Phishing is vaak in het nieuws en de bijbehorende waarschuwingen zijn overal te vinden. Maar waar hebben we het eigenlijk over? Phishing is niets anders dan het – bijna letterlijk – vissen naar gegevens. Kleine stukjes van de puzzel verzamelen om uiteindelijk jouw aanmeldgegevens tot systemen te verkrijgen. Wat zijn vandaag de dag, naast e-mail, gangbare methodes, hoe herken je ze en wat kun je tegen phishing doen? Hieronder zet ik (bijna) alles wat je zou moeten weten op een rij.
Informatie verzamelen
Om te beginnen cybercriminelen hebben, om digitaal kwaad te kunnen doen, allereerst toegang tot systemen nodig. We herkennen grofweg twee werkmethodes die kwaadwillenden gebruiken om aan de benodigde informatie te komen. De eerste is een breed opgezette, vaak wereldwijde campagne. Ze schieten met een shot hagel en als er maar één iemand is die toehapt, dan is het bingo! De andere methode is juist schieten op scherp, gericht op een specifiek persoon. Via social engineering verzamelen cybercriminelen veel informatie over de persoon en de toegang tot systemen, om die persoon vervolgens persoonlijk te benaderen (targeted attack). Dit laatste is vaak zo ‘sneaky’ dat het voor veel mensen moeilijk is om te herkennen.
Phishing methodes
We kennen en herkennen vele phishing-methodes, ik help je graag op weg om ze ook te gaan herkennen. Hieronder de vijf belangrijkste.
1. Klassiek: telefonisch
De klassieke manier via post en telefoon komt nog steeds veel voor bij particulieren, in minder mate bij bedrijven en instellingen, maar het is niet uitgesloten uiteraard. Een zogenaamde medewerker van de bank belt en meldt dat je pinpas is verlopen. Hij of zij meldt dat een collega van de bank straks langskomt om de pinpas om te ruilen, maar zekerheidshalve heeft de beller nog wel je pincode nodig. Of denk aan een medewerker – vaak Engelstalig met een flink accent – die belt namens Microsoft en meldt dat er een belangrijke update op je computer geïnstalleerd moeten worden, anders loopt je computer gevaar.
Hoe goed deze smoezen ook zijn, vaak zijn deze pogingen nog wel te herkennen en daarmee af te weren:
- Er is altijd een vorm van urgentie
- Ongewoon contact – de bank of Microsoft belt u normaal nooit
- Taalfouten of buitenlands accent
- De vraag naar gevoelige informatie
2. Actueel: e-mail
Valse e-mail is de meest gangbare methode. Vele recente ransomeware-aanvallen zijn begonnen met phishing e-mails. De redenen liggen voor de hand: eenvoudig te verspreiden, mogelijkheid tot opnemen hyperlinks, moderne communicatiemethode en de ontvanger leest toch maar half de informatie. Wat geldt voor het herkennen van een poging tot phishing via klassieke post en per telefoon, geldt ook voor de digitale variant, aangevuld met:
- Hyperlinks van populaire afkortingen-aanbieders als bit.ly en goo.gl
- Vreemde of onverwachte bijlagen bij de e-mail
- Bijlagen met vreemde extensies
3. WhatsApp of SMS
Short Message Service met 140 tekens, wie gebruikt het nog? Het zal je verbazen. SMS is nog volop in gebruik voor het melden dat een servicemonteur onderweg is, voor een verificatiecode van de bank of een zogenaamde token (tweestapverificatie) voor toegang tot IT-systemen. Het zal je dan ook niet verbazen dat via die weg kwaadwillenden proberen je te misbruiken voor toegang tot die systemen.
Erg populair is tegenwoordig de WhatsApp-fraude via een persoonlijke doelgerichte aanval. Via social engineering – denk aan bijvoorbeeld je updates op publiekelijk toegankelijke social media – weet men wie je dierbaren zijn, hoe zij heten en als zij zelf een publieke pagina hebben, dan weten ze ook zo allerlei andere informatie te achterhalen. Met die informatie nemen criminelen via WhatsApp contact op en doen zich voor als ‘de bekende’ met een nieuw telefoonnummer. Vaak wordt gevraagd of je geld kunt overmaken en volgt er een ingewikkeld verhaal en smoes. Mocht je het niet 1-2-3 geloven, dan wordt extra argumentatie ingezet, als namen van familieleden, recente gebeurtenissen of andere persoonlijke zaken.
Een andere populaire route is via platforms zoals Marktplaats. Iemand betaalt maar al te graag de vraagprijs en wil via WhatsApp wat afspreken, vervolgens per ongeluk jouw nummer heeft gebruikt en of jij dan even die code die je zojuist hebt ontvangen door kunt geven. Met die code kan de crimineel vervolgens jouw WhatsApp overnemen en zo contacten benaderen voor de hierboven beschreven methode van oplichting.
