image

Microsoft: 91 procent cyberaanvallen begint met e-mail

maandag 23 maart 2020, 10:18 door Redactie, 14 reacties

91 procent van de cyberaanvallen begint met e-mail, het is dan ook belangrijk dat gebruikers alert zijn, zeker nu aanvallers allerlei corona-gerelateerde aanvalsmails versturen, zo stelt Microsoft. De softwaregigant heeft de afgelopen dagen meerdere aanvallen gezien waarbij aanvallers e-mailbijlagen verstuurden die over het coronavirus leken te gaan, maar in werkelijkheid malware bevatten.

Om dergelijke aanvallen af te slaan is het belangrijk dat gebruikers in staat zijn om verdachte e-mails te herkennen, zegt Microsofts Tanmay Ganacharya. Zo wordt aangeraden om naar spelling en grammatica te kijken. "Cybercriminelen staan niet bekend om hun grammatica en spelling. Wanneer een e-mailbericht vol fouten staat, is het waarschijnlijk een scam", aldus Ganacharya.

Hij waarschuwt ook om alert te zijn op ongevraagde bijlagen, zowel van onbekende als bekende afzenders. Zo moet het icoon van een bijlage nooit worden vertrouwd en moet er worden gelet op dubbele bestandsextensies zoals "pdf.exe", "rar.exe" of "txt.hta". In Windows worden bestandsextensies echter standaard niet weergegeven. Bij twijfel wordt aangeraden om de afzender te vragen of hij of zij inderdaad het bericht en de bijlage heeft verstuurd.

Image

Reacties (14)
23-03-2020, 10:33 door karma4 - Bijgewerkt: 23-03-2020, 10:34
Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.

Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
23-03-2020, 11:28 door Anoniem
niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
23-03-2020, 11:34 door Anoniem
Door karma4: Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?

te moeilijk voor windows beheerders? toch nog ergens een denk foutje in je opmerking? omdat het misschien helemaal niet sluitend werkt en eerder dwijlen met een kraan open is misschien?

de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
23-03-2020, 11:36 door Erik van Straten
Door karma4: Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Omdat dit symptoombestrijding zou zijn. Immers, het gebruik van punten in bestandsnamen is gewoon toegestaan en wordt daadwerkelijk gebruikt (bijvoorbeeld voor versienummers).

Omdat je weet dat criminelen misbruik maken van het feit dat Windows by default bestanddnaamextensies niet toont, kun je het beste verkenner zo instellen dat die extensies wel worden getoond, en zorgen dat je als eerste naar die extensie kijkt voor je (dubbel-) klikt. En je daarbij natuurlijk niet laat misleiden door icoontjes die suggereren dat het bijv. om een PDF file gaat terwijl het in werkelijkheid bijv. een .exe file is.

Kijk hierbij ook uit voor bestandsnamen zoals:
Factuur.pdf .exe
M.a.w. zorg dat je de feitelijke extensie gezien hebt voordat je een bestand opent.
23-03-2020, 11:43 door Anoniem
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Nee. Dit was in een strijd met Apple die die rare "extensies" niet had. In de Mac werd het type van het bestand
onafhankelijk van de naam opgeslagen echter in Windows (met de CP/M en MS/DOS achtergrond) werd daarvoor
het idee van een extensie gebruikt.
De gebruikers vonden het raar dat een document niet "brief aan jan" kon heten maar dat daar altijd .DOC achter
moest staan en toen hebben ze dat standaard verborgen.

Waar ze totaal de fout in zijn gegaan is de idiote weerstand tegen het terugdraaien van die maatregel.
Ook het toelaten van spaties in een filenaam was een blunder waar men in geforceerd werd door Apple die dat ook kon.
Dit heeft ook heel wat problemen gegeven indertijd en die misleidende namen met heel veel spaties zijn daar maar 1 van.
23-03-2020, 12:55 door Briolet
Door Anoniem:
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Nee. Dit was in een strijd met Apple die die rare "extensies" niet had. …

Dat is inmiddels al weer een tijd geleden. Met de invoering van OSX, zo'n 20 jaar geleden, gebruikt ook OSX/MacOS extenties.

Dubbele extensies hoef je niet direct te verbieden als je direct de potentieel gevaarlijke extenties, zoals exe, blokkeert. Alleen als je toch de mogelijkheid open wilt laten om .exe files te versturen moet je scannen op gevaarlijke combinaties van extensies.

