Microsoft: 91 procent cyberaanvallen begint met e-mail
91 procent van de cyberaanvallen begint met e-mail, het is dan ook belangrijk dat gebruikers alert zijn, zeker nu aanvallers allerlei corona-gerelateerde aanvalsmails versturen, zo stelt Microsoft. De softwaregigant heeft de afgelopen dagen meerdere aanvallen gezien waarbij aanvallers e-mailbijlagen verstuurden die over het coronavirus leken te gaan, maar in werkelijkheid malware bevatten.
Om dergelijke aanvallen af te slaan is het belangrijk dat gebruikers in staat zijn om verdachte e-mails te herkennen, zegt Microsofts Tanmay Ganacharya. Zo wordt aangeraden om naar spelling en grammatica te kijken. "Cybercriminelen staan niet bekend om hun grammatica en spelling. Wanneer een e-mailbericht vol fouten staat, is het waarschijnlijk een scam", aldus Ganacharya.
Hij waarschuwt ook om alert te zijn op ongevraagde bijlagen, zowel van onbekende als bekende afzenders. Zo moet het icoon van een bijlage nooit worden vertrouwd en moet er worden gelet op dubbele bestandsextensies zoals "pdf.exe", "rar.exe" of "txt.hta". In Windows worden bestandsextensies echter standaard niet weergegeven. Bij twijfel wordt aangeraden om de afzender te vragen of hij of zij inderdaad het bericht en de bijlage heeft verstuurd.
Reacties (14)
Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
Door karma4: Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
te moeilijk voor windows beheerders? toch nog ergens een denk foutje in je opmerking? omdat het misschien helemaal niet sluitend werkt en eerder dwijlen met een kraan open is misschien?
de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
23-03-2020, 11:36 door
Erik van Straten
Door karma4: Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Omdat dit symptoombestrijding zou zijn. Immers, het gebruik van punten in bestandsnamen is gewoon toegestaan en wordt daadwerkelijk gebruikt (bijvoorbeeld voor versienummers).Omdat je weet dat criminelen misbruik maken van het feit dat Windows by default bestanddnaamextensies niet toont, kun je het beste verkenner zo instellen dat die extensies wel worden getoond, en zorgen dat je als eerste naar die extensie kijkt voor je (dubbel-) klikt. En je daarbij natuurlijk niet laat misleiden door icoontjes die suggereren dat het bijv. om een PDF file gaat terwijl het in werkelijkheid bijv. een .exe file is.
Kijk hierbij ook uit voor bestandsnamen zoals:
Factuur.pdf .exe
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Nee. Dit was in een strijd met Apple die die rare "extensies" niet had. In de Mac werd het type van het bestandHet was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
onafhankelijk van de naam opgeslagen echter in Windows (met de CP/M en MS/DOS achtergrond) werd daarvoor
het idee van een extensie gebruikt.
De gebruikers vonden het raar dat een document niet "brief aan jan" kon heten maar dat daar altijd .DOC achter
moest staan en toen hebben ze dat standaard verborgen.
Waar ze totaal de fout in zijn gegaan is de idiote weerstand tegen het terugdraaien van die maatregel.
Ook het toelaten van spaties in een filenaam was een blunder waar men in geforceerd werd door Apple die dat ook kon.
Dit heeft ook heel wat problemen gegeven indertijd en die misleidende namen met heel veel spaties zijn daar maar 1 van.
23-03-2020, 12:55 door
Briolet
Door Anoniem:
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Nee. Dit was in een strijd met Apple die die rare "extensies" niet had. …Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Dat is inmiddels al weer een tijd geleden. Met de invoering van OSX, zo'n 20 jaar geleden, gebruikt ook OSX/MacOS extenties.
Dubbele extensies hoef je niet direct te verbieden als je direct de potentieel gevaarlijke extenties, zoals exe, blokkeert. Alleen als je toch de mogelijkheid open wilt laten om .exe files te versturen moet je scannen op gevaarlijke combinaties van extensies.
