Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

Kent u de verschillen tussen spear phishing en vishing of tussen die van whaling en clone phishing? We leggen uit hoe elk type bedreiging is te herkennen.

Elk datalek en online-aanval lijkt een soort phishing-poging te zijn om wachtwoordreferenties te stelen, frauduleuze transacties te starten of iemand te verleiden tot het downloaden van malware. Begin 2016 leverde 93 procent van de phishing-e-mails ransomware af, volgens statistieken van PhishMe. En volgens Luis Corrons, Technical Director van de PandaLabs en rapporterende analist van Trends Report, was in 2016 ‘s werelds meest geïnfecteerde land China, waar 47,09% van de machines is geïnfecteerd, in Nederland was dit 20,43%, (bron AWPG).

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

Bedrijven herinneren gebruikers er regelmatig aan dat ze op moeten passen voor phishing-aanvallen, maar veel gebruikers weten niet echt hoe ze deze moeten herkennen. Een reden hiervoor is het feit dat deze aanvallen vele vormen kunnen aannemen. Phishing-aanvallen zijn er in alle soorten en maten, al of niet gericht op specifieke personen binnen een organisatie die toegang hebben tot gevoelige gegevens.

Phishing is een cyberaanval die meestal een vermomde e-mail als wapen gebruikt. Het doel is om de e-mailontvanger ertoe te brengen te geloven dat het bericht iets is dat ze willen of nodig hebben,een verzoek van hun bank bijvoorbeeld of een notitie van iemand in hun bedrijf, en om vervolgens op een koppeling te klikken of een bijlage te downloaden.

Wat phishing echt onderscheidt, is de vorm van de boodschap: de aanvallers vermommen zich als een soort van vertrouwde entiteit, vaak een echte of plausibel echte persoon, of een bedrijf waarmee het slachtoffer zaken zou kunnen doen. Het is een van de oudste typen cyberaanvallen, daterend uit de jaren 90, en het is nog steeds een van de meest voorkomende en schadelijke, waarbij phishing-berichten en -technieken steeds geavanceerder worden.

Bekijk de security awareness tips van Avantess-IAM.

Gebruikers zijn meestal slecht in het herkennen van vormen van oplichting. Volgens een Cybersecurity-rapport van Verizon (Who’s responsible for cybersecurity?)\,heeft een aanvaller die 10 phishing-e-mails verstuurt een kans van 90 procent dat één persoon ervoor zal vallen. Dit lijkt in eerste instantie absurd, maar het is redelijk als dit wordt beschouwd in de context van gebruikers van buiten het security technologie werkgebied, zoals die in productie, gezondheidszorg en onderwijs.

Laten we kijken naar de verschillende soorten phishing aanvallen en hoe deze te herkennen.

1. Wat is Phishing?

Massale e-mails:

De meest gebruikelijke vorm van phishing is het algemene, massaal gemailde type, waarbij iemand een e-mail verzendt die zich als iemand anders voordoet en probeert de ontvanger te misleiden door iets te doen. Dit is meestal het zich laten aanmelden bij een website of door via een link malware te downloaden. Aanvallen zijn vaak afhankelijk van e-mail-spoofing, waarbij de e-mailheader – het van-veld – is vervalst om het bericht weer te geven alsof het door een vertrouwde afzender is verzonden.

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

Phishing-aanvallen zien er echter niet altijd uit als een e-mailbericht over een bezorging van de Post NL, een waarschuwingsbericht van de bank over verlopen wachtwoorden of een e-mail van Office 365 over opslagquota. Sommige aanvallen zijn gemaakt om specifiek gericht te zijn op organisaties en individuen, en anderen zijn afhankelijk van andere methoden dan e-mail

2. Wat is Spear Phishing?

Specifieke doelen nastreven:

Phishing-aanvallen ontlenen hun naam aan het idee dat fraudeurs op willekeurige slachtoffers vissen door vervalste of frauduleuze e-mail als aas te gebruiken. Speer-phishing-aanvallen breiden de visserijanalogie uit, aangezien aanvallers zich specifiek richten op organisaties en slachtoffers met voor hen een hoge waarde.

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

In plaats van te proberen bankreferenties te krijgen voor 1000 consumenten, kan de aanvaller het lucratiever vinden om een ​​handjevol bedrijven te targeten. Een aanvaller uit een schurken-staat kan zich richten op een overheidsfunctionaris, of een medewerker die voor een overheidsinstantie in een ander land werkt, om staatsgeheimen te stelen.

