Phishing: oude trucs, nieuwe methoden

Door Lance Spitzner, Director SANS Security Awareness

Phishing is en blijft een van de meest doeltreffende en daardoor vaakst gebruikte cyber-aanvalsmethoden. Zowel voor Microsoft als voor Verizon blijft het fenomeen, waarbij een eenvoudige aanvalsvector gebruikt wordt om je in de luren te leggen en de belangrijkste veiligheidsmechanismen te omzeilen, daarom een groot risico. Maar, phishing vandaag is niet meer wat het gisteren was: hoewel aanvallers nog steeds dezelfde listige emotionele ‘trucs’ gebruiken, veranderen de methodes en doelen.

Lance Spitzner, Director SANS Security Awareness
Lance Spitzner, Director SANS Security Awareness

1. Methodes

Daar waar phishing traditioneel vooral via e-mail gebeurde, zijn nu ook SMS, iMessage en WhatsApp populair. De verklaring is eenvoudig: de meeste telefoons hebben geen enkele filtercapaciteit, waardoor scams en aanvallen alle kans hebben om door te komen. Tekstberichten zijn standaard ook een stuk korter, zonder veel context, zodat het veel moeilijker is te weten wat waarachtig is en wat niet. Werknemers moeten zich er dus bewust van zijn dat elke berichtendienst een bruikbaar toegangspunt voor phishing vormt.

 

2. Doel

Ook de doelstellingen van aanvallers veranderen. Vroeger probeerden phishers vaak om malware op je pc te installeren, maar dat soort pogingen is steeds makkelijker te detecteren, en dus veranderen cybercriminelen het geweer resoluut van schouder. Momenteel zien we hoofdzakelijk deze drie strategieën:

a. Wachtwoorden bemachtigen

Hierbij word je ertoe aangezet om op een link te klikken die je naar een website leidt die met je logingegevens aan de haal gaat. Dit kan bijvoorbeeld via valse e-mails in naam van je bank of van je professionele Microsoft 365-account, die je vragen om online in te loggen op een eveneens valse, nagebouwde website of online platform. Als dat gebeurt, kunnen aanvallers met je wachtwoorden ongemerkt heel wat schade aanrichten.

b. Mensen aan de telefoon krijgen

Een toenemend aantal phishing-aanvallen werkt niet met een link of bijlage, maar vermeldt enkel een telefoonnummer als aanvalspunt in de hoop dat mensen bellen. Zodra mensen dat doen, gebruiken cyberaanvallers verhalen en emotionele trucs om mensen onder druk te zetten en tot concrete acties te bewegen: wachtwoorden delen, geld overmaken, bepaalde aankopen doen, enzovoort). Hoewel dit soort aanvallen niet geautomatiseerd is en dus een stuk meer werk vraagt, zijn ze vaak wel succesvoller en winstgevender: aanvallers slagen erin mensen aanzienlijke sommen te ontfutselen, soms zelfs hun volledige spaarboekje. Hoe zo’n telefoonaanval in z’n werk gaat zie je in dit fantastische filmpje van drie minuten.

c. Scams

Als laatste zijn er ook nog de scams, waarbij aanvallers zich in een erg kort en onpersoonlijk bericht voordoen als een bekende: je baas, een goede collega of vaste partner of leverancier. Business Email Compromise- (BEC) of CEO Fraud-aanvallen, waarbij iemand van de financiële of boekhoudkundige dienst een misleidende mail krijgt van een hoge leidinggevende met een dringend verzoek tot betaling, zijn hiervan klassieke voorbeelden. 

 

Meest voorkomende phishing-indicatoren

Hoe kun je medewerkers nu zo goed mogelijk wapenen tegen deze nieuwe tactieken? Aanvallers komen steeds met nieuwe tactieken en manieren om je om de tuin te leiden, de ene al spitsvondiger dan de andere, proberen om die allemaal te kennen is dus onbegonnen werk. Nuttiger is om te focussen op de gemeenschappelijke elementen en vaakst terugkerende aanwijzingen, ongeacht het kanaal. Hieronder de factoren die bijna altijd terugkomen, en dus een sterke indicator zijn dat het om phishing gaat: 

 

  • Urgentie: berichten die een gevoel van hoogdringendheid oproepen en je zo tot ondoordachte acties proberen overhalen - een mail die zogezegd van de overheid komt bijvoorbeeld, met een melding dat je dringend een openstaande schuld moet vereffenen om problemen te voorkomen;
  • Druk: berichten die medewerkers onder druk zetten om bedrijfsbeleid en -procedures te negeren of omzeilen (zoals bijvoorbeeld bij BEC- en CEO-fraude);
  • Nieuwsgierigheid: berichten die de nieuwsgierigheid opwekken of te mooi zijn om waar te zijn (bijvoorbeeld over een terugbetaling van de fiscus);
  • Toon: berichten die van een collega lijken te komen maar waar de schrijfwijze, toon en handtekening niet kloppen of ongewoon lijken;
  • Generieke boodschappen: berichten die van ‘vertrouwde’ organisaties komen maar generieke bewoordingen of aansprekingen als “Beste klant” gebruiken - als een bezorger een pakje voor je heeft zou die je naam moeten kennen;
  • Persoonlijk e-mailadres: elke e-mail die afkomstig lijkt te zijn van een legitieme organisatie, leverancier of collega, maar gebruikmaakt van een persoonlijk e-mailadres, bijvoorbeeld @gmail.com. 

 

Opgelet: sommige elementen die vroeger misschien op phishing wezen, zijn vandaag niet meer bruikbaar. Foute spelling of slecht geschreven berichten bijvoorbeeld komen nog zelden voor naarmate aanvallers professioneler te werk gaan. Ook ‘hoveren’, waarbij je met je muis op een link gaat staan zonder te klikken om de volledige url te zien, is niet erg bruikbaar meer wegens moeilijk op een smartphone of tablet, bovendien zijn url’s een stuk complexer en dus moeilijker te ontcijferen geworden. 

 

In de gratis OUCH! nieuwsbrief, die maandelijks in meer dan twintig talen verschijnt, geeft SANS meer info rond security awareness en tips om niet aan fenomenen als phishing ten prooi te vallen.

 

Over het SANS Institute

Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.

GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center. 

De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren. 

www.sans.org

 

Paul Geens

Paul Geens

PR consultant, Evoke

 

 

Persberichten in je mailbox

Door op "Inschrijven" te klikken, bevestig ik dat ik het Privacybeleid gelezen heb en ermee akkoord ga.

Over Evoke

Scoren in de pers boost sales en Evoke helpt bedrijven hierbij. Samen met de klant halen we nieuws uit hun onderneming om dit onder de aandacht van de media te brengen. In de vorm van een persbericht, klantengetuigenis of opiniestuk, of via een interview of persconferentie, verstrekken we het nieuws duidelijk en gebruiksklaar aan de juiste journalist(en). Zo leest of leert het brede publiek in een geloofwaardig kader over onze klanten in de krant, op de radio of op televisie.

Contact

Witte Patersstraat 4 1040 Brussel

+32 (0)2 740 43 32

info@evokepr.be

www.evokepr.be