Aquarium

Als ik vroeger vol bewondering voor het aquarium van mijn oom stond, bekommerde ik mij er niet om hoe al die tropische vissen heetten. Nou ja, van die visjes met een ingebouwde tl-buis wilde iedereen wel weten wat hun naam was (neontetra). Maar voor de rest genieten de meeste mensen van de schoonheid die de natuur te bieden heeft zonder het naadje van de kous te willen weten.

Ook phishing heeft diverse verschijningsvormen, en als je dat weet, dan helpt dat je om het te herkennen. En net als bij het bewonderen van een aquarium hoef je wat mij betreft de namen van die verschillende vormen niet te onthouden, zolang je maar weet wat er allemaal te koop is op de phishmarkt.

Phishing (algemeen) – De verzamelnaam voor alle berichten die proberen de ontvanger op een malafide link te laten klikken of een malafide bestand te laten openen. Malafide als in: als je de gevraagde actie uitvoert, dan heeft dat nadelige gevolgen voor jou en verdient een crimineel daar geld aan.

E-mail phishing – De bekendste vorm van phishing werkt via e-mail. Criminelen maken er veel werk van om zo’n mailtje er zo echt mogelijk uit te laten zien, compleet met het logo van het bedrijf waarvoor ze zich uitgeven en de correcte naam van de directeur. E-mail biedt ons relatief veel onderzoeksmogelijkheden: de afzender (maar die kan gemakkelijk vervalst worden), de aanhef (“Hallo” in plaats van “Hallo Patrick”), taalfouten (maar echte bedrijven maken die ook en criminelen worden steeds beter), plausibiliteit (een factuur van Ziggo is niet logisch als je bij KPN zit), en natuurlijk de link (ook al lees je securityblogpatrick.blogspot.nl, dan kan de link toch naar boef.com gaan). De ware link check je door je muis boven de link te laten ‘zweven’ (niet erop klikken) en onderin het mailprogramma naar de link te kijken. Op een mobiel apparaat druk je lang op de link, waardoor een pop-up je de ware link toont. Je klikt alleen op de link als wat je dáár ziet staan vertrouwd klinkt. En helaas, *zucht*, er zijn nog steeds bonafide bedrijven die afzenderadressen en links gebruiken die je de stuipen op het lijf jagen omdat ze er nogal phishy uitzien.

Clone phishing – De crimineel reageert op een door hem onderschept legitiem mailtje om zijn eigen link of bijlage naar binnen te smokkelen. Omdat de mail bij de ontvanger al bekend was, is de kans van slagen vrij groot.

Smishing – De phish komt binnen als sms-bericht (phishing met sm van sms). Doordat sms’jes nauwelijks controlemogelijkheden bieden en we gewend zijn aan korte berichten, die vaak verkorte links bevatten (bijvoorbeeld via bit.ly), vormen ze een ideale verspreidingswijze. Heel actueel is het sms’je van de zogenaamde pakketdienst. Als je op de link in het bericht klikt, dan ga je een nep-app van DHL of UPS installeren en wordt je Android-toestel besmet met malware, die de controle over je toestel overneemt. Vervolgens laten de criminelen jouw toestel dure sms’jes versturen, waar zij de winst van opstrijken, of ze zitten in je e-mail en bank-app, waarin ze overboekingen ombuigen naar hun eigen bankrekening.  Voor de liefhebbers: deze malware heet FluBot, ook bekend als Cabassous. Deze phish zwemt momenteel vooral in Nederlandse wateren. Ik heb hem al een paar keer gespot; mijn exemplaren bevatten opvallende spelfouten (“Uw paoket komt er san”) en een link die linea recta naar China wees, maar daar mag je niet blind op varen. De berichtenapp van Android stopt dergelijke sms’jes trouwens al zelf in de map Spam en geblokkeerd.

