“Goedenmiddag, zie bovenstaand document van XYZ Administratie laat me
voor uw beoordeling weten of u zich zorgen maakt.” Dat was de tekst van een
mailtje dan in april bij tientallen collega’s op de elektronische mat plofte.
Er zat een pdf-bestand bij. Daarin stond bovenaan, in een kader, met grote
letters ‘Office 365’ en het bijbehorend logo, gevolgd door: “Jannes Maatman*
heeft namens u een document met u gedeeld XYZ Administratie” en een blokje
“Read Now”, waar een link in zat naar sway.office.com. Sway is een product uit
de Office-familie van Microsoft.
Voel je nattigheid? Eén collega belde de helpdesk hierover. Nadat hij
het bestand had geopend. Toen vertrouwde hij het écht niet meer. Door dit
telefoontje waren we in staat om onderzoek te doen: wie heeft dit mailtje nog
meer ontvangen, wie heeft het bestand geopend en wie heeft op de link geklikt?
Vervolgens heb ik de mensen, die het mailtje niet genegeerd hadden, benaderd.
Niet met opgeheven vinger, maar oprecht geïnteresseerd in de omstandigheden die
hen ertoe brachten om het mailtje serieus te nemen. We weten trouwens ook nog
dat XYZ Administratie gehackt was, waardoor deze mailtjes via hun mailserver
konden worden verstuurd.
Voor mij is vrij duidelijk dat we hier te maken hebben met phishing: ‘hengelen’
naar persoonlijke gegevens zoals wachtwoorden, pincodes, creditcardinformatie
of andere persoonlijke gegevens. De mail bevat diverse rode vlaggen die
phishing signaleren: een aanhef zonder naam van de geadresseerde, onverzorgd
taalgebruik (geen interpunctie in de mail, kromme tekst in de bijlage: “heeft
namens u een document met u gedeeld”), urgentie/nieuwsgierigheid oproepen (“of
u zich zorgen maakt”), een ongevraagde mail met bijlage en ten slotte een link
in die bijlage. En eerst had ik eroverheen gekeken, maar je kunt ook nog zien
dat dat kader waar ‘Office 365’ in staat het resultaat is van knip- en
plakwerk: langs de onderrand zie je nog de bovenkant van letters die daar
gestaan hebben. En het blokje met ‘Read Now’ is juist iets te krap afgeknipt.
Ik heb dus nagevraagd waarom mensen die bijlage openden, of ze geen
nattigheid voelden. Een aantal van hen kende XYZ Administratie en zelfs Jannes
Maatman. Eentje deed privé zaken met het bedrijf en had het mailtje zowel op de
zakelijke als op een privé-account ontvangen. Er waren ook ontvangers voor wie
het normaal is om e-mail van dit soort bedrijven te ontvangen, ook als ze een
specifiek bedrijf nog niet kennen. Diverse collega’s lieten weten dat ze het
mailtje heel vreemd vonden – sommigen hebben zelfs contact met XYZ
Administratie gezocht. En tóch de bijlage geopend. Overigens hebben de meeste
medewerkers niet op de link in het bestand geklikt. Er zat al een luchtje aan
die hele mail, vonden ze. En dan ook nog op een link klikken, dat ging hen toch
te ver.
Informatiebeveiligers waarschuwen vaak voor onverwachte mail, zeker als
er bijlagen en/of linkjes in zitten. Maar ‘onverwacht’ blijkt dus een
betrekkelijk begrip te zijn als je regelmatig mail krijgt van
administratiekantoren, die door jouw klanten in de arm worden genomen. Het
tweetraps karakter van deze phish – link in bestand – heeft de meeste
medewerkers ervan weerhouden om te klikken. Een enkeltraps phish had
waarschijnlijk ‘beter’ gescoord.
Als je denkt dat iets niet deugt, dan is dat vaak ook zo. Je intuïtie is
vaak een goede raadgever, ook op terreinen waarop je geen expertise hebt. En
ook al komt een mailtje van een bekende afzender, dan is het nog niet per
definitie betrouwbaar, want de afzender kan gehackt zijn. Of, simpeler: de
crimineel heeft in het Van-veld gewoon een naam naar keuze ingevuld. Mensen,
die de boel niet vertrouwden en contact zochten met XYZ Administratie, deden
dat soms middels een reply op de ontvangen mail. Zo’n verificatie moet je
echter altijd via een ander kanaal doen, om te vermijden dat jouw vraag bij de
crimineel belandt en jij daardoor een vals positief antwoord krijgt. Bel ze op,
en dan niet op het nummer dat in de mail staat, want ook dat kan vals zijn.
De phish heeft gefaald. Medewerkers die op de link klikten, kregen het
bekende scherm “Niet toegestaan” te zien, omdat we het domein sway.office.com
blokkeren (vanwege de kans op datalekken). Het is natuurlijk goed dat de phish
werd gestopt, maar het geeft mij een onbehaaglijk gevoel dat dit gebeurde door
een voorziening die daar niet primair voor is bedoeld, en dat de phish pas op
het laatst mogelijke moment werd onderschept. Zolang we nog geen goede
technologie hebben om deze rommel al aan de voordeur te weren, moeten we
gebruikers nog beter trainen in het herkennen ervan. Oók als een mailtje prima in
hun belevingswereld past.
*) De namen van
het bedrijf en de persoon zijn gefingeerd, de rest is een letterlijke weergave.
En in de grote boze buitenwereld …
... wordt er momenteel erg veel gephisht en gesmisht uit naam van de
Belastingdienst.
... vindt de rechter beveiliging een vanzelfsprekend onderdeel van een
opdracht aan een IT-leverancier.
... is een Apeldoornse multinational besmet met ransomware.
... heeft Honda waarschijnlijk eenzelfde probleem (al gebruikt het artikel
slechts de algemene term cyberattack).
... geldt voor deze bierbrouwer down
under hetzelfde.
... doet Zorab zich voor als redmiddel bij besmetting met de
STOP/Djvu-ransomware, maar in werkelijk versleutelt het je bestanden nóg een
keer. [De laatste alinea van het artikel is reclame, maar voor de rest is het
een goed verhaal.]
... heeft Twitter tienduizenden accounts uitgeschakeld die door
statelijke actoren werden gebruikt in desinformatiecampagnes.
... wordt jouw stukje cloud gekaapt door cryptominers als je het niet
goed configureert.
... mag de Amerikaanse politie een jaar lang geen gebruik maken van gezichtsherkenningstechnologie
van Amazon.
... moet je even checken of je Windows 10-computer helemaal is
bijgewerkt.
... heeft Android 11 een paar aardige nieuwe security- en
privacy-features.
... werft de politie via Tweakers burgers om te helpen bij
cybercrime-onderzoeken.
... lekte een corona-site van het RIVM medische gegevens.
... leidt personeelstekort bij Defensie tot een te lage testfrequentie
bij kritieke systemen.
... deelt het NCSC zijn ervaringen met clouddiensten.
... overspoelt China Nederland met onveilige ip-camera’s.
Geen opmerkingen:
Een reactie posten