openen, neem eerst contact op met de afzender om te checken of hij of zij deze e-mail daadwerkelijk heeft verstuurd.
In dit voorbeeld heeft de huizenkoper helemaal juist gehandeld. Hij was alert genoeg om vraagtekens te zetten bij het verzoek, vervolgens zag hij dat het e-mail domein was vervalst en nam hij direct contact op met zijn notaris om navraag te doen. Waar hij zich echter over verbaasde, was de reactie die hij kreeg van zijn notaris. Die meldde dat dit een bekend fenomeen was, maar dat ze niet van plan waren om dit verder te onderzoeken. In dit geval is het beoogde slachtoffer er gelukkig niet in getrapt. Maar er zijn voorbeelden bekend waar dit wel gebeurde en waarbij de slachtoffers veel geld zijn kwijtgeraakt.
Samenvattend werd bij deze aanval gebruikgemaakt van:
- Spearphishing: de aanvaller trachtte de ontvanger zo ver te krijgen dat deze geld zou overmaken naar een verkeerde rekening;
- Verpersoonlijking: de aanvaller deed zich voor als de notaris;
- Spoofing: het e-mail adres van de afzender werd door de aanvaller vervalst.
Ook bij bedrijven
Deze sterk doelgerichte vorm van spearphishing wordt ook steeds vaker ingezet bij bedrijven. Daar wordt bijvoorbeeld geprobeerd om een medewerker zo ver te krijgen dat deze een groot geldbedrag naar de rekening van de cybercrimineel overmaakt. Die cybercrimineel doet zich dan voor als de directeur of een andere hoge functionaris binnen de organisatie.
Gelukkig zijn er maatregelen die organisaties kunnen nemen om zich te beschermen tegen deze vorm van oplichterij. Training en het verhogen van het bewustzijn rond spearphishing zijn zeer essentieel, omdat gebruikers zo leren waar ze op moeten letten. Daarnaast kan een proactieve aanpak met goede beveiligingstechnologieën de risico’s van een aanval aanzienlijk verminderen.
Beveiliging in meerdere lagen
Een van de redenen waarom criminelen nog steeds zo succesvol zijn met spearphishing, is dat traditionele e-mail security gateways vaak niet in staat zijn om sterk gepersonaliseerde social media-aanvallen te detecteren.
Daarom is een beveiliging aan te raden die bestaat uit meerdere lagen. Bijvoorbeeld een goede e-mail securityoplossing die beschermt tegen geavanceerde dreigingen, die checkt op mogelijk gevaarlijke links en die gebruikmaakt van anti-phishing technieken. Dit zou ondersteund moeten worden door een systeem dat kunstmatige intelligentie inzet om te detecteren wanneer in een e-mail gebruik wordt gemaakt van een vervalst e-mail domein of andere fraudetechnieken.
Tot slot zou de oplossing moeten voorzien in proactieve anti-fraude training. Daarbij worden personen binnen de organisatie die een aantrekkelijk doelwit kunnen vormen van een spearphishing aanval, getraind via gesimuleerde phishingpogingen.
Het verhaal van het ‘spoofen’ van het email-domein van de afzender klopt niet. Wel gaat dit meestal op voor een eventuele link in de email tekst (niet bij Outlook Web Access, overigens. Zeer irritant en een reden om altijd Outlook desktop te gebruiken).
Bij het aanmaken van een email op een smtp-service kun je iedere willekeurige tekst gebruiken voor het from/van-attribuut. De enige beperking is dat een smtp-service aanmaak van mails alleen toestaat vanaf bepaalde IP-adressen (als het goed is).
Volgens mij is er maar één groeiend risico … de mens die steeds er steeds vaker achteloos een eind op los klikt zonder even te kijken of het wel klopt
Een mooi voorbeeld hiervan zie je op https://www.youtube.com/watch?v=1euYZoAr94Q (vanaf 1 minuut).
Maar ook mailaanbiedingen die te mooi zijn om waar te zijn, mails van banken waar je niet eens een rekening hebt enz.
Phishing mail’s eruit filteren blijft altijd een lastige. Al was het alleen maar omdat er verschillende technieken zijn om (bijvoorbeeld) een link te verbergen.
Ook zijn veel mensen zich er niet van bewust dat die echt uitziende e-mail van de grote baas wel eens heel iets anders kon zijn.
In dat kader heeft PishMe wel een aardige oplossing. Aan de ene kant helpt die mensen met het herkennen van dergelijke phishing berichten. Aan de andere kant helpt die de Barracuda’s van deze wereld om dergelijke berichten bij de voordeur tegen te houden.
😉