Nep-phish

Tijdens de onlangs in Den Haag gehouden ONE Conference was phishing natuurlijk een onvermijdelijk onderwerp. De meeste phishing-presentaties gaan over de omvang van het probleem, het geniepige van de criminelen achter deze valse mailtjes en waar wij tegenwoordig overal op moeten letten als we e-mail ontvangen. Maar er was één spreekster die het over een andere boeg gooide.

Fleur van Leusden, chief information security officer (CISO) van de Autoriteit Consument en Markt, sprak haar gehoor toe over nep-phishingmails, die veel organisaties gebruiken om te testen of hun medewerkers wel goed opletten. De security-afdeling stelt dan een mailtje op dat de geadresseerden moet verleiden om op een link te klikken. Doe je dat, dan kom je op een website die in je gezicht schreeuwt: DIT WAS EEN TEST! Van Leusden betoogde dat het niet handig is om dergelijke testmailtjes te versturen. Want het kan ertoe leiden dat medewerkers daarna niet meer aan de bel trekken als ze échte phishing ontvangen, omdat ze denken dat het wel weer zo’n test zal zijn, of omdat ze bang zijn te worden uitgelachen als het geen phishing blijkt te zijn. Het versturen van een nep-phish kan ook het vertrouwen van medewerkers in de beveiligingsorganisatie schaden, terwijl je dat vertrouwen juist moet koesteren – je hebt al die medewerkers hard nodig in de strijd tegen cybercrime en daarvoor heb je een klimaat nodig waarin mensen zich bij je durven te melden als ze toch op zo’n link hebben geklikt. In sommige organisaties moet je zelfs vrezen dat je een slechte beoordeling krijgt als je zakt voor een phishingtest.

Het is ook niet eerlijk. Al die tips die we geven om phishing te herkennen komen niet exclusief in phishingmail voor. Spelfouten? Niks bijzonders, er worden dagelijks talloze mailtjes verstuurd met soms tenenkrommende spelling. Vreemde afzender? Veel bedrijven hebben het versturen van hun spam reclame uitbesteed, waardoor hun eigen naam niet in het afzenderadres voorkomt. Rare link? Heb je wel eens gezien hoe raar sommige valide links er uitzien, bijvoorbeeld als je op ‘wachtwoord vergeten’ hebt geklikt en dan een mailtje krijgt om je wachtwoord te resetten? En zelfs de urgentie, die bijna altijd door phishingmail wordt uitgestraald, komt in de echte wereld ook voor. Zo’n wachtwoordresetlink bijvoorbeeld is vaak ook maar beperkt houdbaar.

Informatiebeveiligers zijn slecht in het verzenden van fake phishing, betoogde Van Leusden. We maken namelijk gebruik van insider information. Als voorbeeld liet ze een testmailtje van een Amerikaans bedrijf zien, waarin werd aangekondigd dat alle medewerkers een ‘holiday bonus’ van $ 650 zouden krijgen omdat het bedrijfsfeest vanwege corona niet kon doorgaan. De verzender van dat mailtje wéét dus dat er normaliter zo’n feest is en denkt daar handig op in te spelen. Maar dat maakt het juist heel moeilijk om het mailtje als phishing te herkennen. Echte phishing gaat over creditcards of zo. Tenzij het spearphishing is, maar die wordt niet – zoals het woord al aangeeft – naar het hele bedrijf gestuurd, maar slechts naar die ene persoon die de crimineel op de korrel heeft. En het is sowieso niet handig om zo’n nep-phish naar iedereen in het bedrijf te sturen, want ook dat maakt detectie moeilijker. Er is niemand die bij de koffieautomaat zegt: “Hè, wat raar, ik heb die mail niet gehad!” Bovendien is de kans groot dat de techniek zo’n mailtje, dat naar de hele organisatie is gezonden, eruit filtert.

Wat je met zo’n phishingtest meet, is niet hoe kwetsbaar de organisatie is voor phishing, aldus Van Leusden, maar hoe goed het beveiligingsteam is in het voor de gek houden van de organisatie. Kortom: het levert je niet op waar het je om te doen was.

En wij? Wij hebben nog geen nepmailtjes verzonden. We hebben wel in de startblokken gestaan: het mailtje, een leuke domeinnaam, de tekst die je te zien krijgt als je op de link in het mailtje klikt – alles ligt op de plank. Ergens hogerop in de organisatie is er toch nog aarzeling om door te zetten. In deze cybersecuritymaand, waarin alles om bewustwording draait, mag je gerust weten dat ook onze organisatie flirt met de mogelijkheid om zo’n phishingtest te doen. Daar hoort namelijk ook bij dat je vooraf vertelt wat je gaat doen. Maar áls we het gaan doen, dan zal ik in ieder geval nog eens kritisch naar het mailtje kijken, om niet in de door Van Leusden geschetste valkuilen te stappen. Je moet een eerlijke kans krijgen om het mailtje als phishing te herkennen.

