Als jij niet verantwoordelijk bent voor (ICT-)beveilging dan zou ik het naar die persoon doorsturen.

Dat ligt aan wat voor phishing mail het om gaat.
We bekijken eerst de mailheaders als het er uit ziet als broddelwerk gaat het simpelweg de prullenbak in tenzij we vele meldingen krijgen over de zelfde type phishing dan doen we keyword of domain filtering waar mogelijk. Dit soort berichten gaat bijna volautomatisch meteen weg al sturen we altijd wel een bedankje naar de melder.

Is het meer gerafineerde phishing dan valt dat meestal op in de mailheaders en de bron in dat geval gaan we over op read only modus zonder scripting mogelijkheid, afbeelding laden of klikbare links.We kijken naar de inhoud van de phishing. Indien het niks persoonlijks is, niet in juiste taal, veel spelfouten bevat en ook geen namen worden genoemd van personeel of leveranciers dan gaat het alsnog de prullenbak in.

Als het echter gerichte phishing is waar namen van personeel of leveranciers worden gebruikt en de mails overeenkomen met de styling van de zogenaamde zender dan maken we een screenshot en gaat er een korte mailing uit dat men waakzaam moet zijn omtrent wat er in de mail staat. Indien het een leverancier betreft krijgen ze via hun abuse adres of IT afdeling een melding om waakzaam te zijn.

In geval we vermoeden dat er phishing gebeurt via een gekaapt bekend domein dan wordt deze per direct geblokkeerd en wordt de getroffen eigenaar van het domein gebeld door ons en pas als deze terugbelt dat het veilig is wordt mailing hervat na 48 uur mits de spamfilters niks meer wegfilteren.

In de praktijk valt 99% van de spam in eerste categorie 0.9% spam dat profesioneel eruit ziet en 0.1% waar we echt waakzaam voor zijn.

En laatste geval is bij ons nog maar 1 keer voorgekomen en geen verdere gevolgen gehad op tijdelijke onderbreking van de mailing met de getroffen partij. We kunnen de meeste spam negeren zonder actie omdat al ons personeel security awareness training heeft gehad en opfris cursussen krijgt alsmede doen we per kwartaal een red, blue team scenario waarin deze awarenesss ook getest wordt.

Mocht iemand toch per ongeluk hebben geklikt ergens op dan weten ze dat ze een specifiek kiesnummer moeten draaien intern waarna op dat moment bij onze afdeling pagers afgaan en wordt er een incident melding aangemaakt en starten we met ons geprint draaiboek. We kunnen we via een killswitch een bericht pushen naar alle actieve systemen en daarna alle netwerk apparatuur en systemen tegelijk uitschakelen.

Tegelijkerrtijd word een extern audit bureau geinformeerd die de controle van ons overneemt en er worden verklaringen en logs geschreven door teamleads om het externe bureau waar nodig te ondersteunen met informatie. De IT afdeling van ons zelf mag vanaf dat moment niks meer aanraken en ieder blijft op zijn plek zitten tot het externe bureau aangeeft dat we weg mogen.

We hebben schone routers, en switches in storage die het externe bureau kan gebruiken om delen van het netwerk te testen zonder de logs te verpesten van hardware waar packets door zijn gegaan met een payload of vector.

In de praktijk vallen de kosten van inrichten en gebruik reuze mee gezien je zo draaiboek nooit hoopt nodig te hebben.
De meeste kosten vloeien dan ook uit het onderhouden van onze contracten met audit bureau en de uitgebreide pentest per kwartaal. Naast gebruikelijke training kosten en software licenties.

Het is PHISHING-mail, naar het Engelse woord phishing (vissen). Als je dat (en andere schrijnende taalfouten) al niet eens correct weet te krijgen, waarom denk je dan te kunnen nadenken over wat er in een organisatie gebeurt. Houd je erbuiten en laat het aan gekwalificeerd personeel over. Gewoon de melding woordelijk doorgeven, ga er geen eigen interpretaties aan toevoegen.

De expert bij de afdeling ICT stuurt die als een attachment door naar de Fraudehelpdesk.NL

https://www.fraudehelpdesk.nl/valse-e-mail-melden/


De betrokken bank en de politie worden ook meteen ingelicht als dat van belang wordt geacht.

Leuke vraag!