Vishing – Phishing met de v van voice. Mondelinge phishing dus. De oer-phish ging ongeveer als volgt: “Hallo, met uw bank. Uw verloren bankpas is bij ons ingeleverd. Om te controleren of alles in orde is, hebben we uw pincode nodig.” Die bankpas was dus niet verloren maar gerold. En ja, destijds trapten mensen hier inderdaad in. Als jij een bedrijf belt en ze vragen ter controle om je geboortedatum, postcode of schoenmaat – helemaal prima (doch slechts beperkt zinvol). Maar als ‘een bedrijf’ jou belt en ter controle om gegevens vraagt, dan slaat dat nergens op.

Spear phishing – Gewone phishing is als schieten met hagel: hopen dat een paar van de vele geadresseerden erin trappen. Spear phishing daarentegen is gericht op een specifieke persoon of functionaris, bijvoorbeeld de directeur of iemand die bij het geld van het bedrijf kan. Een verbijzonderde vorm van spear phishing is whaling, waarbij de phish aan iemand met een hoge functie in de organisatie is gericht. En dat is dan weer nauw verwant aan CEO-fraude, waarbij de crimineel zich voordoet als een hoge pief en iemand van de financiële afdeling opdracht geeft om geld over te boeken naar een bepaalde rekening. Meestal is zo’n opdracht omgeven door geheimzinnigheid: het gaat over een bedrijfsovername waar niemand iets van mag weten, de directeur vertrouwt alleen jou en het moet snel.

Mishing – Ik dacht dat deze term nog niet bestond en vond het wel een aardige aanduiding voor phishing via de mail. Blijkt het al voor text messaging te staan. Engelstaligen hebben het vooral over texting en niet over sms’en.

Wat water is voor een vis, is communicatie voor een phish. Als je de stop uit het aquarium trekt, dan sterven de vissen, maar we kunnen niet de stekker uit onze communicatie trekken om phishing te stoppen. Voorlopig blijft het dus belangrijk om waakzaam te blijven en je steeds af te vragen: hé, ruik ik hier een rotte phish?

 

En in de grote boze buitenwereld …

• loopt de schade door FluBot behoorlijk in de papieren.
• hoef je je Android-toestel niet per se volledig te resetten om Flubot te verwijderen.
• heb je hier een ‘mooi’ voorbeeld van spear phishing.
• maakt een nieuwe phishing-campagne gebruik van een mass-mail service.
• moet je updates altijd goed testen voordat je ze uitrolt.
• krijg je maar beter geen ruzie met je ICT-leverancier.
• is het Belgische ministerie van Binnenlandse Zaken al twee jaar geleden gehackt.
• werkt de FBI voortaan samen met Have I Been Pwned.
• kun je momenteel geen datalekken melden bij de Autoriteit Persoonsgegevens omdat ze een formulier aan het vervangen zijn.
• hebben de AP en haar Europese collega-toezichthouders inmiddels ruim zeshonderd AVG-boetes opgelegd.
• verhelpen iOS 14.6 en iPadOS 14.6 heel wat kwetsbaarheden op de iPhone en de iPad. Updaten dus!
• verried een foto van een stukje kaas de crimineel in wiens hand de kaas lag.

Marktplaatsfraude

Vierentachtig is hij, en hij had al vaak iets verkocht via Marktplaats. Deze keer had hij een boek te koop. Vier biedingen waren er al gedaan, toen ene Mitchel via WhatsApp vroeg of het boek nog beschikbaar was. Hij bood vijf euro meer dan het hoogste bod en mocht het boek hebben. En dat is jammer, want Mitchel is een crimineel.