Verder hebben mailverwerkende programmas wel degelijk mogelijkheden om dubbele extensies te verbieden. Het programma MailScanner geeftin hun handleiding zelfs een voorbeeld van een filterregel om dit te bereiken:

Then deny files ending in 2 extensions, eg. *.doc.scr
– Deny \.[a-z][a-z0-9]{2,3}\s*\.[a-z0-9]{3}$
23-03-2020, 13:06 door karma4 - Bijgewerkt: 23-03-2020, 13:40
Door Anoniem: ...
de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
Bedoel je de aanpak met Linux, android IOT, dat alles clickable moet zijn uit gebruikersgemakt? Nog nooit zoiets slechts van falende gebrek aan veiligheid gezien.


Door Briolet: …. Dubbele extensies hoef je niet direct te verbieden als je direct de potentieel gevaarlijke extenties, zoals exe, blokkeert. Alleen als je toch de mogelijkheid open wilt laten om .exe files te versturen moet je scannen op gevaarlijke combinaties van extensies.

Verder hebben mailverwerkende programmas wel degelijk mogelijkheden om dubbele extensies te verbieden. Het programma MailScanner geeftin hun handleiding zelfs een voorbeeld van een filterregel om dit te bereiken:
Eens, dat filteren is al vaak standaard bij serieuze organisaties die een degelijk beheer hebben.

Dat met die extensies, ik geloof niet dat het sinds 20 jaar terug voor gebruikers anders is geworden. Klikken op een bestand om met een associatie een programma te starten anders is het niet "gebruiksvriendelijk".
https://support.apple.com/nl-nl/guide/mac-help/mchlp2304/mac Dat werkt heel ver door in welke techniek dan ook.

Door Erik van Straten: ...
Kijk hierbij ook uit voor bestandsnamen zoals:
Factuur.pdf .exe
.
Fraai voorbeeld van iets wat je meteen ongezien zou moeten afvoeren.
Waarom geen eisen stellen aan iets wat je zou willen lezen. Deden we al lang met snail mail.
Iets met onduidelijke herkomst (bezorgers) vreemde opmaak dat zet je als onbetrouwbaar aan de kant.
23-03-2020, 14:06 door Anoniem
Door karma4:
Door Anoniem: ...
de fundamentele oplossing is natuurlijk als het OS niet een naam of extentie gebruikt om te beslissen of iets automatisch gerunned moet worden, maar een signature uit de file inhoud of header zelf en pas na expliciet klikken oid van de gebruiker en toestemming vragen als de link in outlook of een webmailer gedubbel klikked wordt.
Bedoel je de aanpak met Linux, android IOT, dat alles clickable moet zijn uit gebruikersgemakt?

nee dat bedoel ik dus helemaal niet. lees nou eens gewoon wat er staat en probeer niet met herspenspinsels te denken.
23-03-2020, 15:28 door Anoniem
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Gebruikers zeggen bestandsextensies helemaal niets. Die kijken naar het icoontje.

Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Eerder vanuit fout gevoeligheid, immers een rename van een file, kan de extensie aanpassen.
Gebruikers hebben echt geen idee wat het verschil tussen een doc, docm, docx of odf is.

Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.
Kan inderdaad een voordeel zijn, maar ook een nadeel. verkorte URLs hebben eigenlijk het zelfde effect. redirects zijn ook in HTML mogelijk.

Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Hele grote conclusie, die ik echt niet zou durven te trekken.

Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?
Zou inderdaad een mogelijke oplossing zijn. Ik kom alleen nog wel eens bestanden tegen waarbij er meerdere punten in voorkomen. Om dan de extensie goed te herkennen is al een stuk lastiger, maar natuurlijk wel mogelijk.


Door Anoniem: niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
Voorbeelden op Internet laten anders een heel iets anders zien. Malware op websites is eigenlijk alleen maar op Linux actief. Als ik daar de zelfde conclusie zou trekken, dan is 99,9% van de malware daar op Linux actief. 2 keer 99,9% voor de zelfde conclusie?
99,9% klopt dus voor geen enkele meter, afgezien iemand die niet verder wilt kijken om zijn eigen conclusie wilt onderbouwen.
23-03-2020, 17:43 door [Account Verwijderd] - Bijgewerkt: 23-03-2020, 18:32
Door karma4: Bestandsextensies zijn zo door een beheerder aan te zetten.
Het was ooit uit gebruikersvriendelijkheid dat de weergave ingekort werd.
Ergerlijker een url in een HTML hoeft ook niet de werkelijke bestemming te tonen, zelfde verhaal.

Eenvoudig: Als het systeem ze niet hoort weer te geven en je ziet ze toch, dan is het signaal -> foute boel.
Een beetje scripting moet die dubbele extensie zien en er meteen op reageren. Waarom gebeurt dat niet?

