Het belang van phishing en andere aanvalsvectoren daalt, volgens een onderzoek van IBM, maar dat is geen goed nieuws. Hackers kunnen al te vaak gewoon inloggen in accounts met gegevens die ze elders bemachtigden.
Een cybercrimineel kan binnendringen in je bedrijfsnetwerk via een niet gepatchte zeroday-kwetsbaarheid, of als dat niet lukt door een werknemer te misleiden via een uitgekiende phishingcampagne. Wie dat nogal veel werk vindt, kan natuurlijk ook gewoon inloggen met legitieme en al te eenvoudig beschikbare accountgegevens. Dat stelt IBM vast in zijn jaarlijkse X-Force-rapport, waarbij het bedrijf het digitale bedreigingslandschap in kaart brengt.
Snel ingelogd
Inloggen met authentieke accountgegevens staat volgens de bevindingen van IBM voor het eerst op hetzelfde niveau als phishing als aanvalsvector. Initiële toegang tot een systeem wordt in dertig procent van de gevallen bekomen via phishing en in dertig procent van de aanvallen via legitieme accountgegevens. Beide vectoren zijn natuurlijk wel enigszins gelinkt, aangezien phishing vaak als doel heeft om dergelijke legitieme accountgegevens te bemachtigen.
IBM ziet nog dat 29 procent van de aanvallen mogelijk is door de uitbuiting van een bug in een publiek toegankelijke toepassing. Daarna worden de aanvallen meer niche, met negen procent gefaciliteerd door externe diensten en vier procent via verwijderbare media (zoals USB-sticks).
Succesvol ondanks eenvoudige maatregelen
Criminelen hebben terecht opgemerkt dat beveiligingssystemen niet altijd adequaat zijn om legitieme en malafide sessies te onderscheiden, wanneer de juiste gegevens gebruikt worden om in te loggen. De nodige tools daarvoor bestaan wel, maar zijn klaarblijkelijk onvoldoende breed uitgerold. Bovendien zijn inloggegevens massaal beschikbaar via de dark web, waar aanvallers voor een habbekrats een lijst kunnen kopen. Hoewel dergelijke inloggegevens vaak al geruime tijd online staan, en je via Haveibeenpwnd kan checken of er gegevens van jou in criminele milieus circuleren, blijven ze toch vaak ongewijzigd.
Bovendien zijn malafide inlogpogingen met legitieme gegevens relatief eenvoudig te mitigeren. Er zijn technieken om multifactor-authenticatie (MFA) te omzeilen, maar die maken een aanval een stuk complexer. Wie MFA inschakelt, wapent zich op een heel efficiënte manier tegen inlogpogingen van aanvallers.
lees ook
Ik klikte op een phishing-link, wat nu?
AI voor phishing
Het absolute volume van phishing-aanvallen is in 2023 in vergelijking met 2022 met 44 procent gedaald, becijfert IBM. Dat komt voor een stuk omwille van de betere technieken die organisaties omarmen om zich tegen dergelijke aanvallen te wapenen. Een gerichte phishing-email is een arbeidsintensief instrument. IBM verwacht wel dat phishing opnieuw aan belang gaat winnen wanneer criminelen AI omarmen om de aanvallen te ondersteunen.