./BLOG

Foto bij het blog

Phishing; de kwetsbaarheid van de mens

21:17 uur @ 12-05-2019 - directe link - Tags: Awareness, Mail, Phishing

Phishing is al sinds jaar en dag een succesvolle manier om geld te verdienen of om schade aan te richten. In de jaren '80 en '90 werd dan gedaan met onder andere spookfacturen per post, de laatste jaren gebeurt dat de hele dag door per e-mail.

Doel van phishing

Doorgaans is de bedoeling van phishing geld verdienen. Bij ongerichte aanvallen gaat dat vaak door:

  • jouw bankgegevens te stelen en er vandoor te gaan met (een deel van) jouw geld;
  • mining software bij jou te installeren en de computerkracht te gebruiken voor het mining van digitale munten (bijv. Bitcoin);
  • jouw bestanden te versleutelen (cryptoware) en tegen betaling dit weer ongedaan te laten maken (wat trouwens niet gegarandeerd is);
  • jou aan te zetten tot het zelf overmaken van geld naar een andere rekening, veelal met een vreemde smoes over dat je een grote prijs hebt gewoon of een wildvreemde die jouw hulp nodig heeft (419-scam);

Bij gerichte aanvallen maakt men naast de bovenstaande manieren, ook gebruik van o.a.:

  • CEO-fraude: het aanzetten van hooggeplaatste medewerkers tot het uitvoeren van een bepaalde actie, vaak door het zich voordoen als een andere hooggeplaatste medewerkers;
  • malware aanbieden per mail om persistente toegang te verkrijgen tot een bedrijfslaptop en/of -netwerk. Deze e-mail, het initiële bestand en de daadwerkelijke malware kunnen gepersonaliseerd zijn en/of aangepast zijn aan de huisstijlen van de persoon of het bedrijf dat aangevallen wordt;
  • credential stealing; het proberen te verkrijgen van inloggegevens van medewerkers om vervolgens (op een later moment) toegang te krijgen tot bepaalde applicaties en/of het bedrijfsnetwerk van waar de betreffende medewerker werkt.

Voorkomen is niet 100% mogelijk?

100% beschermen en voorkomen is, mijns inziens, niet mogelijk. Maar wat kan je doen om de kans op een succesvolle aanval zo goed mogelijk te voorkomen en de impact van een succesvolle aanval zo goed mogelijk te beperken?

Technische maatregelen

Technisch kan er het een en ander aan beschermingsmaatregelen getroffen worden, denk hierbij aan:

  • een virusscanner of Endpoint Detection and Response (EDR) applicatie op de laptop*;
  • een virusscanner op de mailserver (bij voorkeur van een ander merk dan op de laptops aanwezig is);
  • zorg ervoor dat alle software op de computer altijd up-to-date is;
  • verwijder zoveel mogelijk software van de laptop die niet noodzakelijk is, ook ondersteunende software die je niet nodig hebt, bijvoorbeeld: als er geen Java noodzakelijk is voor een bepaalde applicatie, de-installeer deze dan;
  • filters op de e-mailservers of op de e-mailcliënt waardoor malafide linkjes verwijderd worden;
  • zorg ervoor dat je alle accounts beveiligt met two factor authentication (2FA); daarmee verplicht je de gebruiker bij het inloggen niet alleen met een gebruikersnaam en wachtwoord in te loggen, maar ook met een unieke pincode die je verkrijgt via bij voorkeur een zogenoemde Authenticator (een One Time Password (OTP) applicatie) of per SMS / telefoon (bij voorkeur niet, behalve als het gebruik van een Authenticator geen optie is).

Mitigeren van menselijke falen

Naast de technische maatregelen, die echt niet mogen ontbreken, hebben we nog een andere kwetsbaarheid. Dat is namelijk: de mens. De mens is in staat om fouten te maken, vaak handelend te goeder trouw of door het missen van kennis.

Maar wat kan je dan wel doen om de mens weerbaarder te maken? Hieronder een aantal suggesties:

  • als je een mail niet verwacht, wees dan extra alert of deze mail te vertrouwen is of niet;
  • als er een link in de mail staat, ga er dan met de muiscursor opstaan en kijk welke link er verschijnt (direct bij de muiscursor of anders links of rechts onderin het scherm);
  • als een link niet verwijst naar de (echte) website van het bedrijf in kwestie, wees dan extra alert;
  • de afzender van een e-mail is eenvoudig te vervalsen; als je twijfelt over een ontvangen e-mail neem dan telefonisch of via de e-mail contact op met de afzender en gebruik hiervoor de contactgegevens die je zelf hebt;
  • mocht je dan toch geklikt hebben op een link: voer dan nooit jouw inloggegevens en/of persoonlijke gegevens en/of betaalgegevens in naar aanleiding van een e-mail die je spontaan hebt ontvangen;
  • mocht je een mail ontvangen met een bijlage en je verwacht deze mail niet, open dan de bijlage überhaupt niet; mocht je de mail wel verwachten en twijfel je? Neem dan contact op met de verzender en gebruik hiervoor de contactgegevens die al bij jou bekend zijn;
  • oefen periodiek en structureel op het herkennen van phishing (phishing-test en awareness game).

Mocht je naar aanleiding van dit blog vragen hebben of wil je reageren? Neem dan gerust contact op of reageer op de gekoppelde Twitter-post.

Blijf alert, denk na en wees veilig. ./Barry


* lees: laptop, desktop, tablet, smartphone

Linktips

Een aantal Authenticator apps ter inspiratie: Authy (for Android), FreeOTP (for Android), Google Authenticator (for Android) en Microsoft Authenticator (for Android). Implementatie hiervan is terug te vinden in de diverse handleidingen.