Middels een knop in het mailprogramma, of door de mail door te sturen naar een bij iedereen bekend mailadres (van het SOC) kun je in de organisatie waar ik werk dit doen als medewerker.

Als medewerker krijg je daarna direct een bedankje voor het doorzenden. Ze weten bij ons namelijk maar al te goed dat alle technische maatregelen nooit 100% garantie geven dat een phishing mail doorkomt, dus is het heel belangrijk dat medewerkers wat nog door komt kunnen melden.

Vervolgens wordt de mail door een mens bekeken, maar ook door software. De uitkomst daarvan wordt gedeeld met mij als melder.

Was de mail veilig? Dan is het daarmee klaar. Ze moedigen wel aan het vooral te blijven doorzenden. Ook kijken ze even of het niet bijvoorbeeld gewoon een totaal verkeerd opgezette mail van een bekende mailer was: dan bellen ze die mailer zodat die beter gaat mailen (echt lekker lik op stuk, want twijfelachtige mails kun je prima uitbannen).


Wat de mail onveilig? Dan wordt alles in het werk gesteld om te voorkomen dat nog zo een mail doorkomt, andere collega's erop kunnen klikken en als iemand er al op geklikt heeft wordt dan bepaald wat de vervolgstappen zijn.

Qua onderzoek:
Vaak hoef je de url niet te bezoeken om erachter te komen of iets phishing is. Simpelweg het signaal dat je collega het verdacht vindt, de opbouw van de mail en jouw controle of het bv. een in jouw CMDB bekende leverancier en url's betreft kan al heel veel vertellen.
Moet je de link toch aanklikken? Dan inderdaad in een compleet losse omgeving, sandboxed met echt alle logging aan. Maar eigenlijk ben je dan al op een punt waar je niet hoeft te komen. Immers verdacht is verdacht, weg ermee. Als iemand echt iets legitiems aan het doen was hoort dat niet verdacht over te komen.

Uhm, het engelse woord voor vissen is fishing . De spelling met PH voor F is een een stukje klassieke hack-folklore , naar analogie van phreaking . Dat was weer een samenvoeging van phone freak - de vroege telefonie hackers die telefoonnetwerken bestuurden met toontjes werden phone freaks genoemd - zie ook phrack - tijdschrijft - van phreak + hack .

Phishing is dus het engelse woord voor het 'vissen' naar slachtoffers met valse email . Maar dat is niet het engelse woord voor het naar boven halen van die waterdieren met een net of hengel.

Hè, hè, eindelijk iemand hier in deze thread (het Engelse woord voor draad) die wakker bij de les is.

Volgens mij ben jij een beetje in de war tussen phishing en malware. Het lijkt me niet nodig om in geval van phishing
je hele bedrijf plat te gooien en externe deskundigen je netwerk opnieuw te laten opbouwen. Dat is voor bij malware
(tegenwoordig meestal van die cryptoware). Phishing dat is proberen mensen te verleiden om bijvoorbeeld passwords
of pincodes door te geven aan iemand. Als het goed is (en als je al zo'n uitgebreid draaiboek hebt dan zal dat wel) dan
is het niet mogelijk voor mensen met dergelijke informatie om iets te doen met je netwerk, zonder 2nd factor authenticatie,
en het is ook wel voldoende om alleen die gestolen informatie te wijzigen.

Wat de kosten betreft: het lijkt me dat je tegen lagere kosten kunt overstappen op een veiliger mailsysteem. Je
gebruikers moeten wel erg aan Outlook verslaafd zijn wil je dit allemaal over hebben om het onder controle te houden,
en zelfs bij Outlook kun je nog wel een filter in de inkomende mail zetten dat zaken als klikbare links uit de mail
verwijdert. Dan kan je bedrijf tenminste normaal werken ipv bij het eerste de beste verdachte mailtje meteen in
een lockdown te gaan.

Via een phishing kan malware geïnstalleerd worden als je op een link klikt.

(begint wat offtopic te gaan)


Nu ben ik niet de orginele poster, maar je reactie klopt niet. Phishing is de eerste factor vaak van een aanval. https://attack.mitre.org/techniques/T1598/. Een tweede factor kun je prima phishen (en gebruiken), het maakt het wellicht iets lastiger, maar zeker niet onmogelijk.

