"Op een rustige dinsdagochtend opende Alex zijn laptop. Met een verse kop koffie was hij klaar om zijn dag te beginnen met het doornemen van zijn email. Terwijl hij door zijn inbox scrolde, viel zijn oog op een email met het onderwerp: “Belangrijke informatie over uw bestelling.”
Alex schrok: “Er zijn problemen met de levering van uw bestelling. Controleer uw gegevens om verdere vertraging te voorkomen.”
Na geklikt te hebben, leidde de link hem naar de pagina van de leverancier…
Iedereen ontvangt weleens een dergelijk bericht via email of SMS. In de meeste gevallen kijk je er niet naar om: je verwacht de email niet, of soms is aan de spelfouten al te zien dat het een phishing poging is. Hoe komt het dan toch dat phishing de meest succesvolle aanvalsvector is? Voordat we daar antwoord op geven, is het interessant om te weten welke soorten phishing we onderscheiden.
Er zijn verschillende soorten phishing-aanvallen. Elk met een specifiek doel, gebruikte techniek, of inzetbaarheid in een bepaalde situatie. In het onderstaande vind je 6 belangrijke categorieën.
Email phishing
Dit is de meest voorkomende vorm van phishing. Aanvallers sturen valse e-mails die doorgaans lijken op legitieme e-mails die je zou kunnen ontvangen van personen die je kent, of bedrijven en instanties waar je interactie mee hebt.
Spear phishing
In deze vorm van phishing richten aanvallers zich op specifieke individuen of organisaties. Ze passen de aanval aan op basis van gedetailleerde informatie over het doelwit, waardoor de kans op succes groter is.
Vishing (voice phishing)
Bij vishing gebruiken aanvallers telefonische oproepen waarbij ze zich veelal voor doen als een medewerker van een bedrijf of instantie om vertrouwelijke informatie te verkrijgen. Vishing kan zowel geautomatiseerd plaatsvinden, of persoonlijk. De AI-revolutie (artificial intelligence) zal deze aanvalsmethode in de toekomst zeer waarschijnlijk nóg dreigender maken. De ‘Microsoft Support medewerker’ die je telefonisch probeert te overtuigen externe toegang tot jouw systeem te geven omdat er zogenaamd kwaadaardige software is gedetecteerd, is hiervan een sprekend voorbeeld.
Smishing
Hierbij maken cybercriminelen gebruik van SMS-berichten om slachtoffers te overtuigen persoonlijke of vertrouwelijke informatie te delen. Omdat steeds meer diensten gebruik maken van SMS om klanten op de hoogte te houden van hun bestelling en mensen op mobiele apparaten gewend zijn links te ontvangen, is deze vorm van phishing er eentje om rekening mee te houden.
Pharming
Bij pharming worden slachtoffers omgeleid naar valse websites, zelfs als ze het juiste webadres intypen. Dit kan gebeuren door de DNS-instellingen (DNS, Domain Name System, is het protocol wat domeinnamen omzet in IP-adressen). te manipuleren. Het doel is ook hier om inloggegevens en andere gevoelige informatie te stelen.
Man-in-the-middle phishing
In MitM-phishing plaatst een aanvaller zichzelf tussen de communicatie van twee partijen. Hierdoor kan de aanvaller gegevens onderscheppen en manipuleren zonder dat de betrokkenen het weten. Dit kan gebeuren in e-mails, chats of bij het surfen op internet.
Phishing is erg populair onder cybercriminelen: volgens het Verizon Data Breach Investigations Report, het meest uitgebreide onderzoek naar datalekken in zijn soort, begint ongeveer 74% van de incidenten bij de mens. Phishing is een belangrijke aanvalsvector die uiteindelijk toegang geeft tot persoonlijke of vertrouwelijke informatie. Dat is een sterke indicatie dat de scoringskans hoog is.
De belangrijkste reden dat de cybercrimineel zich richt op de mens is omdat beveiligingssystemen zodanig geëvolueerd zijn dat inbreken en het stelen van data veel tijd en moeite kost. Dan is het efficiënter die beveiligingsmaatregelen te omzeilen. Dat kan door zich te richten op de mens. Die is namelijk minder consistent dan een computer én makkelijk te bereiken door gebruik te maken van een openbaar communicatiesysteem, zoals email of SMS. Een mogelijk slachtoffer aanvallen is dus zeer laagdrempelig en wordt hiermee “a numbers game:” het versturen van meer phishing e-mails zal automatisch leiden tot meer slachtoffers.