Iedereen heeft dit al gezegd dus zeg ik het ook nog maar een keer. Het verbergen van bestandsextensies stamt nog uit Windows XP en Microsoft heeft dat in alle wijsheid natuurlijk niet teruggedraaid waardoor iedereen OF de bestandsextensies aan OF uit zet. Ik vind dat MS deze fout al lang geleden had moeten terugdraaien. Waarom ze dat niet doen? Ze hebben het zelf gecreëerd dus vind ik dat ze het zelf ook zouden moeten terugdraaien.

En om eerlijk te zijn zouden ze email zelf ook aan hadden moeten passen. Het systeem is veel te onveilig en gevoelig voor overheidsmonitoring. Toentertijd hadden ze nog de macht om dit soort zaken aan te pakken maar ik geloof dat tegenwoordig MS zowel de visie mist als de slagkracht heeft om zo'n systeem op te zetten.
23-03-2020, 17:51 door Anoniem

Door Anoniem: niet om te trollen, maar dit is natuurlijk wel een stelling van het kaliber: 99.9% van de malware infecteerd alleen windows.
Voorbeelden op Internet laten anders een heel iets anders zien. Malware op websites is eigenlijk alleen maar op Linux actief. Als ik daar de zelfde conclusie zou trekken, dan is 99,9% van de malware daar op Linux actief. 2 keer 99,9% voor de zelfde conclusie?
99,9% klopt dus voor geen enkele meter, afgezien iemand die niet verder wilt kijken om zijn eigen conclusie wilt onderbouwen.

dit is natuurlijk onjuiste logica;

1) een heleboel sites serven malware, maar die malware infecteerd dan hoofdzakelijk windows machines

2a) de meeste websites zijn brakke zooi websites (van vlugge bedrijfjes) waarin CMS configuratie fouten zitten en waarbij malware schrijvers files kunnen uploaded
2b) de meeste websites zijn zowieso linux want zelfs malware verspreiders willen ook dat hun webserver de load aan kan en blijft draaien
2c) de meeste vlugge websites bij een of andere goedkoper hoster zijn vaak linux gebaseerd met een of andere wordpress CMS laagje

de meeste malware is ACTIEF op windows en richt daar zijn schade aan, maar de malware wordt vaak via een web server (linkje) aangeboden en het is inderdaad zo dat er meer goedkope linux web servers op aard zijn dan iets anders.

btw, volgens de originele post is de meeste malware de organisatie binnen gedrongen via een e-mail en waarschijnlijk dus via een exchange server dus. althans zo zou je dat kunnen lezen als je weer vlug vanuit de heup aan het schieten bent.

nuace dus pleaze.
23-03-2020, 22:18 door souplost
Microsoft draait het weer eens om. Dit keer is niet de beheerder maar de gebruiker de klos.
Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
24-03-2020, 12:49 door karma4
Door souplost: Microsoft draait het weer eens om. Dit keer is niet de beheerder maar de gebruiker de klos.
Microsoft faciliteert op een idiote manier afgerond 100% van de wereldwijde malware. Bijna iedereen ziet dat het beter kan maar ze doen het niet. Het is ongetwijfeld niet willen erkennen dat ze verkeerd bezig zijn. Gezichtsverlies kan MS niet mee overweg. De trots is te groot.
Inderdaad de trots is groot bij OSS evangelisten. Niet zelf met iets beters en bruikbaarders komen met bashen.
Hoes staat met de IOT security, de smartphones, de servers met alle code injecties (php). ?

Door donderslag: ….
Iedereen heeft dit al gezegd dus zeg ik het ook nog maar een keer. Het verbergen van bestandsextensies stamt nog uit Windows XP en Microsoft heeft dat in alle wijsheid natuurlijk niet teruggedraaid waardoor iedereen OF de bestandsextensies aan OF uit zet. Ik vind dat MS deze fout al lang geleden had moeten terugdraaien.
Waarom ze dat niet doen? Ze hebben het zelf gecreëerd dus vind ik dat ze het zelf ook zouden moeten terugdraaien.
… .
Het is misschien een donderslag bij heldere hemel voor je. De beslissing en wens kwam niet vanuit de techniek maar vanuit gebruikers. Techniek is veel te lastig. Nu weet ik wel dat een OSS evangelisten een hekel aan gebruikers hebben.
Met gebruikers komen alle fouten en problemen aan het licht. OSS is daar echt geen uitzondering op.
24-03-2020, 23:33 door Anoniem
Het eerste wat ik op een nieuwe Windows installatie is alle bestandsextensies aanzetten, en "hidden" op systeembestanden uitzetten. Dan weet je pas wat er op je systeem gebeurt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.