image

Grote e-mailbeveiligers falen bij spear-phishing aanval

vrijdag 23 oktober 2009, 11:20 door Redactie, 5 reacties

Grote, zakelijke e-mail beveiligingssoftware faalt genadeloos in de detectie van gerichte phishingaanvallen, verstuurd vanaf een gespooft e-mailadres. Joshua Perrymon van PacketFocus stuurde een vervalste LinkedIn e-mail naar gebruikers van verschillende bedrijven en in 100% van de gevallen belandde het bericht in de inbox van de gebruiker. Welke leveranciers faalden wil Perrymon nog niet zeggen, maar hij is er niet op uit om bepaalde partijen zwart te maken. De bedrijven en gebruikers die aan het onderzoek meewerkten hadden hiervan te voren toestemming voor gegeven.

"Dit onderzoek wilde de effectiviteit van beschikbare e-mailbeveiliging tegen gerichte en kleinschalige e-mailaanvallen aantonen." De conclusie is volgens de onderzoeker simpel. "Zelfs de meest recente e-mail security appliances zijn niet in staat om gerichte phishingaanvallen te detecteren, ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is." De meeste oplossingen weten wel de grootschalige berichten af te vangen, maar niet de kleine, gevaarlijke spear-phishing berichten. Deze berichten worden vaak naar een handjevol mensen gestuurd, waarbij er slechts één moet toehappen om de gehele aanval een succes te laten zijn.

Vertrouwen
Het is daarom onverstandig om alleen op technologie te vertrouwen om kleinschalige, gerichte aanvallen te detecteren en te stoppen, zegt Perrymon. Hij pleit voor "awareness" programma's en een juist incident respons programma. "De gebruikers moeten regelmatig getest worden om zwakheden in technologie, training en incident response aan te tonen." Daarmee preekt de CEO van PacketFocus voor eigen parochie, aangezien het bedrijf op deze manier zijn geld verdient.

Reacties (5)
23-10-2009, 13:49 door sjonniev
"And because these are social engineering-driven attacks, he says, there is no real fix. " behalve dus awareness, awareness en awareness...

"ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is"

Diverse producten kunnen hier al prima op selecteren, helaas blijkt het zo te zijn dat heel veel bedrijven er wat betreft emailserververmelding in een DNS maar een zootje van maken, zodat het verzoek al snel komt deze controle maar weer uit te zetten, omdat er dan een hoop "legitieme" mail niet binnenkomt.
23-10-2009, 17:07 door Anoniem
Door sjonniev: "Diverse producten kunnen hier al prima op selecteren, helaas blijkt het zo te zijn dat heel veel bedrijven er wat betreft emailserververmelding in een DNS maar een zootje van maken, zodat het verzoek al snel komt deze controle maar weer uit te zetten, omdat er dan een hoop "legitieme" mail niet binnenkomt.

De meeste MTA's kunnen dit al heel lang, daarvoor heb je echt geen appliance voor nodig. De MTA/spam appliance beheerders moeten gewoon es een keer leren, dat soort domme verzoeken niet uit te voeren!

Ik heb genoeg van dat soort verzoeken gewoon niet uitgevoerd. Het is een kwestie van stevig in je schoenen staan, en uitleggen dat de verzendende partij zijn configuratie op orde moet maken. Ik heb heb dan ook een zeer strakke configuratie, waar tot nu toe geen enkele spam door heen is gekomen, zonder dat stompzinnige Bayesian filtering.

1. 5 seconde banner delay
2. geen MAIL zonder HELO/EHLO
3. zender moet een rdns record hebben
4. ptr record moet gelijk zijn aan HELO/EHLO
5. goeie blacklists
6. greylisting

Goed als iemand weet wat hij/zij doet kan iemand nog steeds e-mail afleveren, die niet gewenst is...maar tot nu toe hebben we alleen maar een aantal klachten van wat gebruikers gehad, dat hun e-mail niet aankwam. Als dergelijke klachten binnen komen neem ik contact op met de MTA beheerder om aan te geven wat hij/zij fout doet....maar ik zet echt niets uit. En de meeste MTA beheerders passen hun configuratie dan ook gewoon aan...om ons te kunnen e-mailen....dus gewoon op je strepen blijven staan.
23-10-2009, 19:27 door Anoniem
Dit is een al lang bekend probleem omdat SMTP geen authenticatie heeft.
Je kunt natuurlijk instellen dat email alleen van de hosts in het SPF/Sender Id record mag komen. Dat voorkomt dit soort ongein.
Maar helaas hebben belachelijk veel partijen (inclusief linkedin.com) dit niet (goed) opgezet.
Daar wil de industrie/Internet community niet aan en zolang blijft dit een helaas pindakaas verhaal.
25-10-2009, 12:54 door Anoniem
Kunnen ze de afzender niet koppelen aan een ip-adres? Dan weet je in ieder geval dat het werkelijk via een hotmail-account verzonden is.

Het probleem met spamfilters is hun score;

viagra + aanbieding = spam
viagra + doktersadvies van dr. drake ramore is echte mail

Indien er niet genoeg verdachte woorden gebruikt worden zal een unieke email altijd aankomen, dit is ook de bedoeling van het spamfilter.

Wat een ontdekking......
26-10-2009, 17:36 door Anoniem
Ander nieuws: De aarde blijkt rond, en draait om de zon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.