Phishing is en blijft een van de meest doeltreffende en daardoor vaakst gebruikte cyber-aanvalsmethoden. Zowel voor Microsoft als voor Verizon blijft het fenomeen, waarbij een eenvoudige aanvalsvector gebruikt wordt om je in de luren te leggen en de belangrijkste veiligheidsmechanismen te omzeilen, daarom een groot risico. Maar, phishing vandaag is niet meer wat het gisteren was: hoewel aanvallers nog steeds dezelfde listige emotionele ‘trucs’ gebruiken, veranderen de methodes en doelen.
1. Methodes
Daar waar phishing traditioneel vooral via e-mail gebeurde, zijn nu ook SMS, iMessage en WhatsApp populair. De verklaring is eenvoudig: de meeste telefoons hebben geen enkele filtercapaciteit, waardoor scams en aanvallen alle kans hebben om door te komen. Tekstberichten zijn standaard ook een stuk korter, zonder veel context, zodat het veel moeilijker is te weten wat waarachtig is en wat niet. Werknemers moeten zich er dus bewust van zijn dat elke berichtendienst een bruikbaar toegangspunt voor phishing vormt.
2. Doel
Ook de doelstellingen van aanvallers veranderen. Vroeger probeerden phishers vaak om malware op je pc te installeren, maar dat soort pogingen is steeds makkelijker te detecteren, en dus veranderen cybercriminelen het geweer resoluut van schouder. Momenteel zien we hoofdzakelijk deze drie strategieën:
Wachtwoorden bemachtigen
Hierbij word je ertoe aangezet om op een link te klikken die je naar een website leidt die met je logingegevens aan de haal gaat. Dit kan bijvoorbeeld via valse e-mails in naam van je bank of van je professionele Microsoft 365-account, die je vragen om online in te loggen op een eveneens valse, nagebouwde website of online platform. Als dat gebeurt, kunnen aanvallers met je wachtwoorden ongemerkt heel wat schade aanrichten.
Mensen aan de telefoon krijgen
Een toenemend aantal phishing-aanvallen werkt niet met een link of bijlage, maar vermeldt enkel een telefoonnummer als aanvalspunt in de hoop dat mensen bellen. Zodra mensen dat doen, gebruiken cyberaanvallers verhalen en emotionele trucs om mensen onder druk te zetten en tot concrete acties te bewegen: wachtwoorden delen, geld overmaken, bepaalde aankopen doen, enzovoort). Hoewel dit soort aanvallen niet geautomatiseerd is en dus een stuk meer werk vraagt, zijn ze vaak wel succesvoller en winstgevender: aanvallers slagen erin mensen aanzienlijke sommen te ontfutselen, soms zelfs hun volledige spaarboekje. Hoe zo’n telefoonaanval in z’n werk gaat zie je in dit fantastische filmpje van drie minuten.
Scams
Als laatste zijn er ook nog de scams, waarbij aanvallers zich in een erg kort en onpersoonlijk bericht voordoen als een bekende: je baas, een goede collega of vaste partner of leverancier. Business Email Compromise- (BEC) of CEO Fraud-aanvallen, waarbij iemand van de financiële of boekhoudkundige dienst een misleidende mail krijgt van een hoge leidinggevende met een dringend verzoek tot betaling, zijn hiervan klassieke voorbeelden.
Conclusie? Phishing draait niet langer rond het besmetten van je computer: aanvallers hebben het vooral gemunt op je logingegevens, zodat ze in jouw naam bij je bank of andere diensten kunnen aanmelden, of proberen je via de telefoon of impersonatie tot betalingen of aankopen aan te zetten.
Meest voorkomende phishing-indicatoren
Hoe kun je medewerkers nu zo goed mogelijk wapenen tegen deze nieuwe tactieken? Aanvallers komen steeds met nieuwe tactieken en manieren om je om de tuin te leiden, de ene al spitsvondiger dan de andere, proberen om die allemaal te kennen is dus onbegonnen werk. Nuttiger is om te focussen op de gemeenschappelijke elementen en vaakst terugkerende aanwijzingen, ongeacht het kanaal. Hieronder de factoren die bijna altijd terugkomen, en dus een sterke indicator zijn dat het om phishing gaat:
- Urgentie: berichten die een gevoel van hoogdringendheid oproepen en je zo tot ondoordachte acties proberen overhalen – een mail die zogezegd van de overheid komt bijvoorbeeld, met een melding dat je dringend een openstaande schuld moet vereffenen om problemen te voorkomen;
- Druk: berichten die medewerkers onder druk zetten om bedrijfsbeleid en -procedures te negeren of omzeilen (zoals bijvoorbeeld bij BEC- en CEO-fraude);
- Nieuwsgierigheid: berichten die de nieuwsgierigheid opwekken of te mooi zijn om waar te zijn (bijvoorbeeld over een terugbetaling van de fiscus);
- Toon: berichten die van een collega lijken te komen maar waar de schrijfwijze, toon en handtekening niet kloppen of ongewoon lijken;
- Generieke boodschappen: berichten die van ‘vertrouwde’ organisaties komen maar generieke bewoordingen of aansprekingen als “Beste klant” gebruiken – als een bezorger een pakje voor je heeft zou die je naam moeten kennen;
- Persoonlijk e-mailadres: elke e-mail die afkomstig lijkt te zijn van een legitieme organisatie, leverancier of collega, maar gebruikmaakt van een persoonlijk e-mailadres, bijvoorbeeld @gmail.com.
Opgelet: sommige elementen die vroeger misschien op phishing wezen, zijn vandaag niet meer bruikbaar. Foute spelling of slecht geschreven berichten bijvoorbeeld komen nog zelden voor naarmate aanvallers professioneler te werk gaan. Ook ‘hoveren’, waarbij je met je muis op een link gaat staan zonder te klikken om de volledige url te zien, is niet erg bruikbaar meer wegens moeilijk op een smartphone of tablet, bovendien zijn url’s een stuk complexer en dus moeilijker te ontcijferen geworden.
Dit is een ingezonden bijdrage van Lance Spitzner, Director SANS Security Awareness. Meer info en tips vind je in de OUCH! nieuwsbrief van het bedrijf.