Home Security Spear phishing: zo ontmasker je oplichters

Spear phishing: zo ontmasker je oplichters

260

Phishers worden steeds persoonlijker. Ze doen zich in een e-mailtje niet meer voor als een onbekende medewerker van de bank waar je geen klant van bent. Maar als je beste vriend, collega of direct leidinggevende. Hoe kruipen cybercriminelen in de huid van iemand anders? En wat kun je ertegen doen?

Het fenomeen phishing is al ruim twintig jaar oud. Toch is het nog altijd een beproefde manier om slachtoffers geld, inloggegevens of andere gevoelige informatie afhandig te maken. Sterker nog: het aantal phishingaanvallen neemt nog altijd sterk toe. Zo turfde de Anti-Phishing Working Group (APWG) in 2016 ruim 1,2 miljoen phishingaanvallen. Vergeleken met 2015 een stijging met 65 procent.

Geraffineerd

Om succesvol te blijven, gaan de oplichters steeds geraffineerder te werk. De mailtjes van de geavanceerde phisher hangen niet meer aan elkaar van de taal- en typefouten. Maar zien er in alle opzichten verzorgd uit. Ook beginnen ze niet meer met ‘Beste klant’ of ‘Dear friend’, maar met ‘Beste John’ of ‘Geachte heer Jansen’. Door de persoonlijke benadering is de ontvanger eerder geneigd om op een linkje naar een kwaadaardige website te klikken. Zeker als het mailtje inderdaad afkomstig lijkt te zijn van een collega of je vaste vertrouwenspersoon bij de bank.

Verkleedtrucs

Hoe beter de vermomming van de cybercrimineel, hoe groter de kans dat de vis toehapt. Phishers zetten meerdere technieken in om zich voor te doen als die beste vriend waar je zelfs je inloggegevens mee deelt. Of de CEO waar je liever geen nee tegen zegt:

1. Spoofen van e-mailadressen

Onlangs nog werd duidelijk hoe makkelijk het nabootsen van een e-mailadres kan zijn. Een journalist van onderzoekswebsite Follow the Money slaagde erin om uit naam van onder andere Halbe Zijlstra, Geert Wilders en Alexander Pechtold diverse mails rond te sturen in politiek Den Haag. Dit was mogelijk doordat de mailservers van de Tweede Kamer onvoldoende beveiligd zijn. In dit geval was Sender Policy Framework (SPF) niet geïmplementeerd.

Het spoofen van e-mailadressen is een populaire tactiek onder phishers om vooral grote bedrijven aan te vallen via Business Email Compromise. De aanvaller spooft het e-mail van bijvoorbeeld de CEO. Die vraagt een financieel medewerker per e-mail om even snel de rekening in de bijlage te betalen. Het rekeningnummer waar het geld naartoe moet, is uiteraard van de crimineel.

Business Email Compromise is een snelgroeiend probleem. De FBI schat dat tussen 2013 en 2016 meer dan vijf miljard dollar (meer dan 4,2 miljard euro) op deze manier werd gestolen.

2. Maskeren van url’s

Phishingmailtjes zijn steeds lastiger van legitieme berichten te onderscheiden. Ze lijken vaker van een vertrouwde bron te komen. Om de vermomming compleet te maken, doet de aanvaller er alles aan om ook het linkje in de e-mail er vertrouwd uit te laten zien. Zo’n link kan eruit zien als de legitieme url van een bank of zakenpartner. Met behulp van url-masking wordt het slachtoffer echter ongemerkt naar een andere website geleid.

Op de malafide website neemt de aanvaller het laatste restje argwaan weg. Vaak is zelf het groene slotje aanwezig. Dit moet de bezoeker het gevoel geven dat de verbinding veilig is. Grote kans bovendien dat de aanvaller de trukendoos heeft opengetrokken om het webadres in de url-balk er zo vertrouwd mogelijk uit te laten zien. Zo kan de hacker handig gebruikmaken van Unicode-karakters. Een onderzoeker demonstreerde eerder dit jaar dat het mogelijk is om browsers te foppen met de domeinnaam ‘xn—80ak6aa92e.com’. Onder andere Chrome en Firefox toonden in de url-balk ‘netjes’ apple.com.

3. E-mailberichten klonen

De phisher stuurt vanaf een gespoofed e-mailadres een kopie van een legitieme e-mail die al eens eerder is verstuurd. Zeker voor aanvallers die al het netwerk zijn binnengedrongen en e-mailberichten kunnen onderscheppen, is dit een koud kunstje.

De ontvanger denkt al snel dat het om een update op een eerdere mail gaat. De gekloonde e-mail is echter niet volledig identiek aan het oorspronkelijke bericht. Grote kans dat de aanvaller een kwaadaardige bijlage bij de mail heeft gestopt of dat een link naar een andere website leidt.

Maatregelen tegen spear phishing

De lijst met mogelijke maatregelen tegen spear phishing is lang. Zo zijn in ieder geval deze maatregelen aan te bevelen:

1. Implementeer de internetstandaarden SPF, DKIM, DMARC

Met Sender Policy Framework, DomainKeys Identified Mail en Domain-based Message Authentication, Reporting and Compliance kan een mailserver controleren of de afzender van een e-mail wel is wie hij zegt te zijn. En of hij de rechten heeft om namens het betreffende domein e-mail te versturen.

2. Maak gebruik van two-factor authenticatie

Dit helpt niet direct tegen phishing, maar zorgt er wel voor dat een aanvaller relatief weinig heeft aan onderschepte inloggegevens. Bij two-factor authenticatie is naast een gebruikersnaam en wachtwoord immers nog een ‘tweede factor’ nodig. Zoals een eenmalige code die de gebruiker per sms ontvangt.

3. Investeer in securitybewustzijn

Bij een onverwacht bericht van een onbekende afzender moeten bij de medewerkers direct alle alarmbellen gaan rinkelen. Maar dat geldt eigenlijk ook voor een onverwacht verzoek van zogenaamd de directeur om even snel een aanzienlijk geldbedrag over te maken.

4. Zet zo min mogelijk persoonlijke informatie online

Als een aanvaller niet weet wie de collega’s of vrienden zijn en niet weet aan welk project een potentieel slachtoffer werkt, is het een voor een aanvaller veel lastiger om een gerichte e-mail op te stellen.

5. Zorg voor technische beveiligingsmaatregelen

Een krachtige e-mailbeveiliging vereist een grondige verdediging. Zo is inspectie van inkomende, uitgaande en interne e-mails noodzakelijk om zaken als phishing, schadelijke url’s en kwaadaardige bijlagen op te sporen. En bijvoorbeeld een oplossing voor Data Leakage Prevention helpt het weglekken van gevoelige informatie voorkomen.

Technische maatregelen zijn misschien niet zaligmakend – en zijn weinig effectief zonder aanvullende maatregelen – maar helpen wel bij het ontmaskeren van een wolf in schaapskleren.

Lisette Sens, European Partner Director bij Mimecast

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in