Home Security Spear phishing en social engineering: grootste bedreiging voor bedrijven

Spear phishing en social engineering: grootste bedreiging voor bedrijven

93

Ik heb het op deze plaats al vaker gehad over de gehaaidheid van phishers en de onweerstaanbaarheid van social engineering. Maar ik had het tot nu toe vooral over niet-technische consumenten die hiermee te maken krijgen en er met open ogen intuinen. Gelukkig zijn er inmiddels meerdere invloedrijke partijen die mijn zorgen op dit vlak delen en flink investeren in het vergroten van het bewustzijn. Zo zijn er dagelijks spotjes op TV te zien die mensen waarschuwen voor lieden die inloggegevens van het internetbankieren proberen te ontfutselen door middel van phishing. Daarnaast besteden consumentenprogramma’s als Kassa, Radar en Opgelicht!? regelmatig aandacht aan fraudegevallen waarbij gebruik is gemaakt van (een combinatie van) phishing en social engineering. Een gevolg van de toegenomen awareness op dit vlak is dat phishing behoorlijk sterk wordt geassocieerd met internetbankieren (en dan specifiek het internetbankieren dat privé wordt gedaan).

Mijn gevoel is echter dat door de toegenomen awareness en de sterke associatie van fraude met het privé-internetbankieren de blinde vlek voor phishing en social engineering in een andere context juist groter is geworden. Mensen verwachten niet dat zij op het werk ook phishingmails kunnen ontvangen. Waarschijnlijk zullen zij, ook op het werk, wel door een phishingmail over ‘controle van uw beveiliging van internetbankieren’ heen kunnen kijken. Maar een (vervalst) connectieverzoek op LinkedIn? Of een mail van een daadwerkelijke leverancier van de werkgever met een attachment waarin de ‘veranderde voorwaarden’ staan? Of een melding dat er een pakket bezorgd zal worden en ‘als u op deze link klikt, kunt u zien hoe laat de bezorging zal plaatsvinden’? Dit soort phishing (ook wel spear phishing genoemd als het om een zeer gerichte aanval gaat) en social engineering is  veel lastiger om te doorzien, vooral in een drukke werkcontext. Recent onderzoek toonde aan dat op het werk ruim 80% van de mailontvangers niet in staat is om phishing en social engineering volledig te pareren. Dit betekent dat het voor een aanvaller niet erg moeilijk is om aan inloggegevens van een zakelijk account te komen of om malware of spyware op een systeem te krijgen met behulp van medewerkers van het bedrijf dat het doelwit is van een aanval.

Nu zijn er natuurlijk technische mogelijkheden om de schade zoveel mogelijk te beperken. Een goede http-scan herkent phishingsites snel genoeg om de argeloze bezoeker ervoor te behoeden en een goede malwarescanner herkent minimaal 99% van de malware of spyware voordat deze zich volledig kan installeren op het netwerk. Bovendien kan een succesvol patchmanagement zwakke plekken in software zo snel mogelijk dichten, waarmee 90% van de succesvolle malware-aanvallen voor 100% de pas kan worden afgesneden. Maar geen enkele technische oplossing kan 100% beveiliging bieden. De menselijke factor is precies die factor die de ‘bad guys’ kan helpen om misbruik te maken van die theoretische 1% die technisch gezien niet af te dichten valt. Daarmee is social engineering en spear phishing de allergrootste bedreiging voor de beveiliging van de IT-infrastructuur van bedrijven. En de enige remedie is awareness. Tijdens de campagneweken van Alert Online (27 oktober t/m 7 november) werken overheid, het bedrijfsleven en de  publieke sector samen om de awareness bij werknemers te vergroten. Ik raad u aan om het hele programma te bekijken en zoveel mogelijk openbare sessies, workshops en seminars bij te wonen om meer over dit onderwerp te leren en handvatten aangereikt te krijgen waarmee u uw eigen collega’s extra kennis kunt bijbrengen.

Jan van Haver, country manager Benelux & UK bij G Data Software

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in