Nou kun je geen grote slag slaan met boek dat voor dertig euro van eigenaar zou wisselen. Nee, Mitchel had iets anders in petto. De verkoper vroeg om vooruitbetaling, maar Mitchel toonde zich ietwat achterdochtig en appte (letterlijke tekst, inclusief taalfouten): Nog even een vraagje?! Zou je alvast een post NL label willen aanmaken zodat ik zekerweet dat je het verstuurd. Na ontvangen van het label betaal ik je het volledige bedrag! Je hoeft niks van te voren op te sturen! Je ontvangt dan ook de barcode via de mail die je laat scannen bij post nl! Heb al mijn gegevens al ingevuld! Gevolgd door een link naar pakketjes-verzenden.com/track-and-trace/3S…

Dat vond onze bejaarde verkoper te ingewikkeld. Hij wilde het boek ook wel zonder betaling vooraf opsturen. Een kwestie van vertrouwen, zo schreef hij. Dat vertrouwen was opgebouwd door de vele transacties die hij al had gedaan. Mitchel vond dat lief, maar hield toch de poot stijf – hij wilde met alle plezier uitleggen hoe het werkte. En toen klikte ons slachtoffer toch maar op de link.

Ik kijk nu naar het proces-verbaal waarin de politie dit allemaal heeft vastgelegd. Want twee dagen nadat de bovenstaande conversatie had plaatsgevonden, belde de bank. Er waren verdachte transacties gesignaleerd: twee overschrijvingen van vijfhonderd euro en nog eens twee overschrijvingen van negenhonderd euro. Bovendien was er nog een bestelling van tweehonderd euro gedaan bij Albert Heijn, vermoedelijk voor cadeaubonnen.

Dit is een klassiek voorbeeld van phishing, met duizenden euro’s schade tot gevolg. Waar ging het mis? Tja, die link in het appje hè. “Pakketjes-verzenden.com”, gevolgd door zo’n bekende 3S-code in de link, ziet er best betrouwbaar uit. Maar het was allemaal fake. Het domein pakketjes-verzenden.com bestaat niet eens meer. Op die site moest het slachtoffer zijn verzendlabel betalen via iDeal. Het verhaal vertelt niet hoe dat precies in z’n werk ging, maar ik denk ongeveer als volgt (als iemand het beter weet, dan hoor ik dat graag!).

Het slachtoffer zag een nagemaakt iDeal-scherm, terwijl Mitchel klaar zat bij het echte loginscherm van de bank. De een moest zijn gebruikersnaam en wachtwoord invullen, de ander kon dat meelezen en invullen op de echte site. Met alleen een gebruikersnaam en wachtwoord kun je tegenwoordig niet meer inloggen bij een bank, want die werken met tweefactorauthenticatie: je moet bijvoorbeeld in de app van de bank bevestigen dat je wilt inloggen. In het geval van de Rabobank, waar we het hier over hebben, kan ook de Rabo Scanner worden gebruikt. Daarmee moet je een soort QR-code scannen, die uit kleurige stippen bestaat. Op het display van het kastje verschijnt dan een code die je op de computer invult. Als Mitchel erin is geslaagd om de kleurcode, die hij gepresenteerd kreeg, door te sturen naar het slachtoffer, dan kon hij vervolgens ook de inlogcode in ontvangst nemen. Ik vermoed dat de kleurcodes een bepaalde geldigheidsduur hebben, het is dus zaak dat de crimineel en zijn slachtoffer haast maken. In het WhatsApp-gesprek zie je dan ook dat Mitchel al binnen een minuut vraagt of het is gelukt.

Hoe bescherm je jezelf tegen dergelijke praktijken? Marktplaats dringt er al jaren op aan om alle communicatie over advertenties via hun site te laten lopen. Op hun site staat letterlijk: “Mensen met slechte bedoelingen willen zo min mogelijk sporen achterlaten en proberen onderling contact buiten Marktplaats te houden, bijvoorbeeld via WhatsApp”. Maar de belangrijkste regel is toch nog steeds: klik niet op linkjes die je op een dergelijke wijze worden aangeboden, al klinkt het verhaal nog zo plausibel en lijkt de persoon aan de andere kant nog zo aardig.