Na een successvolle phish ben je vaak alsnog het haasje (er zit iemand in je netwerk) en heb je dat draaiboek dus zeker wel nodig. Volledig nieuwe hardware is overigens wel echt je last resort, maar case unimaas zat er volgens mij al dicht tegenaan (en dat begon ook met phishing). https://www.maastrichtuniversity.nl/um-cyber-attack-symposium-–-lessons-learnt.

Ja maar dat kan via ieder mailtje en iedere website wel gebeuren. Zeker via advertenties op websites enzo.
Het lijkt me niet handig om de terminologie te vermodderen door phishing gelijk te stellen aan malware.

[knip reactie van een erg professioneel ingerichte organisatie]


Dat is een heel uitgebreide voorbereiding.

Kun je iets zeggen over het soort organisatie/sector waarin dit zo gedaan is , #werkplekken, sector, voor de volledige organisatie of een bepaalde extra kritische afdeling/business unit ?

Dit soort opstellingen zijn niet echt bijzonder als eenmaal bepaalde schaal behaald hebt is het gewoon noodzakelijk goede voorzieningen te treffen. Los van een mallware uitbraak wil je altijd genoeg hardware op voorraad hebben want menig bedrijf heeft zich hieraan gebrand dat ze dagen out of the running waren wegens onderdelen te kort zeker met de silicone crisis die nu gaande is. Iets wat echt nog steeds te veel bedrijven onderschatten momenteel.

Qua sector zitten we in de managed hosting, beheer, email servers voor klanten met dedicated servers en of VPS opstelling. We verzorgen voor kleine 500 bedrijven voornamelijk in MKB de IT. Dit zijn verschillende sectors maar meest voorkomende momenteel retail, medisch, horeca, makelaars, autohandelaren.

Als totaal plaatje bij de duurdere abbonement komt daar ook finetuning van filters bij te kijken en daar hangt dus ook phishing controle aanvast voor onze klanten. We werken met 30 man vast op de afdeling verdeeld in 3 ploegen (24 uur coverage) Daarnaast dus inzet van externe bureau's waar nodig inclusief development team offshore die snel patches kan uitdraaien voor onze software als een vendor een bug veroorzaakt door enige patching en we niet rollback kunnen doen of wachten op de vendor. Zelden nodig maar je wilt niet dagen wachten op een vendor.


Gezien we niet een van de goedkoopste zijn hebben we ook een aardig budget voor inrichting, controle en verbetering.
De huidige commerciele directeur en reeks aandeelhouders komt zelf uit de datacenter datawarehouse business wat het verkrijgen van budget stuk makkelijker maakt omdat je niet in jip janneke taal hoeft uit te leggen waar het voor nodig is.

Het grootste voordeel echter is dat ze bekend zijn met de nodige NEN's en ISO's Zelden daardoor tegen stribbeling al wordt er ofc wel gekeken waar in kosten veilig gesneden kan worden.


En antwoord op eerdere vraag van een anoniem was al redelijk goed beantwoord je kunt inderdaad phising niet los zien van mallware vectors. Daarvoor heb je op dat moment niet de tijd en ga je dus over op worst case scenario. Elke seconde telt zeker als je bandbreedte het toelaat het zal je verbazen hoeveel data gelekt kan worden in alleen al kwartier van infectie.
Achteraf wordt er gecontroleerd middels joeandsandbox wat de mallware mogelijk heeft kunnen doen om te voorkome dat er nog een inactieve threat actor in het netwerk zit.

We hebben give or take 12 draaiboeken voor verschillende situaties os van hardware en software blueprints.. Denkend aan uitval noodstroom, backup generators, brand in kantoor of serverpark, cryptovirus en ook dus aanklikken van onbekende attachment link in mail. De draaiboeken zijn gebasseerd op kennis van andere partijen en best practices daarnaast worden ze aangevuld om het half jaar met oplossingen die in de field effect hadden maar niet standaard worden aangeraden.

Deze draaiboeken zijn een must have omdat ieder hoe goed ook getrained in de stress kan schieten je wilt 4 eyes principe hebben met afstreepbare punten voor je eigen rust maar ook voor controle achteraf .En altijd altijd fysiek kopies in lade en in een kluis.