Verder hebben mailverwerkende programmas wel degelijk mogelijkheden om dubbele extensies te verbieden. Het programma MailScanner geeftin hun handleiding zelfs een voorbeeld van een filterregel om dit te bereiken:
Then deny files ending in 2 extensions, eg. *.doc.scr
– Deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$
– Deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$
Door Anoniem: ...
de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
Bedoel je de aanpak met Linux, android IOT, dat alles clickable moet zijn uit gebruikersgemakt? Nog nooit zoiets slechts van falende gebrek aan veiligheid gezien.de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
Door Briolet: …. Dubbele extensies hoef je niet direct te verbieden als je direct de potentieel gevaarlijke extenties, zoals exe, blokkeert. Alleen als je toch de mogelijkheid open wilt laten om .exe files te versturen moet je scannen op gevaarlijke combinaties van extensies.
Verder hebben mailverwerkende programmas wel degelijk mogelijkheden om dubbele extensies te verbieden. Het programma MailScanner geeftin hun handleiding zelfs een voorbeeld van een filterregel om dit te bereiken:
Eens, dat filteren is al vaak standaard bij serieuze organisaties die een degelijk beheer hebben.Verder hebben mailverwerkende programmas wel degelijk mogelijkheden om dubbele extensies te verbieden. Het programma MailScanner geeftin hun handleiding zelfs een voorbeeld van een filterregel om dit te bereiken:
Dat met die extensies, ik geloof niet dat het sinds 20 jaar terug voor gebruikers anders is geworden. Klikken op een bestand om met een associatie een programma te starten anders is het niet "gebruiksvriendelijk".
https://support.apple.com/nl-nl/guide/mac-help/mchlp2304/mac Dat werkt heel ver door in welke techniek dan ook.
Door Erik van Straten: ...
Kijk hierbij ook uit voor bestandsnamen zoals:
.
Fraai voorbeeld van iets wat je meteen ongezien zou moeten afvoeren. Kijk hierbij ook uit voor bestandsnamen zoals:
Factuur.pdf .exe
Waarom geen eisen stellen aan iets wat je zou willen lezen. Deden we al lang met snail mail.
Iets met onduidelijke herkomst (bezorgers) vreemde opmaak dat zet je als onbetrouwbaar aan de kant.
Door karma4:
Door Anoniem: ...
de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
Bedoel je de aanpak met Linux, android IOT, dat alles clickable moet zijn uit gebruikersgemakt?de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
nee dat bedoel ik dus helemaal niet. lees nou eens gewoon wat er staat en probeer niet met herspenspinsels te denken.
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Gebruikers zeggen bestandsextensies helemaal niets. Die kijken naar het icoontje. Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Eerder vanuit fout gevoeligheid, immers een rename van een file, kan de extensie aanpassen.Gebruikers hebben echt geen idee wat het verschil tussen een doc, docm, docx of odf is.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Kan inderdaad een voordeel zijn, maar ook een nadeel. verkorte URLs hebben eigenlijk het zelfde effect. redirects zijn ook in HTML mogelijk. Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Hele grote conclusie, die ik echt niet zou durven te trekken. Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Zou inderdaad een mogelijke oplossing zijn. Ik kom alleen nog wel eens bestanden tegen waarbij er meerdere punten in voorkomen. Om dan de extensie goed te herkennen is al een stuk lastiger, maar natuurlijk wel mogelijk. Door Anoniem: niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
Voorbeelden op Internet laten anders een heel iets anders zien. Malware op websites is eigenlijk alleen maar op Linux actief. Als ik daar de zelfde conclusie zou trekken, dan is 99,9% van de malware daar op Linux actief. 2 keer 99,9% voor de zelfde conclusie?99,9% klopt dus voor geen enkele meter, afgezien iemand die niet verder wilt kijken om zijn eigen conclusie wilt onderbouwen.
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Iedereen heeft dit al gezegd dus zeg ik het ook nog maar een keer. Het verbergen van bestandsextensies stamt nog uit Windows XP en Microsoft heeft dat in alle wijsheid natuurlijk niet teruggedraaid waardoor iedereen OF de bestandsextensies aan OF uit zet. Ik vind dat MS deze fout al lang geleden had moeten terugdraaien. Waarom ze dat niet doen? Ze hebben het zelf gecreëerd dus vind ik dat ze het zelf ook zouden moeten terugdraaien.
En om eerlijk te zijn zouden ze email zelf ook aan hadden moeten passen. Het systeem is veel te onveilig en gevoelig voor overheidsmonitoring. Toentertijd hadden ze nog de macht om dit soort zaken aan te pakken maar ik geloof dat tegenwoordig MS zowel de visie mist als de slagkracht heeft om zo'n systeem op te zetten.
Door Anoniem: niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
Voorbeelden op Internet laten anders een heel iets anders zien. Malware op websites is eigenlijk alleen maar op Linux actief. Als ik daar de zelfde conclusie zou trekken, dan is 99,9% van de malware daar op Linux actief. 2 keer 99,9% voor de zelfde conclusie?99,9% klopt dus voor geen enkele meter, afgezien iemand die niet verder wilt kijken om zijn eigen conclusie wilt onderbouwen.
dit is natuurlijk onjuiste logica;
1) een heleboel sites serven malware, maar die malware infecteerd dan hoofdzakelijk windows machines
2a) de meeste websites zijn brakke zooi websites (van vlugge bedrijfjes) waarin CMS configuratie fouten zitten en waarbij malware schrijvers files kunnen uploaded
2b) de meeste websites zijn zowieso linux want zelfs malware verspreiders willen ook dat hun webserver de load aan kan en blijft draaien
2c) de meeste vlugge websites bij een of andere goedkoper hoster zijn vaak linux gebaseerd met een of andere wordpress CMS laagje
de meeste malware is ACTIEF op windows en richt daar zijn schade aan, maar de malware wordt vaak via een web server (linkje) aangeboden en het is inderdaad zo dat er meer goedkope linux web servers op aard zijn dan iets anders.
btw, volgens de originele post is de meeste malware de organisatie binnen gedrongen via een e-mail en waarschijnlijk dus via een exchange server dus. althans zo zou je dat kunnen lezen als je weer vlug vanuit de heup aan het schieten bent.
nuace dus pleaze.
23-03-2020, 22:18 door
souplost
Microsoft draait het weer eens om. Dit keer is niet de beheerder maar de gebruiker de klos.
Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
24-03-2020, 12:49 door
karma4
Door souplost: Microsoft draait het weer eens om. Dit keer is niet de beheerder maar de gebruiker de klos.
Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
Inderdaad de trots is groot bij OSS evangelisten. Niet zelf met iets beters en bruikbaarders komen met bashen.Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
Hoes staat met de IOT security, de smartphones, de servers met alle code injecties (php). ?
Door donderslag: ….
Iedereen heeft dit al gezegd dus zeg ik het ook nog maar een keer. Het verbergen van bestandsextensies stamt nog uit Windows XP en Microsoft heeft dat in alle wijsheid natuurlijk niet teruggedraaid waardoor iedereen OF de bestandsextensies aan OF uit zet. Ik vind dat MS deze fout al lang geleden had moeten terugdraaien.
Waarom ze dat niet doen? Ze hebben het zelf gecreëerd dus vind ik dat ze het zelf ook zouden moeten terugdraaien.
… .
Het is misschien een donderslag bij heldere hemel voor je. De beslissing en wens kwam niet vanuit de techniek maar vanuit gebruikers. Techniek is veel te lastig. Nu weet ik wel dat een OSS evangelisten een hekel aan gebruikers hebben. Iedereen heeft dit al gezegd dus zeg ik het ook nog maar een keer. Het verbergen van bestandsextensies stamt nog uit Windows XP en Microsoft heeft dat in alle wijsheid natuurlijk niet teruggedraaid waardoor iedereen OF de bestandsextensies aan OF uit zet. Ik vind dat MS deze fout al lang geleden had moeten terugdraaien.
Waarom ze dat niet doen? Ze hebben het zelf gecreëerd dus vind ik dat ze het zelf ook zouden moeten terugdraaien.
… .
Met gebruikers komen alle fouten en problemen aan het licht. OSS is daar echt geen uitzondering op.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
