Grote e-mailbeveiligers falen bij spear-phishing aanval
Grote, zakelijke e-mail beveiligingssoftware faalt genadeloos in de detectie van gerichte phishingaanvallen, verstuurd vanaf een gespooft e-mailadres. Joshua Perrymon van PacketFocus stuurde een vervalste LinkedIn e-mail naar gebruikers van verschillende bedrijven en in 100% van de gevallen belandde het bericht in de inbox van de gebruiker. Welke leveranciers faalden wil Perrymon nog niet zeggen, maar hij is er niet op uit om bepaalde partijen zwart te maken. De bedrijven en gebruikers die aan het onderzoek meewerkten hadden hiervan te voren toestemming voor gegeven.
"Dit onderzoek wilde de effectiviteit van beschikbare e-mailbeveiliging tegen gerichte en kleinschalige e-mailaanvallen aantonen." De conclusie is volgens de onderzoeker simpel. "Zelfs de meest recente e-mail security appliances zijn niet in staat om gerichte phishingaanvallen te detecteren, ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is." De meeste oplossingen weten wel de grootschalige berichten af te vangen, maar niet de kleine, gevaarlijke spear-phishing berichten. Deze berichten worden vaak naar een handjevol mensen gestuurd, waarbij er slechts één moet toehappen om de gehele aanval een succes te laten zijn.
Vertrouwen
Het is daarom onverstandig om alleen op technologie te vertrouwen om kleinschalige, gerichte aanvallen te detecteren en te stoppen, zegt Perrymon. Hij pleit voor "awareness" programma's en een juist incident respons programma. "De gebruikers moeten regelmatig getest worden om zwakheden in technologie, training en incident response aan te tonen." Daarmee preekt de CEO van PacketFocus voor eigen parochie, aangezien het bedrijf op deze manier zijn geld verdient.
"ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is"
Diverse producten kunnen hier al prima op selecteren, helaas blijkt het zo te zijn dat heel veel bedrijven er wat betreft emailserververmelding in een DNS maar een zootje van maken, zodat het verzoek al snel komt deze controle maar weer uit te zetten, omdat er dan een hoop "legitieme" mail niet binnenkomt.
De meeste MTA's kunnen dit al heel lang, daarvoor heb je echt geen appliance voor nodig. De MTA/spam appliance beheerders moeten gewoon es een keer leren, dat soort domme verzoeken niet uit te voeren!
Ik heb genoeg van dat soort verzoeken gewoon niet uitgevoerd. Het is een kwestie van stevig in je schoenen staan, en uitleggen dat de verzendende partij zijn configuratie op orde moet maken. Ik heb heb dan ook een zeer strakke configuratie, waar tot nu toe geen enkele spam door heen is gekomen, zonder dat stompzinnige Bayesian filtering.
1. 5 seconde banner delay
2. geen MAIL zonder HELO/EHLO
3. zender moet een rdns record hebben
4. ptr record moet gelijk zijn aan HELO/EHLO
5. goeie blacklists
6. greylisting
Goed als iemand weet wat hij/zij doet kan iemand nog steeds e-mail afleveren, die niet gewenst is...maar tot nu toe hebben we alleen maar een aantal klachten van wat gebruikers gehad, dat hun e-mail niet aankwam. Als dergelijke klachten binnen komen neem ik contact op met de MTA beheerder om aan te geven wat hij/zij fout doet....maar ik zet echt niets uit. En de meeste MTA beheerders passen hun configuratie dan ook gewoon aan...om ons te kunnen e-mailen....dus gewoon op je strepen blijven staan.
Je kunt natuurlijk instellen dat email alleen van de hosts in het SPF/Sender Id record mag komen. Dat voorkomt dit soort ongein.
Maar helaas hebben belachelijk veel partijen (inclusief linkedin.com) dit niet (goed) opgezet.
Daar wil de industrie/Internet community niet aan en zolang blijft dit een helaas pindakaas verhaal.
Het probleem met spamfilters is hun score;
viagra + aanbieding = spam
viagra + doktersadvies van dr. drake ramore is echte mail
Indien er niet genoeg verdachte woorden gebruikt worden zal een unieke email altijd aankomen, dit is ook de bedoeling van het spamfilter.
Wat een ontdekking......
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