4. Moderne Apps
Wie leest er de kleine lettertjes? Bijna niemand. Bij het installeren van een app op telefoon of tablet klik je al snel op voorwaarden accepteren en installeren. Dat is precies de reden waarom cybercriminelen tegenwoordige kleine oh-zo-praktische apps bouwen en publiceren. Ogenschijnlijk kun je bijna niet zonder die apps en als gebruiker krijg je veel voor nop. Daarom is het voor de criminelen zo aantrekkelijk; genoeg mensen die het zullen installeren en uitproberen. Maar daarmee geef je wel toestemming om bijvoorbeeld microfoon en camera open te zetten. Of sta je toe dat bepaalde data die je in de cloud hebt staan ook toegankelijk wordt voor de maker van de app. Met al die verzamelde informatie kunnen de cybercriminelen een gerichte aanval uitvoeren op jou of je directe collega’s. Een concreet voorbeeld is een nep-app gericht op IT-beheerders die voor hen bepaalde beheertaken veel eenvoudiger maakt. Die IT-beheerders hebben meestal toegangsrechten op hoog niveau (admin rights), waardoor een crimineel direct binnenkomt in het digitale hart van de organisatie. Ons advies: wanneer een app iets belooft te doen wat eigenlijk te mooi is om waar te zijn, dan is het dat ook. Lees dus altijd de voorwaarden, zeker bij apps, voordat je op installeren overgaat.
5. Digitaal samenwerken
Zeker in deze tijden waarin veel mensen vanuit huis digitaal samenwerken verleggen cybercriminelen hun phishing-activiteiten naar bijvoorbeeld Teams en Zoom. Voor veel medewerkers is het digitaal werken nieuw. De gebruikte technologie is ook nieuw en daarmee zijn medewerkers sneller geneigd om op iets te klikken, want het zal wel zo horen. Een praktijkvoorbeeld om aan te geven waar je op dient te letten:
Via je LinkedIn-profiel hebben cybercriminelen achterhaalt bij welk bedrijf je werkt. Zij kennen je e-mailadres van het werk en ze kennen de namen van enkele collega’s. Een kwaadwillende stuurt je vervolgens een e-mail die van een collega lijkt te zijn. In die e-mail staat een link naar het document dat hoort bij de Teams-meeting van afgelopen week. Omdat je vaker online vergaderingen hebt, Teams volop in gebruik is en de link naar het document – op zijn zachts gezegd – niet te herkennen is als nep, trap je er zomaar in. Voorbeeld van zo’n hyperlink:
Weet je waar deze link daadwerkelijk uitkomt en welke snode applicatie automatisch gestart wordt? Een extra check bij die collega, voordat je op de link klikt kan nooit kwaad.
Proef op de som
Hoe je voorkomt dat je slachtoffer wordt van phishing is bij de voorbeelden grotendeels al beschreven. Ook online is veel informatie te vinden, bijvoorbeeld bij de Overheid of de Fraudehelpdesk. Daarnaast is het slim om technische maatregelen te nemen om phishing e-mails vroegtijdig te signaleren en te isoleren zodat deze niet bij de gebruiker komen. Maar als dat toch gebeurt…
De mens is vaak de zwakke schakel. Informatie verstrekken (zoals ik nu doe in dit blog) helpt. Medewerkers trainen helpt ook. Wat écht goed helpt is medewerkers er een keer in te laten trappen. Uiteraard niet echt, maar via een gesimuleerde aanval. Organisaties die gebruik maken van Microsoft Defender for Office 365 kunnen daarvoor de Attack Simulator inzetten. Neem de proef op de som en ga gerust met medewerkers die erin trappen het gesprek aan om hen meer te leren over de digitale gevaren en hoe die te herkennen.
Gelaagde beveiliging
Hoe goed je de zaken technisch en met je medewerkers ook voor elkaar hebt, helemaal voorkomen kun je het niet. Cybercriminelen verzinnen steeds weer nieuwe, innovatieve methodes om stukjes van de puzzel te bemachtigen. De tegenmaatregelen volgen pas later. Het is een soort kat-en-muis-spel. Dit betekent dat je er goed aan doet om een gelaagde beveiliging in te zetten. Tegenhouden van berichten, gevolgd door het detecteren en tegenhouden van bepaald internetverkeer. Afgesloten met het op de achtergrond blokkeren van verdachte kopieer-acties van informatie. Precies daarvoor heeft Insight het 3-laags security model bedacht. Neem gerust contact met mij of mijn collega’s op voor meer informatie.
Rogier Dijkman – Rogier.dijkman@insight.com / 06 2908 8551
‘Weet je waar deze link daadwerkelijk uitkomt en welke snode applicatie automatisch gestart wordt? Een extra check bij die collega, voordat je op de link klikt kan nooit kwaad.’
Maar als de link achter de link zo moeilijk te herkennen is, wat maakt dat die collega wel de goeie van de kwaaie kan onderscheiden?
‘De mens is vaak de zwakke schakel’
Daar schijnt inderdaad de algemene beleving te zijn. Maar is dat wel zo?
Is er niet een schakel met een minstens zo groot risico?
https://www.linkedin.com/posts/willmoonen_cyberrisico-activedirectory-phishingemail-activity-6739825398445604864-7PEg
Hoewel er een dikke blauw balk met de waarschuwing van sponsored content staat heb ik – na reactie van Will – artikel gelezen en enigszins roekeloos op de links geklikt omdat ik nieuwsgierig was naar het drielaagse security model van Insight.
Nu heb ik het idee dat eerste laag al faalt als hackers via social engineering toegang weten te krijgen tot de ‘stepping stone’ van één gebruikersaccount. Een zero trust model zou in dat geval kunnen helpen om verdere schade te voorkomen want belofte van AI als tweede laag gaat voorbij aan het feit dat hackers dezelfde technologie inzetten. Met 56 dagen aan passieve surveillance hebben ze al een aanzienlijke voorsprong hebben op het verdedigende algoritme waardoor derde laag als het paard achter de wagen spannen is.