Even losse reactie hier nog op. We bepalen niet voor onze klanten welke software ze mee moeten werken ga je zo beginnen dan raak je heel gauw je klanten kwijt. Daarnaast bestaan er methoden om Outlook ook qua security the hardenen. Wat we echter wel bepalen is de filtering. We hebben dedicated filters die alle berichten analyseren aan hand van algoritmes, Bayes etc classificatie geven en score.

We werken dit zelf ook per klant om de X tijd bij in tegenstelling tot wat meestal gedaan wordt dat de eind gebruiker het systeem trained middels ham, spam principe.

Sterker nog we sturen geen spam berichten door naar de klanten wat ze krijgen is een maandelijke, wekelijkse of dagelijkse rapportage met tegengehouden berichten en een message ID. Als een ID false positive is kunnen ze die vrijgeven mits we geen mallware signature of ongewenste extenties zien als classificatie. Berichten worden maximaal 31 dagen bewaard in quarantaine.

Vervolgens krijgen wij een overzicht met wat false positves waren en tunen daarop de filtering. Dat voorkomt dat de database te groot wordt omdat je efficient regels kan samenvoegen + een luie onwetende klant kan zo niet je jaren getrainde filters om zeep helpen.

Een 'professionele' organisatie gebruikt geen besturingssysteem voor lichte consumententoepassingen, dat malware uitvoert als je erop klikt. Bij een intrinsiek veilig besturingssysteem maakt het niet uit dat je op een link in een e-mail klikt, want die is niet uitvoerbaar.

Wij hebben intern een hele goede en regelmatig terugkerende instructie. Dit voorkomt echt 90% van het klikken op phishing emails. Onze anti-spam oplossing en emailregels biedt 96% directe bescherming (emails worden dan gelijk al afgewezen).

1 - Goede anti-spam oplossing incl. emailregels.
2- Goede instructie (en regelmatig terugkerend) aan ontvangers
3 - Ontmoedigen van het klikken op links in emails
4 - Ontmoedigen van het versturen van MS Office documenten c.q. bepaalde bijlagen
5 - Protocol klaarliggen voor het geval toch alsnog iemand er op ingaat. (inclusief gesprekje)

Het resultaat van de instructie is dat er veel twijfel-emails worden aangemeld voor controle.
Ik moet zeggen dat het niveau van de phishing emails steeds beter worden en zelfs een aantal onder de categorie spear-phishing vallen.

Oh ja - geen outlook gebruiken.

Toevallig werk ik bij zo'n organisatie die een professioneel besturingssysteem toepast, waarbij de links weergegeven in binnengekomen mail niet aanklikbaar zijn en toegestuurde bestanden niet uitvoerbaar zijn. Dat besturingssysteem is inderdaad veel veiliger gebouwd dan dat ene overbekende systeem voor consumenten.

Toch zijn wij hier op de werkvloer heel voorzichtig, zeker als het aankomt op de ontvangst van mail van derden met daarin HMTL inhoud of toegezonden links (die krijgen een aparte behandeling), want voordat je het weet kom je anders uit op een malicieuze website met een op echt lijkend phishing panel. Dan ben je alsnog de klos, als je niet erg oppast...

Je gaat nu ervan uit dat je systeem ondoordringbaar is. Het is niet de vraag of je gehacked wordt maar wanneer.

Bug, exploit vrije software bestaat nagenoeg niet en zeker niet op OS niveau. En de meeste hebben simpel weg niet de kennis om te zien of er wel effect is van het klikken van een link. Wij hebben die wijsheid ook niet in pacht daarom dat we een extern bureau hiervoor gebruiken dat niks anders doet dan audits uitvoeren.

Een van de belangrijkste realisaties op beveiliging gebied die je kan hebben is dat er ergens iemand is die slimmer is dan jouw beveiliging wat je ook probeert.

Ik denk dat een nog sneller manier om al je klanten kwijt te raken is als er een paar getroffen zijn door malware en het
in de publiciteit komt dat die allemaal gebruik maakten van hetzelfde IT bedrijf wat de zaakjes "niet goed voor elkaar had".
Laatst was er al zo'n akkefietje.

