Europol: gebruiker speelt essentiële rol in voorkomen van phishing
Gebruikers spelen een essentiële rol in het voorkomen van spearphishing aangezien technische oplossingen alleen niet voldoende tegen dergelijke aanvallen zijn. Dat stelt Europol in een vandaag verschenen rapport over spearphishing, dat volgens de organisatie de voornaamste aanvalsvector van cybercriminelen is. Het gaat hier om gerichte aanvallen waarbij aanvallers proberen om gevoelige informatie zoals wachtwoorden te stelen of malware proberen te verspreiden.
Organisaties kunnen verschillende technische maatregelen tegen spearphishing nemen, zoals het blokkeren van ongecontroleerde macro's, het inschakelen van tweefactorauthenticatie, het blokkeren van bepaalde e-mailbijlagen en het toepassen van protocollen zoals Sender Policy Framework (SPF) en DMARC (Domain Message Authentication Reporting and Conformance).
Toch zijn alleen technische maatregelen niet voldoende, aldus Europol. "Gegeven dat technische oplossingen niet alle phishingcampagnes kunnen voorkomen, met name die van zeer geavanceerde actoren, moet elke maatregel om dit soort aanvallen tegen te gaan een sterk educatief onderdeel hebben dat zich ook op bewustzijn voor individuen en bedrijven richt", zo laat het rapport weten.
Volgens Europol moet een solide verdediging tegen phishingaanvallen bestaan uit gebruikers die in staat zijn om dergelijke e-mails te herkennen en hier op de juiste manier op reageren. Gebruikers kunnen bijvoorbeeld letten op gespoofte afzenders en de domeinnaam van het e-mailadres. Geregeld maken aanvallers gebruik van domeinen die op een legitieme domeinnaam lijken, maar bijvoorbeeld een letter verschillen. Ook ongevraagde e-mails kunnen op een aanval duiden. Wanneer gebruikers twijfelen zou er binnen de organisatie een vast contact moeten zijn waar dergelijke mails naar toe kunnen worden gestuurd.
"De sleutel tot het opbouwen van een weerbare groep gebruikers is training. Hoe beter gebruikers worden in het detecteren van spearphishing, des te kleiner de kans dat een organisatie door een aanvaller wordt gecompromitteerd", stelt Europol. De opsporingsinstantie pleit onder andere voor dynamische en interactieve bewustzijnscampagnes. Het gaat dan bijvoorbeeld om gesimuleerde phishingaanvallen, e-learning en workshops.
"In de toekomst zal spearphishing waarschijnlijk een voorname aanvalsvector van cybercriminelen blijven die een organisatie willen infiltreren. Met gezamenlijke inspanning van opsporingsdiensten en industrie, bestaande uit technische oplossingen en operationele actie, alsmede preventie- en bewustzijnscampagnes, kunnen we deze dreiging verminderen", besluit Europol in het rapport (pdf).
Niet het eind van de keten (de eind-gebruiker) is essentieel / hoofdzakelijk bepalend,
maar de dienst-verleners, producenten, fabrikanten en verkopers ervan zijn dat à priori.
Dus wat gaat er mis in de hele keten richting de eindgebruiker is de hamvraag.
De ruimte die niet voor rommel, rotzooi, gaten, valkuilen en exploit door de hele keten heen wordt geboden of gelaten kan ook gewoon niet bij de eindgebruiker binnentreden.
Laat Europol dus eerst eens de fase vooooor de eindgebruiker sluitend maken.
Dus bij de winkels & vekooppunten, en idealiter ook nog de fase(n) ervoor.
Dus hoe die winkels & verkooppunten de spullen aangeboden en aangeleverd krijgen.
Mail providers treft hier ook blaam omdat de meesten dit toch nog gewoon doorlaten. Vorige weel liep ik er nog tegenaan dat mailtjes van bol.com bij iemand niet aan kwamen. Na verder onderzoek bleek dat bol.com een deel van hun mail verstuurt vanaf een IP adres dat niet in hun SPF lijst staat, terwijl ze een hard-fail policy hebben.
Dat bol.com zo'n fout niet direct onderkent is omdat het gros van mailservers, de mail toch nog gewoon aflevert. Dus een phishing mail met gespoofde afzender wordt ook afgeleverd, ondanks de beveiliging van bol.com.
En als je dan bij bol.com gaat klagen over niet aangekomen mail, gaan ze jouw systeem de schuld geven dat de mail niet aankomt. Anderen krijgen het toch ook, dus zij versturen het goed.
Neem de Raboscanner (en tegenwoordig ook de ING-scanner). Dat is een apparaat met een scherm waarop je expliciet ziet welk bedrag er overgeboekt gaat worden als je het goedkeurt, compleet met de tegenrekening erbij en de mededeling dat het een overboeking is die ze aan het goedkeuren zijn. What you see is what you sign, dat apparaatje laat echt zien wat er gaat gebeuren als je de code overneemt in de website van de bank. En toch zijn er mensen die een fors bedrag van hun rekening laten plunderen omdat ze niet tot zich door laten dringen wat ze zien, of omdat ze het niet weten te beoordelen.
Phishers zullen van technische onvolkomenheden gebruik maken, natuurlijk zullen ze dat doen, maar als die er niet zijn zullen ze nog steeds slagen omdat ze mensen zo ver weten te krijgen om die overboeking te doen, gewoon via de website van hun bank, compleet met alle technische beschermingsmaatregelen, bijvoorbeeld met een betaalverzoek dat via iDeal naar de rekening van iemand die er als katvanger ook al ernstig intuint.
Dat houd je met geen enkele technische oplossing tegen, het is feitelijk juist dat dat niet lukt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
