Een mail met ‘nepklachten van een klant’ maar waarin in werkelijkheid een link naar een kwaadaardige website. Het is een recent voorbeeld van de toenemende gewiekstheid van spearphishing-campagnes.
Hoe de campagne precies in elkaar zit, beschrijft Paul Ducklin van Sophos op het it-beveiligingsblog Naked Security. De phishingmails lijken afkomstig te zijn van een manager van het bedrijf van het slachtoffer en vragen de ontvanger naar een klacht van een klant die ze naar verluidt hebben ontvangen. De link in de e-mail gaat niet naar de beloofde pdf waarin de klacht over de werknemers staat beschreven, maar leidt direct naar een pagina waar het slachtoffer wordt misleid om malware te downloaden.
Het zijn (aldus de blogpost) vooral onervaren junior medewerkers die doelwit zijn. Personen die vaak op bijvoorbeeld de eerstelijnsondersteuning werken en vaker worden blootgesteld aan bellers en dus ook aan klachten. Dit maakt ze aantrekkelijke doelwitten voor dergelijke spearphishing-aanvallen. Een bijkomend probleem is dat zulk ‘ondersteunend’ personeel zich eigenlijk alleen bij een extreme calamiteit meldt bij het management. In zulke gevallen willen ze voor hun eigen veiligheid dat het incident wordt vastgelegd.
Hoe ziet de basisstructuur van spearphishing-campagnes eruit?
- Identificeer de e-mailadressen
Er zijn twee manieren waarop hackers phishing-campagnes verzenden. De eerste is de ‘spray-and-pray’-methode. Daarbij verzamelen ze zoveel mogelijk zakelijke e-mailadressen en sturen deze een spammail. De tweede benadering is gericht op personen die toegang hebben tot de gegevens en op wie de aanvaller zich richt. Dit is de klassieke aanpak van spearphishing.
- Antivirus omzeilen
De spearphishing-e-mail moet eerst de antivirussoftware omzeilen die door het beoogde slachtoffer wordt gebruikt. Een snelle zoektocht op de it-vacaturewebsites naar openstaande systeembeheerdersposities in de organisatie van het doelwit levert een verbazingwekkende hoeveelheid nuttige informatie op voor aanvallers. Zodra het antivirusprogramma bekend is, wordt het op een testsysteem geïnstalleerd om er zeker van te zijn dat de e-mail alsnog vrije doorgang heeft.
- Zet de route naar buiten open
De aanvallers kunnen de gevoelige gegevens alleen uit het bedrijf stelen als de informatie die met de aanval mee terugkomt ook daadwerkelijk verstuurd kan worden. Daarvoor moeten de juiste poorten open staan.
- Spearphishing-scenario
Werknemers die geen hoogwaardige security awareness-training hebben gehad, zijn een gemakkelijk doelwit voor spear phishers. De aanvaller onderzoekt zijn doelen, ontdekt met wie ze regelmatig communiceren en stuurt deze mensen een gepersonaliseerde e-mail om ze op een link te laten klikken of een bijlage te openen.
- Frauduleuze e-mails verzenden
De meeste aanvallers kopen een geldige domeinnaam, bijvoorbeeld van de webhost GoDaddy, en gebruiken de gratis e-mailserver die bij het domein wordt geleverd. Het doel is nu dat alle spam-e-mails die met een willekeurige e-mailclient of met een script worden verzonden, bij de slachtoffers worden afgeleverd, zodat het eigenlijke doel – de gegevensdiefstal – succesvol is uit te voeren.
- Doel van de spear phishing-campagne
Als het potentiële slachtoffer op de kwaadaardige link heeft geklikt, moet de aanvaller wachten op de verzending van toetsenbordgegevens naar de server (wat meestal eens per uur gebeurt) en zoeken naar de gewenste inloggegevens. Zodra de aanvaller deze heeft bemachtigd, probeert hij om in te breken op het werkstation, alle netwerkwachtwoordhashes uit te lezen, te kraken en uiteindelijk als beheerder toegang te krijgen tot het gehele bedrijfsnetwerk.
Security-awareness
De effectiefste maatregel om dergelijke aanvallen te voorkomen, is het aanbieden en vooral ook het regelmatig volgen van uitgebreide security-awareness-trainingen. Hierbij wordt geprobeerd om met behulp van gesimuleerde phishing-e-mails te testen hoe alert medewerkers zijn. Het doel van deze trainingen is het vergroten van het bewustzijn van de gevaren en het opsporen van dergelijke aanvallen. Eerst worden zogenaamde baseline-tests uitgevoerd, waarmee kan worden bepaald welke gebruikers vatbaar zijn voor phishing. Daarnaast helpt de software je te bepalen welke soorten aanvallen je in je trainingen moet gebruiken om het succes van de training goed te kunnen meten.
Het trainen van gebruikers met interactief en boeiend on-demand materiaal is noodzakelijk, zodat de boodschap echt wordt geïnternaliseerd en niet alleen oppervlakkig wordt behandeld en snel wordt vergeten. Bovendien moet de interne training maandelijks worden herhaald en op een platform worden opgeslagen en geanalyseerd om de inhoud en het toekomstige leerproces te verdiepen.
Trainen kost tijd en energie, maar de praktijk en cijfers wijzen uit dat als je het goed doet het geweldige resultaten oplevert.