Phishing trends: nieuwe technieken van cybercriminelen

Wat ooit begon met stiekem hengelen in een brievenbus om tussen de post een bankpas aan te treffen, vormt nu onder de naam ’phishing’ een ware plaag op het internet. In veel gevallen gaat het nog om individueel geïnitieerde e-mailaanvallen met als doel snel geld te verdienen door het stelen van data of het plaatsen van ransomware. We zien echter een trend die duidt op phishing als onderdeel van een veel omvangrijkere strategie: het ongemerkt betreden van organisaties via schijnbaar betrouwbare e-mails. Op die manier trachten cybercriminelen accounts over te nemen binnen een organisatie. Vanuit de betrouwbaar geachte omgeving gaan er e-mails naar klanten en toeleveranciers van het bedrijf; een zogeheten supply chain attack wordt ingezet. De herkomst van de e-mailberichten is bekend (staan niet op een black-list). Omdat de aanvallers heel behoedzaam opereren door eerst op hun gemak de binnengedrongen omgeving te verkennen, gaan er niet direct alarmbellen af.

Platform misbruik

Een andere trend is dat de cybercriminelen zich in toenemende mate bedienen van vertrouwde platforms, zoals OneDrive, Google Drive of Microsoft-applicaties als Word, Excel, Teams of SharePoint. Elk jaar treffen we al speciaal ontwikkelde malafide apps aan die gebruikers vragen akkoord te gaan met bepaalde wijzigingen aan de instelling of het gebruikersprofiel van hun e-mailaccounts of mobiel apparaat. Wanneer deze apps eenmaal geïnstalleerd zijn biedt de techniek in zo’n geval geen uitkomst bij het voorkomen van phishing.

Het scheiden van privé en zakelijk computergebruik blijkt in de praktijk heel lastig te concretiseren, zeker na het door Corona gedwongen thuiswerken. Virtualisatie oplossingen (denk aan VMWare en Citrix) bieden de mogelijkheid om thuis veilig in het zakelijke domein te werken. Helaas worden de applicaties vaak ervaren als langzaam en complex, dus geven gebruikers wel eens de voorkeur aan de privé laptops. Dit is een onwenselijke situatie, want hierdoor heeft het traditioneel ICT-beheer niet langer grip op de situatie. Er zijn talloze praktijkvoorbeelden (zelfs van ministers), waarbij gevoelige data via privé devices op straat terecht kwamen.

Training voor iedereen

Wat we wel kunnen, is het vergroten van de bewustwording bij de gebruikers en het sneller leren herkennen van diverse vormen van phishing. Daarvoor moet je regelmatige trainingssessies met phishing-simulaties organiseren voor iedereen binnen het bedrijf, dus ook de directie. Liefst drie keer per jaar, omdat enerzijds de kennis na verloop van tijd vermindert en anderzijds er zich telkens nieuwe phishing methoden openbaren.

Domain hijacking

Valt er vanuit de techniek helemaal niets te doen tegen phishing?  Bij ’spoofen’ kan dat wel degelijk. Tegen deze vorm van aanvallen met iemands anders IP-adres, kunnen we ons verdedigen via een spf-configuratie en het gebruik van dmarc en dkim. Uit een recent door ons uitgevoerd onderzoek binnen de relatiekring blijkt dat 40% van de mkb-bedrijven de instelling niet heeft toegepast. Daarnaast is lang niet elke organisatie zich bewust van het feit dat hun domeinregistratie na verloop van tijd verlengd moet worden. Dat gaat niet altijd automatisch. Er zijn criminelen die zich toeleggen op het kapen van door u vertrouwde domeinnamen. Deze vorm van domein hijacking heeft desastreuze gevolgen, omdat spamfilters de berichten laten passeren en de aanvallers in staat stellen om bedrijfsnetwerken met een malware te infecteren.

LinkedIn fraude

Wat kunnen we nog meer doen: inloggen alleen via 2-stapsverificatie: voor alle toepassingen via één inlogportaal, bijvoorbeeld Office 365; medewerkers wijzen op het phishing-gevaar via social mediakanalen. Sommige mensen schijnen status te ontlenen aan hun aantal volgers. Klakkeloos laten ze contactpersonen toe, ook al kennen ze die niet. Van LinkedIn is bekend dat recruiters zich in deze tijd van personeelstekorten graag via dit medium hun vacatures etaleren. Inmiddels tracht het hackersgilde langs dezelfde weg mensen te lokken naar hun ’foute’ sites. Ook worden malafide links en malware steeds vaker verwerkt in bijlagen zoals een PDF of Word-document. Wees dus selectief bij het toelaten van contactpersonen en wees kritisch bij het openen en bekijken van bijlagen. Phishing is een geraffineerd instrument in een oneindig kat en muis spel.

Bekijk ook de volgende onderwerpen. Deze zijn speciaal voor u geselecteerd: