Uitgerekend het opleidingsinstituut dat honderden trainingen heeft gegeven om werknemers bewust te maken van cybersecurity, is zelf het slachtoffer geworden van phishing. Een werknemer van het Sans Institute trapte in een phishingmail.
Waarna zich het scenario ontrolde waarvoor Sans in zijn cursussen waarschuwt: liefst 28.000 records met persoonlijke identificeerbare informatie raakten in verkeerde handen. De aanvaller bleek toegang te hebben gekregen tot 513 e-mails, veelal vol privégegevens.
De Sans-medewerker had een malafide Microsoft 365-app toegang tot zijn account gegeven. Vervolgens stelde de aanvaller een regel in waardoor inkomende e-mails naar een e-mailadres van hem werden doorgestuurd.
Sans, naar eigen zeggen ‘wereldwijd de meest gewaardeerde en veruit grootste bron voor cybersecuritytrainingen en -certificeringen’, gaat de slachtoffers van het datalek thans informeren.
Deze pijnlijke datalek werd ontdekt in dezelfde week waarin Sans de media had uitgenodigd om eens een kijkje bij de cursus Security Awareness in Amsterdam te nemen. ‘Dit trainingsprogramma is samengesteld door een wereldwijd netwerk van ’s werelds meest deskundige cybersecurity-experts,’ zo prees Sans zichzelf aan. En: ‘Sans Security Awareness heeft met meer dan 1.300 organisaties samengewerkt en meer dan 6,5 miljoen medewerkers opgeleid.’
Sans kan dus een nieuwe case toevoegen aan het cursusmateriaal. Op internet werden ook vraagtekens gezet achter de effectiviteit van dit soort cursussen. In elk geval is duidelijk dat iedereen die even niet oplet, slachtoffer van phishing kan worden. Zelfs security-specialisten.
@Jan, zolang de gebruiker zelf iets “installeert” is geen enkel systeem veilig, ook Linux niet. En ja, wil je Thunderbird email laten doorsturen, kan dat ook met wat aanpassingen.
Ik bewonder je liefde voor Linux waar ik zelf ook een dagelijks gebruiker van ben, maar het probleem zit hem niet in het systeem maar in de gebruiker. Voorbeeld: bij Linux pak je al snel een repo mee die niet standaard staat geïnstalleerd. Je hebt namelijk een programma nodig voor een specifiek doel. Ik ga persoonlijk op jou inspelen dat je mijn programma of add-on via mijn tempo installeert en doe dat subtiel zodat ik mezelf niet verdacht maak. Jij installeert dit er voila, ok heb een achterdeur gecreëerd (volledig volgens de gedachte van het systeem). Hierna publiceer ik een update voor mijn programma dat veel meer rechten krijgt dan je wil; jij ziet een update en geeft je wachtwoord om het te installeren.
Ik wil nog wel verder gaan, maar het voorbeeld lijkt me nu duidelijk.
Overigens zegt 28.000 records niets. Als er 1 vertrouwelijke e-mail tussen zit die bedrijfs gevoelige informatie bevat is dat vele malen schadelijker dan een database met miljoenen namen met e-mailadressen.
@Jan
Als jij geen MS Office 365 hebt, is de kans klein dat je een malafide MS Office 365 app of plugin hebt. Maar jij hebt Linux, LibreOffice en Thunderbird. Ewout heeft laten zien dat er veel zwakheden in Thunderbird zitten. Hele grote kans dat jouw Thunderbird zeer lek is, en je hoeft maar een moment niet goed na te denken en je hebt iets wat daar misbruik van maakt op jouw computer.
Linux en macOS zijn vele malen veiliger dan Windows, en het aantal bedreigingen op deze OS-en is slechts een fractie van wat je op Windows voor je kiezen krijgt, maar tegen phishing is geen systeem opgewassen, die bedreiging moet je zelf buiten de deur houden door op te blijven letten.
Frank,
Een ’this-is-safe.script’ van malafide regels code draaien met de root credentials is hetzelfde als een app en Linux is hierin uiteindelijk niks veiliger dan Windows. Jan heeft erkent dat een malafide bron uiteindelijk het probleem is en de consensus in de discussie is voor mij dat phising niet aan één platform is gebonden. Het enige verschil zit in de populariteit van een platform wat zich uiteindelijk vertaald tot het rendement van inspanning want uiteindelijk hebben criminelen ook een verdienmodel, Linux is nog altijd niet erg populair op de desktop en dus zijn er kwantitatief minder bedreigingen maar er zijn niet minder bugs die je voor een aanval kunt gebruiken zoals CVE database laat zien, bijbehorende scripts kun je vinden middels Exploit databases op Internet.
Naast de (eerste) verspreiding via click-bait is er nog zoiets als de verdere verspreiding via bijvoorbeeld een vertrouwde bron. Het domino principe van een stepping stone is gebaseerd op het aanbrengen van achterdeurtjes of deze vinden door bugs te exploiteren. Maar ik vertel alweer teveel blabla omdat er toch geen budget voor patchen is, nog altijd nummer 1 op de lijst van risico’s.
ik weet dat ik uit ga van het gebruik van gezond verstand, dat het daaraan te vaak ontbreekt is me bekend.
Dat is de reden dat ik mijn klanten steeds weer hetzelfde vertel, dat ook als website heb staan zodat ze het kunnen nalezen.
Zoals Oudlid stelt, als je de bronnen van je software kontroleert en goed nadenkt bij wat je gebruikt dan kan ieder OS redelijk veilig zijn. Bij Windows zit het probleem in de verspreidingsgraad en de vele behulpzame “neefjes” die met goedbedoelde “tools” een hele batterij veiligheidslekken op pc’s installeren, ook zakelijke.
@Frank, dat “mijn” thunderbird lek is, is erg klein, ik installeer iedere update en gebruik daarnaast verschillende eigen webmailclients.
Wanneer je alle html en javascript verbiedt en standaard alleen text toelaat ben je behoorlijk veilig.