Phishing via mail blijft de belangrijkste vector voor hackers die ergens binnen willen breken. Met nieuwe technieken verschalken ze zowel klassieke verdedigingssystemen als mensen.
Op een malafide link is snel geklikt. Voor je het weet, zijn cruciale bedrijfsdata gestolen of versleuteld. Niet gepatchte systemen of ongekende zerodays-lekken zijn handig voor hackers om zich een weg naar binnen banen in de IT-infrastructuur van bedrijven, toch blijft de voornaamste aanvalsvector een stuk minder spectaculair: phishing.
Verlengd wegens aanhoudend succes
Phishingcampagnes blijven succesvol omdat aanvallers alsmaar betere technieken ontwikkelen. Zij moeten nochtans twee voorname verdedigingslagen verschalken: de technologische beveiligingsoplossingen die e-mail moeten beschermen, en de kritische werknemer zelf, die overtuigd moet worden om ergens op te klikken.
Complementaire onderzoeken van beveiligingsbedrijven Cloudflare en Barracuda illustreren hoe criminelen zo succesvol zijn en blijven, hoewel de ernst van de dreiging via mail al jaren gekend is.
Eerst en vooral valt het op dat klassieke links in een mail de voorkeurstactiek zijn voor aanvallers. Cloudflare keek naar 13 miljard mails verzonden tussen mei 2022 en mei 2023 en stelde vast dat 35,6 procent van de aanvallen bestaat uit een mail met een link daarin.
Mailbeveiliging verschalkt
In 89 procent van de gevallen houdt klassieke mail-authenticatie dergelijke e-mails niet tegen. Ze verschalken SPF-, DKIM- en DMARC-checks. Die afkortingen staan voor methodes waarmee mails en hun afzenders in theorie geverifieerd worden. In de praktijk blijken ze niet adequaat.
In 89 procent van de gevallen houdt klassieke mail-authenticatie malafide e-mails niet tegen.
Het is moeilijker om een kwaadaardige link te verstoppen in een mail. Zo’n link zal een beveiligingsoplossing in principe detecteren en blokkeren. Dat lossen hackers op door een mail te sturen op zondagavond wanneer niemand werkt. Om dat moment verwijst de link in de mail naar een domein waarom nog geen malafide activiteit staat. De mail geraakt zo door aanwezige filters.
Pas op maandagochtend veranderen de hackers de inhoud van de pagina waar de link naar verwijst. Wanneer werknemers de mail effectief lezen, kunnen ze doorklikken naar een pagina die plots wél gevaarlijk is.
We schreven eerder al dat niet alleen links populair zijn, maar ook bestanden met daarin malafide code. Nu Office macro’s standaard blokkeert, verliezen klassieke Office-documenten hun ooit immense belang voor zo’n aanvallen. Helaas hebben aanvallers tal van andere opties. Een populaire nieuwkomer is het OneNote-notitieblok. Zo’n notitieblokken laten je toe om diverse zaken toe te voegen, inclusief vermomde kwaadaardige code.
Iedereen Microsoft
Wanneer een mail in de digitale brievenbus zit, kan de tweede fase van de aanval beginnen. Nu moeten hackers een werknemer overtuigen om de mail serieus te nemen. Daarvoor hebben ze twee methodes ter beschikking: nabootsing van een vertrouwde bron, en meer en meer ook AI.
Aanvallers proberen zich erg vaak als een betrouwbaar bedrijf voor te doen. Criminelen kleedden hun mails afgelopen jaar aan zodat die lijken op exemplaren afkomstig van meer dan duizend verschillende legitieme organisaties. Voor de overgrote meerderheid van de phishingmails gaan hackers de mosterd echter niet te ver halen. In 52 procent van de aanvallen wordt één van twintig populaire bedrijven nagebootst.
lees ook
Cybercriminelen doen het liefst alsof ze Microsoft zijn
De trouwe lezer weet wie het populairste slachtoffer is: Cloudflare constateert als net Check Point eerder deze maand dat aanvallers het liefst doen alsof ze Microsoft zijn. Verder verschilt de top twintig een beetje, maar het zal je niet verbazen dat ook Google, Salesforce, Apple, MasterCard, Facebook en Instagram hoog scoren.
Specifiek in de SaaS-wereld merkt Cloudflare nog op dat naast Salesforce ook Box, Zoom, 1Password, Workday, ServiceNow en Netsuite populaire verkleedthema’s zijn voor phishingcampagnes. Dat zowat het ganse portfolio van populaire en minder populaire sociale mediadiensten misbruikt wordt, zal niemand verbazen.
