Hoe criminele hackers achter het net te laten phishen

Phishing Sogeti

Ilse van Werkhoven - Het gebruik van phishing e-mails is nog altijd een van de meest succesvolle manieren om snel toegang te krijgen tot een systeem. Het overkomt ons allemaal. Sterker nog, uit onderzoek onder 19.000 respondenten uit 144 landen blijkt dat slechts 3 procent in staat is om de intentie van alle e-mails juist te beoordelen.

Phishing Sogeti Dat terwijl 80% minstens één phishingmail voor legitieme communicatie aanziet. Ook al denk je dus nog zo slim te zijn, we kunnen allemaal slachtoffer worden. De aanvaller maakt slim gebruik van de zwaktes van de mens. Denk aan onze nieuwsgierigheid, angst en vooral hebzucht.

Maar ik hoor u denken dat u vast bij die 3 procent hoort. Dat zijn toch die voorspelbare e-mails vol spelfouten en vage URL’s? Ik geef toe. Nederlanders doen het nog niet zo slecht. We staan zelfs in de top 5 van landen die zich het minst snel digitaal laten oplichten. Alleen de fransen, zweden en hongaren laten zich nog minder snel oplichten. De spanjaarden blijven we ons net voor… Maar linksom of rechtsom, ook wij ontkomen er niet aan. Ik heb daar twee verklaringen voor.

Dit e-mailtje is niet zuiver op de graat

Bij het versturen van 3000 phishing e-mails is er altijd wel iemand die erin trapt. Of de aanvaller gebruikt deze mail om te testen hoe ver hij of zij kan komen. Een tweede verklaring is een succesvolle spear-phishing aanpak; de aanvaller stuurt gericht e-mails naar een gebruiker of zelfs een whale (iemand in een hoge functie met veel rechten). Met deze aanpak doet de aanvaller flinke moeite zodat de e-mail niet of nauwelijks van echt te onderscheiden is.

Hoe goed het bewustzijn ook is, spear-phishing werkt vrijwel altijd. Onlangs hoorde ik nog een voorbeeld van een forensisch onderzoeker. Een aanvaller drong met spear-phishing binnen de  IT-systemen van een advocatenkantoor. Vervolgens stuurt de crimineel uit naam van een advocaat een mail naar een grote klant van het kantoor. De klant in kwestie was het eigenlijke doelwit. In de mail zat een al eerder verzonden bijlage. Maar ditmaal stuurde de aanvaller een kwaadaardige, ook wel “weaponized” 2.0 versie. Een gezonde dosis achterdocht is dan niet toereikend. Op dat moment biedt alleen de technologie nog een helpende hand. Of anders gezegd, malware detective en anti-virus oplossingen moeten de malafide URL of “weaponized” bijlage herkennen en daarmee de mail blokkeren en verwijderen.

Hou uw organisatie zo gezond als een vis

Afgelopen jaren hebben veel organisaties geinvesteerd in bewustwordingscampagnes om phishing tegen te gaan. Hoe weten we of dat werkt? Zo kan een bedrijf ervoor kiezen dat te monitoren. Medewerkers kunnen ook zelf melding maken van phishing e-mails zodat het slagingspercentage bepaald kan worden.

Om de weerbaarheid van organisaties verder te versterken, kun je nog een stap verder gaan. Zo kan gedegen onderzoek naar de ontvangen phishing e-mails, de aanvallers en hun doel geen kwaad. Voor deze analyse heb je ook de e-mails nodig die de spamfilter netjes blokkeert of verwijdert. Zo kun je bijvoorbeeld beoordelen wie de aanvaller is en of de crimineel het specifiek heeft gemunt op jouw organisatie.

Deze informatie helpt je ook bij het maken van een goede dreigingsanalyse. Daarmee kun je gepaste maatregelen nemen. Of de informatie inzetten als “indicator of compromise” voor een Security Information & Event Management (SIEM) systeem. Zo zijn er nog vele scenario’s te bedenken waarmee de modus operandi van aanvallers bepaald kan worden. Allemaal om je te wapenen tegen phishing aanvallen.

Hackers die met een gouden hengel vissen

Helaas bieden deze maatregelen geen 100% veiligheid. De mens blijft de zwakste schakel. Bovenop een gedegen bewustwordingscampagne moet je dus ook preventieve, detectieve en responsieve maatregelen treffen. Laat bewustwording de eerstelijns verdediging vormen. Tools en technologie omvatten dan het achternet om aanvallen te stoppen.

Wilt u criminele hackers achter het net laten vissen?

Meer weten over hoe je criminele hackers achter het net laat phishen? E-mail dan met Rogier van Agt of bel hem op +31 (0)88 660 6600