Nog even over dat proces-verbaal. Hoe verder ik daarin vorderde, hoe groter mijn verbijstering werd. Als nog eens iemand roept dat er meer blauw op straat moet, dan stel ik voor om PV’s te vereenvoudigen. Lees maar even mee (ik heb de naam van de bankmedewerker gewijzigd): Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat er 2 (twee) bedragen van 500 (vijfhonderd) euro waren afgeschreven. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat er 2 (twee) bedragen van 500 (vijfhonderd) euro waren overgemaakt naar een bankrekeningnummer. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat de bedragen overgemaakt waren onder omschrijving Mitchel BUNQ Bank. Ik hoorde de medewerker Dirk Loof van de RABO Bank zeggen dat… En zo gáát dat maar door in het PV. Dat moet toch veel korter kunnen!

 

En in de grote boze buitenwereld …

• mogen (ex)medewerkers van RSA tien jaar na dato gedetailleerd uit de doeken doen hoe de hack op hun bedrijf verliep.
• leidt de snelle route soms naar de afgrond. (Maar op deze laatste dag van de Business Continuity Awareness Week is het dan wel weer prettig om te lezen dat er zoiets bestaat als een Chief Availability Officer.)
• heeft Ierland het moeilijk als privacywaakhond voor grote Amerikaanse techbedrijven.
• hadden ze het in Ierland toch al zo druk.
• kregen de onbekende Ierse hackers een gerechtelijk verbod op het verkopen van de buitgemaakte gegevens. Zouden die criminelen zich daaraan houden…?
• is een online ‘straatverbod’ nog niet zo gemakkelijk.
• heeft het NCSC een nieuwe editie van zijn online magazine gepubliceerd.
• passen ransomware-criminelen tegenwoordig dubbele encryptie toe.
• helpt het installeren van Russisch op je computer (een beetje) tegen ransomware.
• vind je hier een uitgebreid rapport over ransomware anno 2021.

 

Continuïteit

Het is 28 februari 2010. De radio meldt het eerste COVID-09-geval in Nederland. Het virus is hard op weg om een heuse pandemie te veroorzaken en heeft dus nu, nadat het eerst alleen in het verre Thailand en een paar maanden later in het al wat dichter bij huis liggende Spanje woedde, ook ons land bereikt – Drenthe om precies te zijn.

Premier Balkenende en minister Klink van Volksgezondheid, Welzijn en Sport geven regelmatig persconferenties waar gans het volk live naar kan kijken. We zijn getuige van de worsteling van de regering om het virus te beteugelen. Op tv zien we Balkenende stuntelen met het nieuwe geen-handen-schudden, terwijl hij ons oproept om diezelfde handen vaak te wassen en twee meter afstand tot anderen te houden. Je kunt namelijk niet aan iemand zien of hij besmet is met het curunavirus. Wereldwijd slagen laboratoria er maar niet in om een eenvoudige test te ontwikkelen waarmee hierover uitsluitsel kan worden verkregen. Alleen kostbaar, tijdrovend bloedonderzoek kan het virus aantonen. De ontwikkeling van een snelle test (binnen een week uitslag beschikbaar) vergt volgens de Wereldgezondheidsorganisatie nog zeker een jaar.

Het blijft niet lang bij dat ene ziektegeval. Vanuit patient zero verspreidt de ziekte zich als een olievlek over heel Nederland. Deskundigen adviseren om zo weinig mogelijk contact met andere mensen te hebben. De regering breekt zich het hoofd over de vraag welke maatregelen ze kan treffen om dat voor elkaar te krijgen. Twee maatregelen dringen zich op: zoveel mogelijk thuis werken en niet-essentiële winkels sluiten.

Wat als we inderdaad tien jaar eerder door een pandemie zoals de huidige waren getroffen? Dat is de vraag waar ik over mag filosoferen als opmaat voor de Business Continuity Awareness Week (BCAW), waar ook onze organisatie de nodige aandacht aan besteedt. En daarbij is ‘nodige’ niet zomaar een achteloos geschreven woordje – ik heb de indruk dat de bewustwording op het gebied van business continuity management nog niet op het niveau van informatiebeveiliging zit, terwijl we er ook op dát vakgebied nog best wel stevig aan moeten trekken. Kortom, de BCAW is hard nodig.

