Tijdens de onlangs in Den Haag gehouden ONE Conference was phishing natuurlijk een onvermijdelijk onderwerp. De meeste phishing-presentaties gaan over de omvang van het probleem, het geniepige van de criminelen achter deze valse mailtjes en waar wij tegenwoordig overal op moeten letten als we e-mail ontvangen. Maar er was één spreekster die het over een andere boeg gooide.
Fleur van Leusden, chief
information security officer (CISO) van de Autoriteit Consument en Markt, sprak
haar gehoor toe over nep-phishingmails, die veel organisaties gebruiken om te
testen of hun medewerkers wel goed opletten. De security-afdeling stelt dan een
mailtje op dat de geadresseerden moet verleiden om op een link te klikken. Doe
je dat, dan kom je op een website die in je gezicht schreeuwt: DIT WAS EEN
TEST! Van Leusden betoogde dat het niet handig is om dergelijke testmailtjes te
versturen. Want het kan ertoe leiden dat medewerkers daarna niet meer aan de
bel trekken als ze échte phishing ontvangen, omdat ze denken dat het wel weer
zo’n test zal zijn, of omdat ze bang zijn te worden uitgelachen als het geen
phishing blijkt te zijn. Het versturen van een nep-phish kan ook het vertrouwen
van medewerkers in de beveiligingsorganisatie schaden, terwijl je dat vertrouwen
juist moet koesteren – je hebt al die medewerkers hard nodig in de strijd tegen
cybercrime en daarvoor heb je een klimaat nodig waarin mensen zich bij je
durven te melden als ze toch op zo’n link hebben geklikt. In sommige
organisaties moet je zelfs vrezen dat je een slechte beoordeling krijgt als je
zakt voor een phishingtest.
Het is ook niet eerlijk. Al die tips die we geven om phishing te
herkennen komen niet exclusief in phishingmail voor. Spelfouten? Niks
bijzonders, er worden dagelijks talloze mailtjes verstuurd met soms
tenenkrommende spelling. Vreemde afzender? Veel bedrijven hebben het versturen
van hun spam reclame uitbesteed, waardoor hun eigen naam niet in het
afzenderadres voorkomt. Rare link? Heb je wel eens gezien hoe raar sommige
valide links er uitzien, bijvoorbeeld als je op ‘wachtwoord vergeten’ hebt
geklikt en dan een mailtje krijgt om je wachtwoord te resetten? En zelfs de
urgentie, die bijna altijd door phishingmail wordt uitgestraald, komt in de
echte wereld ook voor. Zo’n wachtwoordresetlink bijvoorbeeld is vaak ook maar
beperkt houdbaar.
Informatiebeveiligers zijn slecht in het verzenden van fake phishing,
betoogde Van Leusden. We maken namelijk gebruik van insider information. Als voorbeeld liet ze een testmailtje van een
Amerikaans bedrijf zien, waarin werd aangekondigd dat alle medewerkers een
‘holiday bonus’ van $ 650 zouden krijgen omdat het bedrijfsfeest vanwege corona
niet kon doorgaan. De verzender van dat mailtje wéét dus dat er normaliter zo’n
feest is en denkt daar handig op in te spelen. Maar dat maakt het juist heel
moeilijk om het mailtje als phishing te herkennen. Echte phishing gaat over
creditcards of zo. Tenzij het spearphishing
is, maar die wordt niet – zoals het woord al aangeeft – naar het hele bedrijf
gestuurd, maar slechts naar die ene persoon die de crimineel op de korrel
heeft. En het is sowieso niet handig om zo’n nep-phish naar iedereen in het
bedrijf te sturen, want ook dat maakt detectie moeilijker. Er is niemand die
bij de koffieautomaat zegt: “Hè, wat raar, ik heb die mail niet gehad!”
Bovendien is de kans groot dat de techniek zo’n mailtje, dat naar de hele
organisatie is gezonden, eruit filtert.
Wat je met zo’n phishingtest meet, is niet hoe kwetsbaar de organisatie
is voor phishing, aldus Van Leusden, maar hoe goed het beveiligingsteam is in
het voor de gek houden van de organisatie. Kortom: het levert je niet op waar
het je om te doen was.
En wij? Wij hebben nog geen nepmailtjes verzonden. We hebben wel in de
startblokken gestaan: het mailtje, een leuke domeinnaam, de tekst die je te
zien krijgt als je op de link in het mailtje klikt – alles ligt op de plank.
Ergens hogerop in de organisatie is er toch nog aarzeling om door te zetten. In
deze cybersecuritymaand, waarin alles om bewustwording draait, mag je gerust
weten dat ook onze organisatie flirt met de mogelijkheid om zo’n phishingtest
te doen. Daar hoort namelijk ook bij dat je vooraf vertelt wat je gaat doen.
Maar áls we het gaan doen, dan zal ik in ieder geval nog eens kritisch naar het
mailtje kijken, om niet in de door Van Leusden geschetste valkuilen te stappen.
Je moet een eerlijke kans krijgen om het mailtje als phishing te herkennen.
Ik vertrouw erop dat je net zo alert blijft als je al was, of iets alerter
wordt als dat nodig is. Denk in ieder geval nooit: ha leuk, dat zal zo’n
testmailtje zijn, ik ben wel benieuwd wat er gebeurt als ik op die link klik…
Je kunt de presentatie van
Fleur van Leusden (en de rest van de ONE Conference) hier
terugkijken.
Volgende week verschijnt er
geen Security (b)log.
In in de grote boze buitenwereld …
- passen sommige telefoonmerken hun Android-versie zodanig aan, dat veel gegevens worden gedeeld met diverse partijen.
- krijgen we meer internetagenten.
- mag Rusland niet meepraten op de internationale top over cybercrime.
- delen de MIVD en de AIVD te gemakkelijk persoonsgegevens met buitenlandse inlichtingendiensten.
- doen cybercriminelen zich nu ook voor als politieagent.
- schaft Microsoft het wachtwoord af, maar is de juridische wereld daar nog niet klaar voor.
- moeten grote Australische bedrijven voortaan ransomware-aanvallen melden bij de autoriteiten.
- waarschuwde de politie per brief afnemers van “DDoS-leveranciers” dat ze verkeerd bezig zijn.
- zijn Office365-accounts populaire doelwitten.