Bij elke phishing campagne voel ik toch weer een tinteling in mijn buik. Drie keer nakijken of ik de juiste parameters heb ingesteld. Klopt het schema? De afzender? Is onze mail-reputatie nog heel erg groen? Zal het niet in de spam-box van ontvangers terecht komen? Zal er snel alarm geslagen worden?
Er staat veel op het spel en iedere fout leidt tot een mislukte campagne en een ontevreden klant, hoewel dat laatste soms onvermijdelijk lijkt. Dan is het moment er, waarop alle e-mails verstuurd worden met een snelheid van vijfduizend per minuut.
En dan wachten we. Op de eerste opens, dan de clicks en uiteindelijk de ‘data submitted’, de bevestiging dat iemand werkelijk gegevens achterlaat geeft dat dubbele gevoel. Aan de ene kant ‘Het werkt!’, maar aan de andere kant ook de teleurstelling dat er nog veel werk aan de winkel is.
De uitkomsten van een phishing campagne zijn lastig te voorspellen. Soms is iemand al heel snel met het verspreiden van het alarm, of slaat de inhoud minder aan bij de doelgroep. Soms duurt het ook lang voordat de eerste clicks binnenkomen. Clicks zijn klikken op links in de phishing e-mail naar de phishing landingspagina. Op zo’n pagina kan een gebruiker credentials of ander waardevolle informatie achterlaten. Als het lang duurt voordat de clicks binnenkomen zie ik vaak dat het aantal mensen dat klikt op een link gelijk is aan het aantal dat de e-mail opent. Dan lijkt het alsof iedereen die de e-mail opent er direct intrapt. Maar dat is niet zo. Dit is vaak een indicatie dat de email beheerder het tonen van plaatjes standaard heeft uitgezet en dan doet de tracking pixel zijn werk niet om het openen van de e-mail te registreren. Pas als de link geklikt wordt weet het systeem dat de e-mail dus geopend is.
Tricky business
Maar dan ineens stromen de clicks en submits binnen. Het percentage geslaagde pogingen loopt dan op ten opzichte van het aantal verstuurde e-mails. Ook komen de bounces terug. De e-mails die niet meer bestaan van medewerkers die een andere baan hebben, of de meldingen van mensen die op vakantie zijn. Frappant hoeveel details er in al die out-of-office berichten staan. Soms valt mijn mond open als het percentage ineens echt omhoog schiet, of als ik zie dat mensen vier, vijf tot zelfs tien keer hetzelfde mailtje openen, opnieuw klikken en hun data achterlaten. Data die vaak de gebruikersnaam en wachtwoord bevatten. Later komen ook nog de replies binnen van mensen die de mailtjes beantwoorden of vragen stellen. Let wel! Phishing e-mails zijn niet bestaande adressen van nep domeinen.
Ik roep altijd dat leren het herkennen en toepassen van patronen is. Hoe vaker ik het roep, hoe meer ik het geloof. Maar patronen zie ik en hier zal ik mijn inzichten delen.
Allereerst. Mensen hebben geen idee wat de anatomie van een e-mailadres is. Mogelijk uit desinteresse – mensen willen gewoon hun werk doen – maar ik denk ook omdat het nooit helder wordt uitgelegd. Kijk nu eens zelf. Wat is het domein van de link http://www.mijnpensioen.asr.nl/inloggen. Ik denk dat veel mensen niet asr kunnen identificeren als het domein en daarom ook niet herkennen dat het e-mailadres Gert.Boersma@coolblue.bestelbevestiging-email.nl niets te maken heeft met Gert Boersma of Coolblue. Als Gert Boersma een naam van een collega is die zij kennen, dan is er grote kans dat ze het ofwel vertrouwen ofwel daar een reply naar sturen.
Weet je hoe eenvoudig het is om gerichte aanvallen te doen met phishing e-mails? Dat gaat ongeveer zo. Met een anoniem LinkedIn account – zeg Eric de Fischer – doe ik een connectie verzoek naar een medewerker die werkt bij het bedrijf dat het doel is. Die accepteert (iedereen accepteert). Dan vraag ik of ik een e-mail kan sturen naar zijn werk adres. Die krijg ik prompt. Veel bedrijven hebben een profiel op LinkedIn en dus ook een lijst met alle connecties die daar werken. Email conventies zijn snel te achterhalen. a.devries@doelbedrijf.nl is goed toe te passen op alle mensen die daar werken. O ja, door een e-mail te sturen zie ik meteen welke e-mail-provider zij gebruiken, bijvoorbeeld Office 365. Ook zie je aan de functietitels waar de autoriteiten binnen een bedrijf zich bevinden.
Mensen zijn erg nieuwsgierig en checken geen identiteit. Als ze denken dat ze een e-mail van een bekende krijgen is het wantrouwen maar gering.
Voorbeelden
Hier zijn nog wat andere waardevolle observaties.
Op een mobiel trappen meer mensen in de phishing e-mail, maar mislukken de pogingen om gebruikersnamen en wachtwoorden te achterhalen vaker. Gebruikers van vaste e-mailprogramma’s zoals Outlook trappen vaker in phishing e-mails dan mensen die de webbrowser gebruiken voor het versturen van e-mail. Overigens, mensen die wachtwoordmanagers gebruiken laten zelden gebruikersnamen en wachtwoorden achter.
Zeer veel slachtoffers zien niet dat ze op een http-website of een https-website zitten en zoals eerder aangegeven, weten niet of een webadres te vertrouwen is. Ze kijken veel meer naar bekende designs.
Ook is het percentage mensen dat daadwerkelijk de phishing poging meldt bij it veel te laag. Niemand drukt op de ‘dit is spam’-knop die in veel mailprogramma’s in de webbrowser te vinden is.
Kortom. Dit is een groot probleem wat nauwelijks te overschatten is. Wat ik schrijf zijn observaties, geen aannames. Leren is patronen herkennen en toepassen. Dat is wat ik doe. Tot nu toe ben ik niet één bedrijf tegengekomen dat afdoende beschermd is hiertegen.
Ik durf te stellen dat uw organisatie ook gevaar loopt.
Het goede nieuws is dat ju zich wel kunt verdedigen tegen dit gevaar. Maar dat gaat niet lukken met het rondsturen van wat links, waarschuwingen of eenmalige bewustwordings campagnes. Er is meer voor nodig. Een slimme lezer weet nu wel waar Abraham zijn mosterd haalt….
Reactie om e-mails te krijgen op reacties.
nu nog iets tegen infomercials