Via social engineering blijven cybercriminelen ons om de tuin leiden. Niet strikt noodzakelijk, want zelfs de meest ingenieuze phishingmail is aan een aantal kenmerken te herkennen.
De term social engineering is niet bij iedereen bekend. Het is de praktijk van het manipuleren, beïnvloeden of misleiden van personen om controle te krijgen over hun computer(systeem). Cybercriminelen gebruiken allerlei social engineering-technieken, waaronder phishingmails, om hun doel te bereiken.
Juist omdat de mens vaak de zwakke schakel in de beveiliging vormt, is social engineering populair onder de slechteriken. De ernst van het probleem werd in 2010 (!) al onderschreven door Gartner: ‘Het merendeel van de meest schadelijke inbraken in computersystemen is te wijten aan social engineering, niet aan hacken, en dat zal voorlopig zo blijven. Social engineering is het grootste veiligheidsrisico van het komende decennium.’
Tel daar maar een decennium bij op, want organisaties weten zich slecht te wapenen tegen social engineering. Denk aan recente gevallen van ceo-fraude, waarbij het meestal medewerkers van de financiële afdeling zijn die vallen voor een e-mail die zogenaamd van de directeur komt.
Russen en Chinezen
Hoe herken je phishingmail die verzonden is door vernuftige social engineers uit Rusland of China? Er zijn een aantal kenmerken die verraden dat je met een kwaadaardige e-mail te maken hebt. Deze alarmbellen noemen we Social Engineering Indicators (SEI’s). Dat zijn:
- Afzender: je kent de afzender niet persoonlijk, de afzender heeft geen logische reden om specifiek naar jou te mailen en/of de domeinnaam in het e-mailadres klopt niet.
- Ontvanger: je vindt het ongebruikelijk of niet logisch dat jij deze e-mail ontvangt.
- Datum en tijd: de e-mail is op een gek moment verzonden (een zakelijke e-mail om drie uur ’s nachts?).
- Onderwerp: het onderwerp is niet duidelijk of niet coherent met de tekst in de e-mail, of het gaat om een reply op een mail die jij nooit verzonden hebt.
- Inhoud: de boodschap is niet logisch, er staan spelfouten in of er wordt iets van je gevraagd dat je snel moet doen omdat je daarmee iets slechts kunt voorkomen of iets leuks kunt winnen.
- Hyperlinks: links leiden niet naar de pagina waar ze naartoe zouden moeten leiden (dit kun je zien als je er met je muis overheen beweegt).
- Bijlages: er is een bijlage die je helemaal niet verwacht of een bijlage die niet coherent is met de tekst in de e-mail.
In dit overzicht staan nog meer belangrijke indicators. Neem deze afbeelding goed door of print ‘m uit, zodat je nooit meer ten prooi valt aan phishingmails. Heb je onlangs een gemene phishingmail ontvangen of heb je aanvullende tips over hoe je er eentje herkent? Deel het in de reacties!
Dus als we al onze medewerkers deze regels geven is het phishing probleem opgelost?
Als iemand die duizenden phishing mails stuurt heb ik wel wat lessen opgedaan:
– Veel mensen vinden het een taak van de IT afdeling om dit soort emails tegen te houden
– De meeste mensen weten niet goed hoe ze een echt adres van een fake email adres kunnen onderscheiden
– De meeste mensen weten niet hoe ze een goed HTTPS adres kunnen onderscheiden van een phishing domein
– Als een e-mail lijkt te komen van een collega kijken ze nauwelijks verder
– Spearphishing (dus met een beetje voorkennis gericht phishen) is extreem succesvol
– Alle herkenningspunten in dit artikel worden praktisch omzeild als er een e-mail binnenkomt dat er is ingelogd op een bepaalde dienst.
Zolang mensen niet gemotiveerd zijn om niet in phishing emails te trappen bereik je ze niet. Daarnaast is het aanleren van een gewoonte niet op links in een e-mail te klikken, maar rechtstreeks naar de website van een dienst te gaan bijna altijd de beste oplossing.
De huidige veerkracht en vermogen om social engineering te herkennen is gewoon laag. Iedere organisatie is kwetsbaar en het is een wonder dat er nog relatief weinig is misgegaan.
E-learnings en waarschuwing emails alleen is niet genoeg om dit probleem te bestrijden. Zolang management het niet als een probleem ervaart gebeurt er heel weinig. Daarbij zien bedrijven het opleiden van medewerkers voornamelijk als een kostenpost.
Dat zijn mijn twee centen 🙂