Phishing is momenteel de grootste cyberdreiging voor organisaties. Phishing gebeurt inmiddels via alle vormen van digitale communicatie, van zakelijke en persoonlijke e-mail tot sms, sociale media en zelfs advertenties. Social engineering, dat ooit vooral werd gebruikt bij zakelijke e-mail, is uitgegroeid tot een van de belangrijkste securitydreigingen waar organisaties mee geconfronteerd worden, op alle platforms, inclusief desktop en mobiel. Het is voor een aanvaller nu eenmaal makkelijker om een persoon te misleiden en via een phishing-aanval gegevens buit te maken, dan via een – vaak robuust – besturingssysteem van een device. In deze tijd waarin organisaties meer en meer gebruikmaken van de cloud zijn logingegevens van gebruikers zelfs veel waardevoller voor een aanvaller, omdat ze daarmee toegang krijgen tot gevoelige gegevens die buiten het device worden opgeslagen en beheerd in SaaS-applicaties, online bestandslocaties en datacenters.
Slecht geformuleerde phishing mails zijn verleden tijd
Phishing aanvallen zijn veel geraffineerder geworden dan de slecht geformuleerde e-mails met ‘niet-geclaimde loterijprijzen’ en dergelijke uit het verleden. Ze zijn niet alleen persoonlijker en overtuigender, ze bereiken gebruikers op meer plaatsen dan ooit tevoren. Ook richten ze zich meer en meer op het buitmaken van zakelijke logingegevens. Een belangrijke reden hiervoor is de groeiende adoptie van mobiele devices in het bedrijfsleven. Dat heeft ervoor gezorgd dat cybercriminelen zich met hun aanvallen specifiek richten op mobiele platforms. Mobiele devices hebben kleinere schermen en beschikken over allerlei makkelijke visuele buttons. Daarmee is het identificeren van potentieel verdachte URL’s of kwaadaardige afzenders veel moeilijker dan op het grotere scherm van een desktop of notebook computer. Daarnaast zijn gebruikers vaak eerder afgeleid en kwetsbaarder op mobiele devices, vanwege het mobiele karakter. Aanvallers creëren ook steeds overtuigendere phishing-sites die zich specifiek richten op mobiele gebruikers. En dat heeft succes, want maar liefst 1 op de 10 mobiele gebruikers valt voor een phishing-aanval. Dit betekent dat ze niet alleen phishing berichten ontvangen, maar daar ook daadwerkelijk op klikken.
Volgens een recent rapport van Jamf is in de afgelopen 12 maanden het aantal mobiele gebruikers dat het slachtoffer is geworden van phishing met 160 procent toegenomen. Dit is niet het gevolg van het aantal online aanvallen, maar eerder van het feit dat mensen eerder vallen voor mobiele phishing. Aanvallers hebben hun methodes ook verder verbeterd. Ze gebruiken nu bijvoorbeeld vertrouwde apps om ze af te leveren, ze registreren overtuigende domeinnamen en imiteren bekende merken om meer gebruikers te bereiken.
Phishing via allerlei apps
Voorheen was phishing vooral een zakelijk e-mailprobleem. De oplossingen om phishing tegen te gaan, draaiden dan ook vooral op e-mail security appliances, in plaats van op de mobiele devices zelf. Maar naarmate mensen meer overstapten op een mobiel device, zijn ze steeds meer apps gaan gebruiken die niet door de security appliance beschermd worden en bevonden ze zich steeds vaker buiten de beveiligde netwerkomgeving van de organisatie, waardoor ze niet beschermd werden door de security oplossingen die voor die omgeving zijn ontwikkeld.
De apparatuur van eindgebruikers is steeds meer een compleet communicatieplatform waarop veel messaging- en sociale-media-apps draaien waarmee direct binnen de app berichten uitgewisseld worden. Dit soort messaging-apps wordt vaak over het hoofd gezien in de beveiliging van de organisatie en zijn daarom aantrekkelijk voor aanvallers. Door zich te meer te richten mobiele devices, konden criminelen voor phishing overstappen van e-mail naar een groot aantal nieuwe distributiekanalen zoals SMS, WhatsApp, Messenger, Instagram en LinkedIn. Allemaal diensten die gebruikers vertrouwen.
Het ‘hangslotje’ wordt gebruikt om gebruikers verder te misleiden
Dubbelchecken van de adresbalk in de browser op een ‘hangslotje’ was vroeger een makkelijke manier om een potentieel kwaadaardig domein te identificeren. Maar inmiddels is er een groot aantal gratis online diensten online waarmee aanvallers snel en gemakkelijk een SSL-certificering kunnen krijgen voor phishing sites. Dit is effectief omdat veel gebruikers nog denken dat het hangslotsymbool bij een URL een betrouwbare indicatie is dat het om een veilige website gaat. Inmiddels draait 93% van de phishing domeinen op een ‘beveiligde’ website met het bekende hangslotje in de URL-balk.
Imitatie van bekende merknamen voor phishing
Een andere trend is dat aanvallers steeds vaker misbruik maken van bekende merknamen om gebruikers zo ver te krijgen om op een link te klikken. Mensen zullen eerder op een phishing-link klikken als ze denken dat die link afkomstig is van een site waar ze daadwerkelijk een account hebben. Apple (43%), PayPal (27%) en Amazon (9%) zijn de merknamen die in 2021 het meest zijn ingezet bij phishing-aanvallen. Ook richten aanvallers zich steeds vaker op zakelijke applicaties, zoals Office 365 en de G Suite-apps van Google. Eén foutje van een werknemer die een slimme phishing-aanval ontvangt (bijvoorbeeld met het verzoek om zijn inloggegevens voor Google Drive te bevestigen), kan een aanvaller dan toegang verschaffen tot waardevolle bedrijfsinformatie op deze populaire cloud platforms.
Om phishing aanvallen met succes af te slaan, zou de security bij organisaties moeten bestaan uit meerdere lagen. Niet alleen in de cloud en het bedrijfsnetwerk, maar ook op mobiele devices. Juist omdat dat steeds vaker BYOD-devices zijn, moeten organisaties erover nadenken hoe ze die goed kunnen beveiligen. Een phishing-oplossing die niet alleen e-mail, maar alle communicatie-apps beveiligt, is inmiddels essentieel om phishing-aanvallen tegen te houden.
Stijn Brattinga, Apple Systems Engineer, Jamf Benelux