Urgentie wordt met enige regelmaat gecombineerd met het nabootsen van autoriteit. Dit kan gedaan worden door gebruik te maken van een instantie zoals een bank of de overheid. Met officieel ogende logo’s en taalgebruik worden mensen ervan overtuigd dat de email legitiem is. Deze vorm van manipulatie maakt gebruik van het vertrouwen dat je hebt in deze organisaties.
Autoriteit kan echter ook geclaimd worden doordat cybercriminelen zich voordoen als hooggeplaatste medewerkers van de organisatie waar je werkt. Medewerkers zijn dan uiteraard veel sneller geneigd om uit te voeren wat uit naam van deze persoon gevraagd wordt, zoals het overmaken van geld, verstreken van gevoelige informatie of het uitvoeren van financiële transacties. In combinatie met het uitoefenen van druk is dit de basis voor een specifieke soort phishing: CEO-fraude.
Om aanvallen nóg realistischer te doen overkomen, wordt steeds vaker gebruik gemaakt van personalisatie op basis van publieke bronnen en/of gelekte persoonlijke informatie. Door het toevoegen van persoonlijke details, zoals je naam, e-mailadres, bedrijfsinformatie of functietitel, lijkt de zender de ontvanger te kennen waardoor het vertrouwen in het bericht toeneemt.
Er is cybercriminelen veel aan gelegen om hun e-mails zo waarheidsgetrouw mogelijk op te stellen. Maar dat garandeert natuurlijk nog geen succes. De evolutie van de e-mails van de “Nigeriaanse Prins” met zijn vele spelfouten naar de nauwelijks-van-echt-te-onderscheiden e-mails van vandaag heeft ook kunnen plaatsvinden door een gebrek aan kennis en bewustzijn van deze dreiging bij e-mailgebruikers. Nog steeds zijn veel mensen slecht op de hoogte van cyberdreigingen en phishing-technieken. Mensen met beperkte kennis lopen gemakkelijker in de val en een laag bewustzijn over de gevaren van phishing kunnen leiden tot onvoorzichtigheid bij het openen van e-mails of het klikken op links.
Hier kan een security awareness programma helpen, door medewerkers:
Naast de menselijke vatbaarheid voor phishing-aanvallen heeft menig organisatie ook de beveiliging van de mailserver nog niet op orde. Specifiek heb ik het dan over het gebruik van SPF, DMARC en DKIM zodat cybercriminelen zich niet zomaar kunnen voordoen als legitieme zender. Het gebruik van deze authenticatiemethodes (SPF, DKIM) en het bijbehorende beleidskader (DMARC) versterken de authenticiteit van legitieme e-mails en verlagen de kans dat phishing e-mails de gebruiker bereiken.
SPF (Sender Policy Framework)
Goedgekeurde lijst met mailsystemen die namens het domein (bijv. behaav.com) e-mail mogen versturen.
DKIM (DomainKeys Identified Mail)
Digitale handtekening van de inhoud van de e-mail (op basis van zowel headers als de body van de e-mail).
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Regels die aangeven wat er met een e-mail gebeurt die de SPF en DKIM-controle niet heeft doorstaan.
De vatbaarheid voor phishing is een samenspel van factoren: Vanuit de aanvaller gezien wordt de psychologische kwetsbaarheid van mensen gecombineerd met e-mails die in sommige gevallen nauwelijks van echt te onderscheiden zijn.
Vanuit de ontvanger, ofwel mens bekeken, is er een duidelijke achterstand in kennis en bewustzijn. Kennis zorgt ervoor dat de kenmerken van een phishing email vaak niet worden herkend, waardoor ons gedrag niet wordt aangepast aan het risico. Het gebrek aan bewustzijn heeft onder andere te maken met de verwachting dat technologie het probleem zal oplossen. Dit is zeker binnen bedrijven vaak het geval: “De afdeling IT of Security regelt het toch?” Er is daarmee een duidelijk gebrek aan eigenaarschap bij het individu.
Onwetendheid in combinatie met een gebrek aan bewustzijn zorgt er ook voor dat de technische middelen die ons ter beschikking staan om het aantal phishing-pogingen wat mensen bereikt significant te verminderen, niet (voldoende) wordt ingezet. Immers, het verlagen van risico is een samenspel van mensen, processen en technologie. In isolatie blijven wij vatbaar voor phishing. Dat is op dit moment zeker het geval.