Ik vertrouw erop dat je net zo alert blijft als je al was, of iets alerter wordt als dat nodig is. Denk in ieder geval nooit: ha leuk, dat zal zo’n testmailtje zijn, ik ben wel benieuwd wat er gebeurt als ik op die link klik…

Je kunt de presentatie van Fleur van Leusden (en de rest van de ONE Conference) hier terugkijken.

Volgende week verschijnt er geen Security (b)log.

 

In in de grote boze buitenwereld …

• passen sommige telefoonmerken hun Android-versie zodanig aan, dat veel gegevens worden gedeeld met diverse partijen.
• krijgen we meer internetagenten.
• mag Rusland niet meepraten op de internationale top over cybercrime.
• delen de MIVD en de AIVD te gemakkelijk persoonsgegevens met buitenlandse inlichtingendiensten.
• doen cybercriminelen zich nu ook voor als politieagent.
• schaft Microsoft het wachtwoord af, maar is de juridische wereld daar nog niet klaar voor.
• moeten grote Australische bedrijven voortaan ransomware-aanvallen melden bij de autoriteiten.
• waarschuwde de politie per brief afnemers van “DDoS-leveranciers” dat ze verkeerd bezig zijn.
• zijn Office365-accounts populaire doelwitten.

 

Wild

Born to be wild. Deze slogan was lange tijd te lezen als je over de A2 langs de fabriek van VDL Nedcar reed. Hij stond op de zijkant van een verhoging waarop een Mini stond die leek op te stijgen. De leus was een aardige woordgrap: de autofabriek staat in de Limburgse plaats Born.

Woensdagnacht werden ze helemaal wild in Born, maar dan niet omdat het zoveelste leuke autootje van de band rolde of zo. Nee, moederbedrijf VDL Groep werd het slachtoffer van een cyberaanval, die onder andere de Nedcar-fabriek volledig platlegde – als in: er rolt daar nu even geen enkele auto meer van de band. Ook de rest van de 105 bedrijven van het concern, verdeeld over negentien landen, is “in meer of mindere mate” door de aanval getroffen, zegt het bedrijf.

Het lijkt erop dat het concern door een ransomware-aanval is getroffen, al houdt het bedrijf de kaken nog stijf op elkaar over de aard van de cyberaanval. Er is daar heel wat te halen: de concernomzet bedroeg vorig jaar bijna 4,7 miljard euro. Cybercriminelen, die ook steeds verder professionaliseren, hebben geleerd dat aan grote bedrijven meer kan worden verdiend dan aan particulieren.

Tegenwoordig gaat het bij ransomware vaak niet meer alleen om het versleutelen van bestanden. Bij een besmetting worden ook gegevens gestolen, en dan bestaat de eis van de criminelen uit twee delen: betaal om je gegevens te kunnen ontsleutelen én om ons de buitgemaakte gegevens niet te laten publiceren. Dat laatste ligt – zeker bij een technologiebedrijf – gevoelig. VDL doet veel meer dan alleen auto’s en bussen. Zo zijn ze ook een belangrijke toeleverancier voor ASML, dat wereldwijd de markt leidt voor machines die computerchips maken. Bij deze aanval zijn niet alleen de bedrijfsgeheimen van VDL in het geding, maar mogelijk ook die van hun klanten. Om erger te voorkomen heeft VDL alle onlinesystemen uitgezet. Lassers kunnen nog wel werken, maar zo’n beetje iedereen, die afhankelijk is van informatiesystemen, zit thuis.

Bij de vele nieuwsbronnen die ik over dit voorval geraadpleegd heb, valt één zin in De Telegraaf op: “Doordat veel processen verregaand zijn geautomatiseerd en gedigitaliseerd, raakt de aanval ook de productie.” Dat impliceert dat er geen scheiding is aangebracht tussen IT en OT, waarbij IT de informatietechnologie voor kantoormensen is en OT fabrieksmensen bedient (operational technology). Zo’n scheiding is van cruciaal belang bij installaties die rampen kunnen veroorzaken; denk daarbij aan chemiefabrieken, waterkeringen en luchtvaart. Je moet er toch niet aan denken dat een terrorist door middel van een phishing-mail aan een KLM-medewerker uiteindelijk toegang krijgt tot de systemen aan boord van een vliegtuig. Ook ‘gewone’ industriële bedrijven doen er goed aan om IT en OT van elkaar gescheiden te houden, zo laat de VDL-hack maar weer eens zien.

