Nu internetcriminelen steeds vaker van e-mailserviceproviders (ESP's) gebruikmaken om ransomware en andere malware te verspreiden, doen organisaties er verstandig aan om gevaarlijke e-mailbijlagen en het downloaden van zip-bestanden te blokkeren, zodat die niet bij eindgebruikers terecht kunnen komen.
Dat adviseert het Computer Emergency Response Team van de Zwitserse overheid (GovCERT). Aanleiding voor het advies is een spamrun die de Dridex-malware verspreidde. Dit is een banking Trojan die speciaal ontwikkeld is om gegevens voor internetbankieren te stelen zodat criminelen geld van rekeningen kunnen stelen. De e-mails waren via de ESP SendGrid verstuurd.
Een ESP is een bedrijf dat mailings voor andere bedrijven verzorgt. Daardoor hebben veel e-mailservers en spamfilters de ip-adressen van een ESP gewhitelist. In het geval cybercriminelen via een ESP hun mails laten versturen is de kans ook veel groter dat de berichten aankomen. GovCERT zag het aantal meldingen van phishingmails met een factor 8 toenemen nadat de Dridex-mails via SendGrid waren verstuurd. De overheidsinstantie benaderde SendGrid, maar heeft nog altijd geen reactie op de abusemelding ontvangen.
GovCERT geeft daarom verschillende adviezen zodat gebruikers en organisaties zich kunnen beschermen. Zo moeten gebruikers niet alleen op hun virusscanner vertrouwen. "Hoewel belangrijk kan anti-virus je niet tegen alles beschermen en zorgt er niet voor dat je onvoorzichtig kunt zijn." In het geval van bedrijven doen die er verstandig aan om gevaarlijke e-mailbijlagen met zip-, rar-, js-, jar-, bat-, exe-, cpl-, scr-, com-, pif-, vbs-, ps1-, wsf-, docm-, xlsm- en pptm-bestanden te blokkeren.
Daarnaast moeten ook Office-bestanden met macro's door de e-mailgateway worden geblokkeerd. Ook moet het voor werknemers niet mogelijk zijn om zip- en rar-bestanden te downloaden. Dit kan via een webproxy worden geblokkeerd. Verder wordt nog geadviseerd om e-mailstandaarden zoals SPF, DKIM en DMARC te implementeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.