Drie weken geleden heb ik op deze plek een phish gephileerd, ofwel uit
de doeken gedaan hoe je vanuit de kant van de gebruiker kon aankijken tegen een
specifiek phishingmailtje, dat bij een aantal collega’s was binnengekomen. De
conclusie van dat verhaal was: ook al ruikt iemand, die getraind is om phishing
te herkennen, meteen lont en vermoedt zelfs de ontvanger van het mailtje dat er
iets niet pluis is, dan nog kunnen specifieke omstandigheden ervoor zorgen dat
rode vlaggen genegeerd worden.
We zijn constant bezig om gebruikers op te voeden om phishing te
herkennen en dat werpt zijn vruchten af. Met enige regelmaat melden mensen zich
met de vraag: ik heb een slecht gevoel bij deze mail, heb ik gelijk? Soms komt
het echter ook voor dat mensen vraagtekens zetten bij bonafide mailtjes. Dat
kun je ze niet kwalijk nemen: we vragen om alert te zijn en dat zijn ze dan
ook, en dat brengt noodgedwongen ook false
positives met zich mee. En meestal komt dat niet omdat mensen overdreven
bang zijn geworden voor mail.
Nee, vaak is de oorzaak dat verzenders van bonafide mailtjes zich niet
realiseren dat hun mail kenmerken van malafide mail bevat. Het is dan geen
wonder dat mensen daarop aanslaan. Het vaakst maak ik dat mee bij interne
mailtjes die je vragen om aan enquête deel te nemen (waarbij je ‘intern’ ruim moet
zien). Die enquêtes worden steevast uitgevoerd door externe bedrijven, waardoor
je dus een mail van een vaak onbekend bureau ontvangt met daarin een link en de
‘smoes’ dat het om een door jouw organisatie bestelde enquête gaat. Niet vreemd
dat mensen dat al gauw verdacht vinden – zeker als ze niet via een ander kanaal
vooraf over zo’n enquête geïnformeerd zijn.
Dit is vrij eenvoudig op te lossen met een bericht op de nieuwspagina van
het intranet van de organisatie. Als daar een door de redactie geplaatst
bericht staat waarin de enquête (of een andere mail die tot actie oproept)
wordt aangekondigd, dan moet je er redelijkerwijs van uit kunnen gaan dat het
klopt. Een dergelijk bericht moet dan natuurlijk wel ‘dicht bij de mens’
geplaatst worden. Dus bijvoorbeeld op het intranetten van de dochtermaatschappijen,
niet (alleen maar) op die van de moedermaatschappij. Want een medewerker kijkt
misschien wel dagelijks op ‘zijn eigen’ intranet, maar dat van de moeder staat
daarvoor te ver bij hem vandaan. Ik had zelf laatst een geval waarbij ik de
aankondiging van een enquête alleen maar vond omdat ik er heel gericht naar
zocht.
Dat was een intern voorbeeld, maar ook van buitenaf kun je mailtjes
ontvangen die je onterecht doen fronsen. Zo verstuurt Ziggo weliswaar veel
klantspecifieke mail (zoals factuurberichten) vanuit het domein ziggo.nl, maar
meer algemene mailings, zoals die vermoeiende “Hoe was uw ervaring met
ons”-mailtjes die elk zichzelf respecterend bedrijf je stuurt als je hen hebt
gebeld, komen dan opeens uit het domein medallia.eu. Ik begrijp dat ze dat
soort activiteiten uitbesteden, maar met zo’n mailtje ben je bij mij meteen af:
ik ben toch al niet zo’n fan van dat soort enquêtes en ik ga geen moeite doen
om te onderzoeken of zo’n mailtje al dan niet legitiem is. Overigens gaat Ziggo
hier nog relatief netjes mee om: ze hebben een webpagina “Hoe herken ik e-mail
van Ziggo?” waarop zeven e-mailadressen en acht domeinen staan die ze
gebruiken. Maar ja, wie gaat daar nou checken of een ontvangen mailtje
daadwerkelijk van Ziggo zou kunnen zijn?
De boodschap is hier: als je mail verstuurt en je wilt voorkomen dat de
ontvangers aan de echtheid ervan gaan twijfelen, zorg er dan voor dat die mail
geen kenmerken van phishing bevat. Verstuur de mail vanuit je eigen domein,
begin met een aanhef waarin de naam van de geadresseerde staat (“Geachte heer
Borsoi”) en voeg alleen links toe die naar je eigen domein verwijzen (gebruik
dus ook geen linkverkorters zoals bitly). Deze tips zijn erop gericht om false
positives te voorkomen, maar je kunt het verhaal niet omdraaien: als je een
mail ontvangt die aan deze voorwaarden voldoet, dan is dat helaas geen garantie
voor de echtheid van de mail. Maar wel een redelijke indicatie.
En in de grote boze buitenwereld …
... moeten beveiligingsprofessionals oppassen voor cyber alert fatigue.
... ontkomt ook de Mac niet aan ransomware.
... heeft het NCSC de Factsheet Ransomware gepubliceerd.
... kon de politie live meelezen met het chatverkeer van criminelen. Met
de zo verkregen twintig miljoen berichten kunnen ze de criminaliteit een flinke
klap uitdelen.
... heeft Microsoft een gratis Windows-app om per ongeluk weggegooide
bestanden te herstellen.
... is het Cybersecuritybeeld Nederland 2020 verschenen.
... verdwijnen zo nu en dan cybercriminelen achter de tralies, zowel in
binnen- als buitenland.
... vindt de Autoriteit Persoonsgegevens het geen goed idee om
telecomdata te delen met het RIVM.
... is digitale weerbaarheid gebaat bij nieuwe technologieën, maar die
zijn alleen zinvol als oude basismaatregelen ook correct worden toegepast.
... waarschuwt de Amerikaanse overheid voor aanvallen via het
Tor-netwerk.
... neemt de Onderzoeksraad voor Veiligheid het Citrix-lek onder de
loep, dat ervoor zorgde dat veel mensen een half jaar geleden niet thuis konden
werken. Het onderzoek is gericht op het vergroten van de weerbaarheid – geen
overbodige luxe in een tijdperk waarin thuiswerken juist de norm is.
... worden de rijksoverheid en de vitale sectoren straks verplicht om
kritieke lekken te verhelpen.
... stonden er weer eens malafide apps in de Google Play Store.
... wordt er gephisht uit naam van de Inspectie SZW.
Geen opmerkingen:
Een reactie posten