Maar dan moet de bedrijfsleiding de problematiek wel begrijpen én gepaste maatregelen willen treffen (lees: bereid zijn om substantieel in beveiliging te investeren). Op Twitter schreef iemand: “Ik heb daar een aantal jaren geleden voor een paar maanden rondgelopen. De ICT'ers zijn goede mensen maar vanuit VDL werd iedere cent omgekeerd. Er was nergens geld voor. Het was roeien met de riemen die ze hadden.” Ik kan dat bericht niet verifiëren, maar VDL zou niet het enige bedrijf zijn waar dat zo werkt. Journalist Huib Modderkolk beschrijft in zijn boek Het is oorlog maar niemand die het ziet hoe het op dat punt eraan toeging bij de APM-terminals in de Rotterdamse haven, die in 2017 werden getroffen door een ransomware-aanval die begon bij moederbedrijf Maersk in Oekraïne en van daaruit de hele wereld over ging: APM had totaal geen oog voor digitale beveiliging. Software werd niet ge-updatet, er waren virusscanners noch firewalls in gebruik op kritische systemen en verbindingen. Waarschuwingen van beveiligingsdeskundigen werden in de wind geslagen.

Vorig jaar was VDL ook al het doelwit van een hackaanval, schrijft NRC, maar die kon worden afgeweerd. Je zou verwachten dat zo’n gebeurtenis het management wel wakker schudt. Of dat nodig was en ook is gebeurd, weet ik niet. Maar ik kan ook niet uitsluiten dat men dacht: de aanval is afgeweerd, dus we zijn hartstikke veilig; geen verdere actie nodig. Voor mensen, die zo denken, haal ik maar weer eens een oud gezegde van stal: beveiliging is geen product, maar een proces.

De hit Born to be wild van Steppenwolf uit 1969 bevat de volgende regels: “Fire all of your guns at once/And explode into space”. Dat eerste lijkt inmiddels bij VDL te zijn gebeurd. Hopelijk blijft het tweede ze daar in Born bespaard.

 

En in de grote boze buitenwereld …

• zijn cyberaanvallen in Nederland aan de orde van de dag.
• staat daar een forse toename van het aantal cybersecuritybedrijven tegenover.
• wil de Tweede Kamer actie tegen ransomware.
• gaan we misschien wel de krijgsmacht inzetten bij een ransomware-aanval.
• waarschuwde Google duizenden gebruikers dat ze doelwit waren van Russische phishing.
• meldde ook Microsoft dat veel cyberaanvallen uit Rusland komen.
• is in de VS wetgeving in de maak die bedrijven verplicht om losgeldbetalingen te melden.
• gaat Google automatisch tweefactorauthenticatie aanzetten.
• hadden hackers vijf jaar lang toegang tot een bedrijf dat wereldwijd sms-berichten routeert.
• vragen kaartverkopers soms meer gegevens dan nodig en wenselijk is.
• heeft de AIVD een cybersecurity-aanpak gepubliceerd.
• kun je de presentaties van de ONE Conference terugkijken.

 

Twee stappen terug

“Beste beheerders, het wachtwoord van ons testaccount AABBCC01 is verlopen. Kunnen jullie dat resetten naar AABBCC00? Of blijft het wachtwoord gelijk aan de user-id?” Dit is een bijna letterlijke weergave van een mailtje van een testteam aan een beheerteam. Er wordt gevraagd om een nieuw wachtwoord, dat op één positie afwijkt van de user-id. Of daar zelfs gelijk aan is.

Ik kom daar zo op terug. Maar eerst dit. Oktober is traditioneel de cybersecuritymaand. Een maand, waarin wereldwijd extra aandacht wordt gevraagd voor de gevaren waarmee je te maken krijgt zodra je een voet op het internet zet. Voor veel mensen ligt dat tijdstip tegenwoordig onmiddellijk na hun geboorte, wanneer de trotse ouders de nieuwe wereldburger online zetten en daarmee zijn eerste persoonsgegevens lekken: naam, geboortedatum, foto. Het woonadres is voor een beetje googelaar gemakkelijk erbij te vinden. Ik ken – nog – geen gevallen waarbij de gegevens van baby’s misbruikt zijn, waarschijnlijk omdat bij hen niks te halen valt. Wat ik ermee wil aangeven is dat digitale presentie tegenwoordig zowat onvermijdelijk is en vaak buiten het medeweten en al helemaal zonder goedkeuring van de betrokkene plaatsvindt.