Misleiden met AI
Barracuda Networks merkt intussen op dat criminelen AI inzetten om algemenere phishingcampagnes een meer persoonlijke tint te geven. ChatGPT is bijvoorbeeld een handige tool om mails van tekst te voorzien in het Nederlands (of een andere taal) zonder schrijffouten of vreemde zinsconstructies.
Volgens de beveiligingsspecialist gebruiken aanvallers ook AI om sociale mediakanalen van doelwitten te scannen en op basis daarvan relevante mails samen te stellen. Ook die aanpak is niet nieuw: publiek beschikbare gegevens op het internet zijn een dankbare bron voor hackers die een gerichte phishingmail willen opstellen. AI maakt het eenvoudiger om zo’n aanvallen op grotere schaal toe te passen. Deze SaaS-merken worden het vaakst geïmiteerd:
- Salesforce
- Notion.so
- Box
- 1Password
- Zoom
- Rapid7
- Marketo
- ServiceNow
- NetSuite
- Workday
BEC
In meer gerichte maar ook gevaarlijkere aanvallen doen hackers zich niet voor als bedrijven maar als mensen. Daarbij informeren ze zich en proberen ze legitieme conversaties te voeren om iets gedaan te krijgen. Dat kan bijvoorbeeld wanneer een hacker zich eerder toegang heeft verworven tot de mailbox van een collega of zakenpartner.
Zogenaamde Business Email Compromise (BEC)-aanvallen zijn conceptueel erg eenvoudig, maar heel gevaarlijk. Stel je voor dat een aanvaller zich toegang heeft verschaft tot een mailadres bij een leverancier. Vanuit dat legitieme domein krijgt je boekhouddepartement nu een mail die er heel betrouwbaar uitziet, met verwijzingen naar eerdere conversaties. Daarin staat verder de vraag om een rekeningnummer aan te passen voor toekomstige betalingen. Trapt de ontvanger daar in, dan kan er heel wat geld naar een malafide rekening gaan voordat de alarmen afgaan.
Het gevaar is niet te onderschatten. Vorig jaar was ransomware volgens Cloudflare goed voor 34,3 miljoen dollar aan geleden schade afkomstig van 2.385 klachten het afgelopen jaar. Voor BEC ging het om 21.832 klachten goed voor 2,7 miljard dollar aan verlies.
Kan je iets doen?
Aanvallers kunnen klassieke email-verdediging dus vrij eenvoudig verschalken, slagen erin om malafide links en documenten in mails te verwerken, doen zich voor als herkenbare bedrijven via professioneel ogende mails en nemen zelfs de mailboxen van collega’s of zakenpartners over. Phishing is overal en heeft nog maar weinig met Nigeriaanse prinsen te maken. Ben je een vogel voor de kat?
Dat valt wel mee, al volstaat het niet om een nieuwe technologische beveiligingsoplossing te kopen en daarmee het probleem als opgelost af te vinken.
lees ook
De 5 fases van een cyberaanval: wanneer kan je nog tussenkomen en wanneer is het te laat?
Zorg eerst en vooral voor een moderne beveiliging binnen je bedrijf. Een firewall als buitenmuur, met een volledig vertrouwde omgeving daarbinnen, werkt niet meer. Een aanvaller zal vroeg of laat binnen geraken, dus volg een moderne beveiligingsstrategie. Zero trust is een goed idee, multifactorauthenticatie (MFA) is een must.
Verder denk je best goed na over beleid en rechten: hoe minder mensen toegang hebben tot de grote servermap met alle bedrijfsgeheimen, hoe minder snel die op straat ligt.
Specifiek voor phishing kan je wel één en ander doen om malafide mails buiten te houden. Zorg ervoor dat werknemers niet zomaar alle links kunnen openen en monitor mailboxen op verdacht gedrag. We zien steeds meer oplossingen waarbij bijlages en links uit mails geïsoleerd van het besturingssysteem worden geopend. Dat verkleint de kans dat een malware-aanval succesvol is. Vertrouw hoe dan ook niet blind op je emailbeveiliging.
Kwestie van cultuur
Eén van de belangrijkste dingen die je kan doen, is inzetten op cultuur. Via bewustwording moet het hele bedrijf een beetje paranoïde worden wat mails betreft, terwijl er een omgeving ontstaat waarin niemand met de vinger wordt gewezen en mensen zich comfortabel voelen om vragen te stellen. Gesimuleerde phishingcampagnes helpen om zo’n bewustwording en cultuur te creëren, maar trainingen zeker ook.
Een accountingdepartement vol getalenteerde boekhouders weet misschien niet dat criminelen vandaag graag inbreken bij andere bedrijven om zo geld te stelen. Het is aan jou om dat duidelijk te maken. Phishing is een blijvertje, dus denk na over een beschermingsstrategie.