Notitieblokken in OneNote en pdf’s: zo wurmen hackers zich langs traditionele beveiliging

Email-beveiliging houdt niet alle bedreigingen tegen. Ook malafide websites blijven een gevaar. Hackers worden steeds creatiever en omarmen nu OneNote en pdf’s als aanvalsvector.

Hoe meer beveiliging, hoe beter; zeker wanneer het over endpoints gaat. De laptop van een werknemer is het zwaartepunt waarop data, cloudtoepassingen, on-premises-apps, gegevens op de server, mail en meer samenkomen. Dat maakt de toestellen een sappige prooi voor criminelen.

HP integreert met Wolf Security verschillende extra beveiligingsmechanismen die traditionele oplossingen zoals antivirus of email gateway-beveiliging complementeren. Sure Click springt daarbij in het oog. Dat is een oplossing die gebruik maakt van virtualisatie met micro-VM’s om risicovolle bestanden in een soort geïsoleerde container te openen. Malware die in die container ontploft, kan de rest van het systeem niet schaden. Dat biedt een extra vorm van bescherming voor wie per ongeluk een malafide bijlage opent, maar zorgt ook voor een schat aan informatie over bedreigingen die traditionele beschermingsmechanismen kunnen verschalken.

Voorbij de gateway

Uit HP’s Wolf Security Threat Insights-rapport van het eerste kwartaal van 2023 blijkt dat dergelijke lenige malware toch nog talrijk is. Volgens de cijfers van de fabrikant raakte veertien procent van de bedreigingen per mail voorbij de gebruikte email gateway-beveiligingsoplossing. Dat is een procentpunt meer dan een kwartaal eerder. Om vervolgens schade aan te richten, moeten aanvallers creatief zijn.

Wat is Wolf Security en waarom staat het op nieuwe HP-computers?

Macro’s zijn geen handige optie meer op malware te injecteren op een systeem, dus gooien criminelen het over een andere boeg. Notitieblokken van OneNote zijn populair. In OneNote kan je immers complexe vormen van content insluiten en dus ook malware. Hackers vermommen een notitieblok als informatie die afkomstig is van het bedrijf, en verleiden gebruikers om op een element in het notitieblok te dubbelklikken, bijvoorbeeld onder het voorwendsel dat zo’n klik nodig is om data via de cloud in te laden.

Isolatie

Wie op zoiets klikt, activeert misschien een achterpoort of zet de deur open voor ransomware. Micro-virtualisatie zorgt ervoor dat de besmetting beperkt blijft tot de geïsoleerde wegwerpomgeving waarin OneNote kan draaien. HP verwacht dat OneNote-notitieblokken een populaire vector zullen blijven. Beheerders stellen idealiter in dat zo’n notitieblokken, ontvangen per mail, standaard als onbetrouwbaar worden beschouwd.

Malware geopend op je laptop? Geen (groot) probleem

Hackers gebruiken ook andere technieken om gevaarlijke inhoud voorbij traditionele beveiliging te smokkelen. Pdf’s blijken een populaire container, goed voor vier procent van de aanvallen. Ook malware verstoppen in archiefbestanden, blijft een populaire techniek. HP ziet een stijging van 53 procent in het gebruik van gzip (.gz)-archieven. Die zijn goed voor ongeveer vijf procent van de gedetecteerde aanvallen. Rar staat in voor zeven procent, zip voor veertien procent.

Complexere methodes

Verder gaan aanvallers steeds agressiever tewerk, bijvoorbeeld door aanvalscampagnes uit te sturen via een eerder gehackt account dat tot het bedrijf behoort. Zo komen phishingmails binnen via een vertrouwd domein wat een heleboel restricties met het oog op veiligheid opheft.

HP merkt op dat 80 procent van de aanvallen die het ziet, binnenkomen via e-mail. Met dertien procent is de webbrowser toch ook nog een populaire vector. Daar proberen criminelen vooral om gebruikers te overtuigen op een foutieve link te klikken. Dat kan bijvoorbeeld door een webpagina na te maken en die te promoten in Google. Zo staat de malafide pagina bovenaan bij een zoekresultaat en kan een slachtoffer zich laten vangen.

Meer is beter

De cijfers tonen aan dat geen enkele beveiligingsmethode op z’n eentje waterdicht is. Extra beveiliging op het endpoint, kan helpen om erger te voorkomen wanneer malware toch binnenglipt. Criminelen worden steeds creatiever met hun phishingmails en zelfs na uitgebreide training is de kans groot dat er af en toe wel eens één werknemer zich laat vangen. Isolatie in een soort sandbox-omgeving biedt een welkom extra vangnet voor die scenario’s.

Dit artikel is onderdeel van een reeks over de rol van HP in laptopbeveiliging. Het redactionele stuk kwam tot stand met medewerking van HP. Klik hier voor meer info, of hier als je HP wil contacteren rond deze oplossingen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.