Hoe zou dat tien jaar geleden zijn gegaan, dat thuiswerken? We hadden nog lang niet allemaal een zakelijke laptop – op onze bureaus op kantoor prijkten desktopcomputers. Je kon eventueel een RSA-token krijgen, waarmee je vanaf je privécomputer toegang kreeg tot je zakelijke mail en het intranet. We belden met toestellen als de Samsung Galaxy S (0,5 GB geheugen; mijn huidige telefoon heeft achtmaal zoveel) en de iPhone 4 (schermdiagonaal 3,5 inch; ik heb nu 6,4 inch op zak). Die iPhone kreeg FaceTime (beeldbellen) en een frontcamera, maar had veel ontvangstproblemen. En het belangrijkste: lang niet iedereen had toen een zakelijke smartphone, laat staan een tablet. Mobiel bellen was toen ook veel duurder dan nu. Communicatie zou hoe dan ook lastig en duur geweest zijn.

Je breedbandaansluiting had een – voor toen – duizelingwekkende snelheid van tien megabit per seconde. Ter vergelijking: mijn huidige, nog redelijk bescheiden aansluiting is vijftig keer zo snel. Maar misschien had je toen nog wel ISDN, op 64 kilobit per seconde. Een snelheid van drie tot acht Mb/s zou voldoende moeten zijn voor videobellen met goede beeldkwaliteit, maar ja: dat hadden we toen nog helemaal niet! Vergaderingen hadden dus telefonisch gemoeten. Jippie.

Online shoppen zou ook een feest zijn geweest voor ons als klanten, en een logistieke nachtmerrie voor winkeliers. Ja, er waren al wat online winkels, maar lang niet voldoende bestelbusjes en chauffeurs om alles in de huidige hoeveelheden aan huis te bezorgen. Zowel werken als leven zou destijds veel zwaarder zijn geweest. Het zou wat gemakkelijk zijn om te zeggen dat we er niet goed op waren voorbereid; de technologie was gewoon nog niet zo ver. Nu hebben we het geluk dat we wél snel internet, een dikke smartphone en videovergaderen hebben. Het zou me echter niet verbazen als een blogger, die over tien jaar op deze pandemie terugkijkt, zich verwonderd afvraagt hoe we met de beschikbare middelen stand hebben gehouden. Omdat ze dan weer nieuwere dingen en hogere snelheden hebben.

Business Continuity Management heet het vakgebied dat tot doel heeft onze organisaties tegen rampspoed te beschermen en ons, mocht er toch eens een kink in de continuïteit komen, zo snel mogelijk terug te brengen naar normaal. Niet een nieuw normaal, maar gewoon het oude, vertrouwde normaal. Het is te hopen dat BCM’ers wereldwijd met deze pandemie meeschrijven, om bij een volgende ramp niet meer te hoeven zeggen: wat hébben we een geluk gehad dat we voorzieningen hebben om mensen massaal thuis te kunnen laten werken. Nee, voor een volgende calamiteit van deze magnitude horen al vooraf een hoop dingen georganiseerd te zijn. Zelfs nu heeft nog niet iedereen een apparaat waarmee je fatsoenlijk kunt videobellen, om maar eens iets te noemen. En achter de continuïteit van al die thuiskantoren gaat ook een heel logistiek proces schuil dat je niet zo maar even uit de grond stampt. Voorbereiden, oefenen, klaarstaan, opruimen: dat is, in een notendop, BCM. Geef het allemaal wat extra aandacht in de week van 17 mei. En daarna gewoon continu.

 

En in de grote boze buitenwereld …

… is ook weer van alles gebeurd, vanwege de korte werkweek had ik deze keer geen tijd om hier de gebruikelijke links naar artikelen op te nemen.