Speer-phishing-aanvallen zijn buitengewoon succesvol omdat aanvallers veel tijd besteden aan het maken van informatie die specifiek is voor de ontvanger, zoals het verwijzen naar een vergadering die de ontvanger mogelijk heeft bijgewoond of het verzenden van een schadelijke bijlage waarbij de bestandsnaam verwijst naar een onderwerp waarin de ontvanger is geïnteresseerd.

Voorbeeld:

In een recente phishing-campagne richtte Group 74 (ook bekend als Sofact, APT28, Fancy Bear) zich op cybersecurity-professionals met een e-mail die deed alsof ze deel uit maakte van de conferentie Cyber ​​Conflict US, een evenement georganiseerd door het Army Cyber ​​Institute van de Amerikaanse militaire academie, de NATO Cooperative Cyber ​​Military Academy en het NATO Cooperative Cyber ​​Defense Centre of Excellence. Hoewel CyCon een echte conferentie is, was de bijlage feitelijk een document met een kwaadwillende Visual Basic for Applications (VBA) -macro die de verkenningsmalware Seduploader zou downloaden en uitvoeren.

3. Wat is de Whaling?

Ga achter de grote vissen aan:

Verschillende slachtoffers, verschillende opbrengsten. Een phishingaanval die specifiek gericht is op de topbestuurders van de onderneming, wordt whaling genoemd, aangezien het slachtoffer als van grote waarde wordt beschouwd en de gestolen informatie waardevoller is dan wat een reguliere werknemer kan bieden.

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

De accountgegevens van een CEO openen meer deuren dan een doorsnee medewerker. Het doel is om gegevens, werknemersinformatie en contant geld te stelen.

Whaling vereist ook aanvullend onderzoek omdat de aanvaller moet weten met wie het beoogde slachtoffer communiceert en welke discussies hij heeft. Voorbeelden zijn verwijzingen naar klachten van klanten, wettelijke dagvaardingen of zelfs een probleem in de executive suite. Aanvallers beginnen meestal met social engineering om informatie over het slachtoffer en het bedrijf te verzamelen voordat ze de phishing-boodschap opstellen die zal worden gebruikt bij de whaling aanval.

4. Wat is een Business E-mail Compromise (BEC)?

Zich voordoen als de CEO:

Afgezien van massaal gedistribueerde algemene phishing-campagnes, richten criminelen zich op belangrijke personen in financiële en boekhoudafdelingen via e-mailcompromissen voor business e-mail (BEC) en e-mailfraude voor CEO’s. Door zich voor te doen als CEO’s, proberen deze criminelen slachtoffers te misleiden om geld over te maken naar ongeoorloofde rekeningen.

Employees targeted by BEC

uit: Cyber crime and digital treds

Doorgaans misbruiken aanvallers de e-mailaccount van een leidinggevende of financiële functionaris door gebruik te maken van een bestaande infectie of via een spear-phishingaanval. De aanvaller volgt de e-mailactiviteit van de leidinggevende gedurende een bepaalde periode om meer te weten te komen over processen en procedures binnen het bedrijf. De daadwerkelijke aanval neemt de vorm aan van een valse e-mail die eruitziet alsof deze afkomstig is van het account van de gecompromitteerde chef die wordt gestuurd naar iemand die een normale ontvanger is. De e-mail lijkt belangrijk en urgent te zijn en vraagt ​​de ontvanger om een ​​overboeking naar een externe of onbekende bankrekening. Het geld belandt uiteindelijk op de bankrekening van de aanvaller.

Volgens het Internet Crime Complaint Center van de FBI hebben BEC-oplichting meer dan $ 4,5 miljard aan feitelijke en gepoogde verliezen gegenereerd en zijn ze een enorm wereldwijd probleem.

5. Wat Clone Phishing?

Kopieën zijn net zo effectief:

Bij klonen met phishing moet de aanvaller een bijna identieke replica van een legitiem bericht maken om het slachtoffer voor de gek te houden. De e-mail wordt verzonden vanaf een adres dat lijkt op de legitieme afzender en de inhoud van het bericht ziet er hetzelfde uit als een vorig bericht.

Het enige verschil is dat de bijlage of de koppeling in het bericht is verwisseld met een kwaadwillende. De aanvaller kan iets zeggen in de trant van het opnieuw moeten verzenden van het origineel, of een bijgewerkte versie, om uit te leggen waarom het slachtoffer het “zelfde” bericht opnieuw ontving.

Deze aanval is gebaseerd op een eerder onderschepte, legitieme boodschap, waardoor het waarschijnlijker is dat gebruikers zullen vallen voor de aanval. Een aanvaller die al een gebruiker heeft geïnfecteerd, kan deze techniek gebruiken tegen een andere persoon die ook het bericht heeft ontvangen dat wordt gekloond. In een andere variant kan de aanvaller een gekloonde website maken met een vervalst domein om het slachtoffer voor de gek te houden.