In Nederland vieren we de cybersecuritymaand met de campagne Alert Online (een initiatief van het ministerie van Economische Zaken en Klimaat). Deze korte naam geeft precies weer waar het om gaat: dat je alert bent als je online gaat. Want de tragiek van die geweldige uitvinding, het internet, is dat het een afspiegeling is geworden van het echte leven, compleet met pestkoppen, criminelen, spionnen en idioten. Om dit onder de aandacht te brengen én om de weerbaarheid te vergroten, organiseren tal van organisaties activiteiten. Die zijn voor een deel gericht op de eigen medewerkers, maar er zijn ook tal van activiteiten voor een breder publiek (vaak is deelname kosteloos, maar niet altijd).

Toen ik dat mailtje uit de eerste alinea onder ogen kreeg, verzuchtte ik: “Wat hebben we aan al die mooie awareness-programma’s en -activiteiten, als het al helemaal aan de basis misgaat? Jongens, we moeten een flinke stap terugdoen, want we zijn mensen kwijtgeraakt terwijl we dachten dat we flink aan het opstomen waren!” Want er is van alles mis met dat mailtje. Het begint ermee dat de aanvrager zijn wachtwoord niet zelf wijzigt, maar dat aan een beheerder overlaat, waardoor de geheimhouding wordt doorbroken. En de meest mensen beseffen tegenwoordig dat een wachtwoord, dat (bijna) gelijk is aan het user-id, niet in aanmerking komt voor de kwalificatie ‘sterk’. Oké, het gaat hierbij slechts om een account in een testomgeving, maar het op peil houden van een zekere basishygiëne is overál belangrijk. Net zoals ik ervan overtuigd ben dat veilig gedrag thuis uitstraalt op hoe je je in je werk gedraagt, zo bang ben ik dat onveilig gedrag in de ene omgeving meegenomen wordt naar een andere.

In de Luxemburgse stad Echternach vindt ieder jaar een processie plaats om Sint Willibrordus te herdenken. Tot 1947 werden in deze optocht steeds drie stappen vooruit gezet, gevolgd door twee stappen achteruit. Daar hebben we de uitdrukking “processie van Echternach” aan overgehouden voor zaken die moeizaam voortgang boeken doordat er steeds weer een stap terug moet worden gezet. Het lijkt er nu op dat we met beveiligingsbewustzijn op het punt zijn beland dat we een flinke stap terug moeten doen om de mensen, die we onderweg zijn kwijtgeraakt, weer aan boord te krijgen. En zo’n mailtje herinnert ons ook eraan dat we, terwijl we toch echt wel vooruitgang boeken, regelmatig in de achteruitkijkspiegel moeten kijken om te zien of iedereen ons kan bijbenen.

Op slechts 1 enkele dag in het jaar vieren we Moederdag, terwijl verreweg de meeste moeders het verdienen om vaker in het zonnetje te worden gezet. Het thema informatiebeveiliging komt er met een hele maand aandacht al wat beter van af. Moeders verdienen meer aandacht, digitale veiligheid vereist het zelfs. Deze twee kwamen onlangs op een onverwachte plek samen. De Amerikaanse informatiebeveiliger Micah Lee onderzocht een lijst van twaalfduizend wachtwoorden. Daarin kwam maar liefst zeven keer ‘Jemoeder1’ voor (‘je moeder’ is een populaire uitdrukking onder tieners).

En in de grote boze buitenwereld …

• heeft James Bond bewust geen iPhone.
• zou 007 anders goed op z’n digitale portemonnee moeten letten.
• wil nu ook de Duitse overheid weten hoe veilig Chinese smartphones zijn.
• vind je hier een top-10 van preventieve maatregelen tegen ransomware, en een stappenplan voor als het toch misgaat.
• heeft het ministerie van Buitenlandse Zaken het beleid geëvalueerd dat zich richt op cyberdreigingen van statelijke actoren.
• moet het hele middelbaar en hoger onderwijs op een SOC worden aangesloten.
• blokkeer je gemakkelijk iemand die je lastigvalt op social media, chat-apps of datingsites.
• neemt nu zelfs De Rechtspraak afscheid van de fax.
• verdwijnt een puber achter de tralies voor onder andere phishing.
• adviseert de NSA over het kiezen en beveiligen van VPN-servers.
• wil Bart Jacobs een privacy-vriendelijk sociaal netwerk starten.
• worden steeds meer virusscanners erg goed in hun werk.
• licht de overheid haar eigen gebruik van Facebook door.