Een e-mail met “valse klachten van klanten” maar bevat in feite een link naar een kwaadwillende website. Het is een recent voorbeeld van de toenemende vindingrijkheid van campagnes voor speervissen.
Paul Duklin beschrijft precies hoe de campagne werkt Sophos op de IT-beveiligingsblog Naakte beveiliging. De phishing-e-mails lijken afkomstig te zijn van een directeur van het bedrijf van het slachtoffer en vragen de ontvanger naar de klacht van een klant die ze naar verluidt hebben ontvangen. De link in de e-mail gaat niet naar de beloofde pdf waarin de klacht van de werknemer wordt beschreven, maar leidt rechtstreeks naar een pagina waar het slachtoffer wordt misleid om malware te downloaden.
(Volgens de blogpost) Het is vooral gericht op junior en onervaren medewerkers. Mensen die vaak werkzaam zijn in bijvoorbeeld de eerstelijnsondersteuning en vaak worden blootgesteld aan bellers en dus ook aan klachten. Dit maakt ze aantrekkelijke doelwitten voor dergelijke speeraanvallen. Een bijkomend probleem is dat deze ‘ondersteunende’ medewerkers zich alleen in uiterste nood melden aan het management. In dat geval willen ze voor hun eigen veiligheid het ongeval vastleggen.
Hoe ziet de infrastructuur voor speerviscampagnes eruit?
- Selecteer e-mailadressen
Er zijn twee manieren waarop hackers phishing-campagnes verzenden. De eerste is de methode van sproeien en bidden. Daarbij verzamelen ze zoveel mogelijk zakelijke e-mailadressen en sturen ze een spammail. De tweede benadering is gericht op de personen met toegang tot de gegevens die het doelwit zijn van de aanvaller. Dit is de klassieke onderwatervisserijtechniek.
De phishing-e-mail moet eerst de antivirussoftware omzeilen die door het doelslachtoffer wordt gebruikt. Een snelle zoektocht op IT-jobsites naar vacatures voor open systeembeheerders in een doelorganisatie levert een verbazingwekkende hoeveelheid nuttige informatie op voor aanvallers. Zodra de antivirus bekend is, wordt deze op een testsysteem geïnstalleerd om ervoor te zorgen dat de e-mail nog steeds vrij verkeer heeft.
- Open de weg naar buiten
Aanvallers kunnen alleen gevoelige gegevens van een bedrijf stelen als de informatie die bij de aanval is geleverd ook daadwerkelijk kan worden verzonden. Hiervoor moeten de juiste poorten open staan.
Medewerkers die geen hoogwaardige security awareness training hebben gehad, zijn een gemakkelijk doelwit voor speeroplichters. De aanvaller onderzoekt zijn doelen, komt erachter met wie ze regelmatig communiceren en stuurt die mensen een gepersonaliseerde e-mail om ze op een link te laten klikken of een bijlage te openen.
- Frauduleuze e-mails verzenden
De meeste aanvallers kopen een geldige domeinnaam, bijvoorbeeld van de GoDaddy-webhost, en gebruiken de gratis e-mailserver die bij het domein wordt geleverd. Het doel is nu om alle spam-e-mails die met een e-mailclient of script zijn verzonden, bij de slachtoffers te bezorgen, zodat het eigenlijke doel – gegevensdiefstal – met succes kan worden uitgevoerd.
- Het doel van de spear phishing-campagne
Als een potentieel slachtoffer op de kwaadaardige link klikt, moet de aanvaller wachten tot de toetsenbordgegevens naar de server zijn verzonden (wat meestal een keer per uur gebeurt) en zoeken naar de vereiste inloggegevens. Zodra de aanvaller het heeft, probeert hij in te breken op het werkstation, alle hashes van netwerkwachtwoorden te lezen, ze te kraken en uiteindelijk als beheerder toegang te krijgen tot het hele bedrijfsnetwerk.
Veiligheidsbewustzijn
“Het doel van de training is het vergroten van het bewustzijn van risico’s en het opsporen van aanvallen”
De meest effectieve maatregel om dergelijke aanvallen te voorkomen, is het geven en vooral opvolgen van een uitgebreide security awareness training. Er is geprobeerd de waakzaamheid van werknemers te testen door frauduleuze e-mails te simuleren. Het doel van deze oefeningen is het bewustzijn van de risico’s te vergroten en dergelijke aanvallen op te sporen. Eerst worden zogenaamde kerntests uitgevoerd, waarmee gebruikers kunnen worden geïdentificeerd die kwetsbaar zijn voor phishing. Daarnaast helpt het programma je bij het bepalen van de soorten aanvallen die je in je training moet gebruiken om trainingssucces goed te meten.
Het trainen van gebruikers met interactieve en boeiende materialen op aanvraag is essentieel, zodat de boodschap echt wordt begrepen en niet oppervlakkig en snel wordt behandeld. Bovendien moet de stage maandelijks worden herhaald, op een platform worden opgeslagen en geanalyseerd om de inhoud en het toekomstige leerproces te verdiepen.
Training kost tijd en energie, maar oefening en cijfers laten zien dat als je het goed doet, het geweldige resultaten zal opleveren.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”