6. Wat is Vishing?

Phishing via de telefoon:

Vishing staat voor “voice phishing” en er wordt gebruik gemaakt van de telefoon. Doorgaans ontvangt het slachtoffer een oproep met een gesproken bericht vermomd als communicatie van een financiële instelling.

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

Het bericht kan de ontvanger bijvoorbeeld vragen om een nummer te bellen en zijn of haar accountgegevens of PIN in te voeren voor beveiliging of andere officiële doeleinden. Het telefoonnummer gaat echter rechtstreeks over naar de aanvaller via een voice-over-IP-service.

Onlangs zijn criminelen begonnen met het bellen van slachtoffers die zich voordeed als Apple-technische ondersteuning en gebruikers een nummer gaven om te bellen om eent beveiligingsprobleem op te lossen. Net als bij de oude Windows-softwareondersteuning, maken deze oplichting gebruik van de angst van gebruikers dat hun apparaten worden gehackt.

7. Wat is Snowshoeing?

Verspreiding van giftige berichten:

Snowshoeing, of ‘hit-and-run’-spam, vereist dat aanvallers berichten verzenden via meerdere domeinen en IP-adressen. Elk IP-adres verzendt een laag aantal berichten, dus op reputatie- of volume gebaseerde spamfiltertechnologieën kunnen schadelijke berichten niet meteen herkennen en blokkeren. Sommige berichten komen in de e-mailpostvakken voordat de filters leren om ze te blokkeren.

Hailstorm-campagnes werken hetzelfde als Snowshoeing, behalve dat de berichten in een extreem korte tijd worden verzonden. Sommige van deze aanvallen eindigen als de anti-spamfilters ze blokkeren, deze werken vervolgens de filters bij om toekomstige berichten te blokkeren. Vaak echter zijn de aanvallers dan al doorgegaan naar een volgende campagne.

8. De gebruiker en phishing

Herken ik het wel:

Gebruikers zijn niet goed in het begrijpen van de impact van een phishing-aanval. Een redelijk ervaren gebruiker kan mogelijk het risico van het klikken op een koppeling in een e-mail beoordelen, omdat dit kan leiden tot het downloaden van malware of het opvolgen van oplichtingsberichten die om geld vragen.

Phishing, verschillende soorten aanvallen en hoe deze te identificeren.

Een naïeve gebruiker kan echter denken dat er niets gebeurt, of eindigen met spam-advertenties en pop-ups. Alleen de meest ervaren gebruikers kunnen een schatting maken van de potentiële schade door diefstal van gegevens en accountcompromissen. Deze risicobeoordelingskloof maakt het moeilijker voor gebruikers om de ernst van het herkennen van kwaadaardige berichten te bevatten. Ondanks de aanhoudende investeringen in security technische oplossingen blijven phishing-e-mails de inboxen van werknemers elke dag bereiken.

9. Hoe phishing te voorkomen

De beste manier om phishing-e-mails te leren herkennen, is door voorbeelden te bestuderen!

[Zie: 15 real-world phishing examples — and how to recognize them-]

Meer voorbeelden zijn te vinden op een website die wordt bijgehouden door de afdeling technologie van Lehigh University, waar ze een galerij van recente phishing-e-mails bijhouden die studenten en medewerkers ontvangen.

Er zijn ook een aantal stappen die u kunt nemen en denkrichtingen waarmee u rekening moet houden, zodat u geen slachtoffer  wordt, waaronder:

  1. Controleer altijd de spelling van de URL’s in e-mailkoppelingen voordat u klikt of gevoelige informatie invoert

  2. Pas op voor URL-omleidingen, waar u subtiel naar een andere website met hetzelfde ontwerp wordt verzonden

  3. Als u een e-mail ontvangt van een bekende bron, maar deze lijkt verdacht, neemt u contact op met die bron met een nieuwe e-mail in plaats van alleen op het antwoord te reageren

  4. Plaats geen persoonlijke gegevens, zoals uw verjaardag, vakantieplannen of uw adres of telefoonnummer, publiekelijk op sociale media

Organisaties moeten bestaande en nieuwe bewustmakingscampagnes zoals het gebruik van een Security Awareness App overwegen en ervoor zorgen dat werknemers de tools krijgen om verschillende soorten aanvallen te herkennen.

Organisaties moeten ook de beveiliging verbeteren, omdat sommige traditionele e-mailbeveiligingstools, zoals spamfilters, onvoldoende verdediging bieden tegen sommige phishing-typen. Spamfilters zijn bijvoorbeeld niet handig tegen BEC-aanvallen. 

Parts of this blog early published by CSO