Vang de phish

Phishing is hot, want er is een heleboel geld mee te verdienen. Het Europese agentschap voor cybersecurity, ENISA, heeft daar een mooi rapport over geschreven. Ik zal daar in deze blog uit voorlezen, en uiteraard zal ik dat hier en daar aanvullen met een eigen kijk op de zaak, anders zou het geen blog zijn.

Voor de zekerheid eerst maar even de definitie die het rapport hanteert: phishing is de frauduleuze poging om gebruikersgegevens zoals gebruikersnamen, wachtwoorden, creditcardgegevens of zelfs geld te stelen, waarbij social engineering-technieken worden toegepast. Met andere woorden: ze willen gegevens of geld van je jatten en doen dat door je op slinkse wijze over te halen om daar zelf aan mee te werken. Een soort elektronische babbeltruc dus. Je kunt daar zowel zakelijk als privé mee te maken krijgen. Nee, ik moet het anders zeggen: ik weet zeker dat je er privé al vaker mee te maken hebt gehad (tenzij je volledig offline leeft) en de kans is groot dat je er vroeg of laat ook zakelijk mee te maken krijgt. Voor wat betreft dat laatste zien we nu al veel gevallen van collega’s die phishing-sms’jes (‘smishing’) ontvangen. Overigens is e-mail nog wel het meest gebruikte medium voor phishing, maar wees je ervan bewust dat het je dus ook via andere kanalen kan bereiken – bijvoorbeeld via social media en WhatsApp (dat laatste noemen we ook wel WhatsApp-fraude). Voor wat betreft je zakelijke e-mail ben je trouwens wel redelijk goed beveiligd door allerlei technische maatregelen, maar helaas kun je daar niet blind op varen.

Ik zei al dat er veel geld omgaat in deze vorm van criminaliteit. ENISA heeft becijferd dat bedrijven vorig jaar voor 22,2 miljard euro het schip in gingen. Hoe werkt dat dan? De crimineel gebruikt eerst phishing om credentials te verzamelen – de combinatie van gebruikersnaam en wachtwoord. Als hij die eenmaal in bezit heeft en zijn slachtoffer ruikt geen lont, dan kan hij die credentials gebruiken om op het bedrijfsnetwerk in te loggen en meer informatie over de organisatie te verzamelen. Als hij voldoende op de hoogte is van hoe de organisatie in elkaar zit en wat de namen zijn van bepaalde sleutelfiguren, dan kan hij een gerichte aanval (spearphishing attack) lanceren op een medewerker die bij het geld kan. De aanvaller doet zich daarbij voor als een bepaalde medewerker, de directeur of misschien zelfs een vertrouwde leverancier en vraagt met een slimme smoes om geld naar een bepaalde bankrekening over te maken. Hij verpakt zijn verzoek in een overtuigende smoes, waarbij hij vaak ook aangeeft dat dit supervertrouwelijk is en een beroep doet op de discretie van zijn slachtoffer. Ondertussen heeft die niets in de gaten omdat het mailtje van een bekende afzender lijkt te komen. Deze vorm van fraude heet ook wel business e-mail compromise (BEC).

De phishingmail, waar het allemaal mee begint, bevat vaak een kwaadaardige bijlage en dat is dan weer meestal een Microsoft Office-document (in 42,8% van alle gevallen in 2019, zegt ENISA). In één derde van de gevallen kwam het woord ‘betaling’ in het onderwerp voor. Webmail en SaaS-diensten (Software-as-a-Service), met Office365 als koploper, vormen de belangrijkste doelwitten. En daarbij maakt de cybercrimineel graag gebruik van PhaaS: phishing-as-a-Service. Voor slechts vijftig tot tachtig dollar kun je een maand lang gebruikmaken van dergelijke phishingdiensten, waarvan er vorige jaar ruim vijfduizend bestonden.

Maar er is ook goed nieuws: vrijwel alle kwaadaardige mail vereist menselijk handelen om effectief te zijn. Met andere woorden: als de ontvanger niet op de aangeboden link klikt, de bijlage niet opent of de waarschuwing voor gevaarlijke inhoud (macro’s) serieus neemt, dan sterft de phish. En dus luidt het belangrijkste advies van ENISA: leid uw medewerkers op. En doe vervolgens een phishing-simulatie om te testen of ze het ook gesnapt hebben.

Wat ook geweldig goed helpt is tweefactorauthenticatie/tweestapsverificatie. Als dat bij een account aan staat, dan moet je, in ieder geval als je op een nieuw apparaat aanlogt, een code opgeven die (meestal) op je mobieltje verschijnt. Omdat de phisher daar niet over beschikt, komt hij niet verder. Maar pas op: ze zijn tegenwoordig zo brutaal dat ze je appen, sms’en of bellen met de smoes dat hún code per ongeluk naar jou is gestuurd, en of ze die asjeblieft mogen hebben. Geef nooit een code af die jij ontvangt; mocht er werkelijk een misverstand zijn, dan moet die ander maar een nieuwe code aanvragen. En natuurlijk heb je voor iedere online dienst een ander, sterk wachtwoord, dat je handig laat beheren door een password manager-app.

Ten slotte nog leuk weetje: dertig procent van alle phishingmailtjes ontvang je ’s maandags. Wrijf dus na het weekend eerst je ogen goed uit voordat je je mail opent.

 

En in de grote boze buitenwereld …

• combineerden deze phishers het nuttige met het aangename: ze werkten vanaf een vakantiepark.
• verdwenen twee Hilversumse phishers voor langere tijd achter de tralies.
• helpen banken slachtoffers van WhatsApp-fraude door hen de naam van de oplichter te geven.
• was het mogelijk om ongezien een Webex-meeting binnen te dringen.
  Pro tip: je kunt een vergadering of je persoonlijke ruimte op slot doen; dat kan ook automatisch na bijvoorbeeld vijf minuten.
• maakt thuiswerken je vatbaar voor afpersing.
• testte AV-test beveiligingssoftware voor MacOS Catalina.
• trekt deze ransomware de aandacht van zijn slachtoffer via de printer.
• is vooral het eerste commentaar op dit artikel over slimme deurbellen interessant.
• mag niet zomaar iedereen de Erasmusbrug aanzetten.
• voldoen veel politiesystemen niet aan de privacyregels van de Wet politiegegevens.
• moet de Autoriteit Persoonsgegevens haar groeistuipen nog even ophouden.
• heeft ook de Fraudehelpdesk last van fraude.