Ik weet ook niet of jij dezelfde bejt die dat lange verhaal geschreven had want dit gaf niet de indruk dat dit kwam van
een IT beheer bedrijf met klanten, maar meer van een zelfstandig bedrijf wat intern deze methode gebruikt en weer
op externe beheerders vertrouwt als het moeilijk wordt.

ja de zelfde anoniem echter wat we op doelen is dat we ons niet bemoeien met de werkplekbeheer. We regelen hosting beheer en mail beheer. Ofwel cloud diensten. Hoe een klant van ons zijn eigen interne IT heeft geregeld is aan hun afdeling en bestuur. We kunnen advies geven maar dat is niet onze dienstverlening of business model. Daarnaast zijn onze klanten ook niet met elkaar verbonden via onze software behalve als het aankomt op ons intern management platform voor de sites waar klanten ook geen toegang tot hebben gezien we managed hosting verrichten en dus hier ook de controle over voeren.

De draaiboeken hebben enkel betrekking tot eigen organisatie niet de klanten. Als een medewerker van ons ergens verkeerd zou klikken zijn wij aansprakelijk en we willen koste wat kost eventuele schade inperken voor ons en de klanten.
Als een klant dat doet dan ligt de aansprakelijkheid bij hun en mogen we enkel hopen voor hun eigen klanten en relaties dat ze de zaakjes op orde hebben. Wij zullen wel uit voorzorg alle gerelateerde wachtwoorden resetten en contact met de getroffene beperken tot telefonisch contact zoals eerder aangegeven.

Ik weet niet waar de indruk echter van komt dat we op externe beheerders vertrouwen als het moeilijk wordt. We huren resources in als iets noodzakelijk is en niet in ons kennisgebied ligt. We zijn geen cyber security bedrijf we besteden dat uit omdat we ons focussen op ons product. We dekken simpel de doem scenario's zoveel mogelijk af.

er is dan nu een hele mooie manier om jullie heel vlug flink aan den arbijd en kosten te houden?

Ik ken een organisatie die de melder dreigt met rechtspositionele stappen.

Uiteraard is dat ridicuul, maar zulke domme mensen (niet de hele organisatie is dom) bestaan echt.

Het standaard advies dat al jaren wordt gegeven is nochtans niet heel veel beter.

Onder mijn verantwoordelijkheid zou ik dit doen:
1. Ontvanger ondervragen over het wel of niet bezoeken van een site.
2. Bericht opslaan als RFC822 bestand. Dat is het bericht met alle headers, originele headers. Sommige mail clients of servers zoals Outlook/Exchange/365 verbouwen SMTP berichten totaal, dus de beste implementatie hiervoor is opslaan voordat berichten worden aangepast op een geprepareerde mail server .Dit heeft gevolgen voor privacy, de toegang moet worden beperkt en bewaakt.
3. Bericht verwijderen uit de mailbox van de ontvanger (Shift-Del, geen kopie in de prullenbak achterlaten).

Ook als de ontvanger alleen het bericht heeft geopend, is er geen reden voor paniek, want phishing is pas succesvol als er inloggegevens worden gestolen, meestal van een account voor een bank, pensioen, credit card en dergelijke. In tegenstelling tot wat leunstoeldeskundigen menen te weten is er in de praktijk zelden sprake van een exploit of malware. Het openen van een bericht is géén gevaarlijke handeling. Dat was het wel in 1999, maar we zijn nu ruim 20 jaar verder. Natuurlijk gebruiken mail clients geen of beperkte HTML weergave, en worden scripts niet verwerkt.

Het stelen van gegevens werkt als de ontvanger ertoe wordt verleid die gegevens te verstrekken, het gaat niet vanzelf. Dat is phishing. Je hebt natuurlijk alle computers volledig gepatcht. De enige zorg is zero days, en die worden nu juist zelden gebruikt bij primitieve aanvallen.

Verward phishing niet met targeted attacks, ofwel doelgerichte aanvallen, (soms APT's genoemd, advanced persistent threats, een misnomer) met malware waarin zero days worden gebruikt. Die aanvallen zijn er, maar in verreweg de meeste gevallen is het doelwit dan interessant voor de aanvaller (meestal een inlichtingendienst). Bijvoorbeeld als jouw organisatie software voor andere bedrijven distribueert, als je belangrijke websites beheert of als je een leverancier bent van de overheid/nuts instellingen.

Ook andere manieren van fraude, zoals CEO- of factuurfraude vallen niet onder de noemer phishing. Ook daar wordt wel eens abusievelijk de verkeerde term "spear phishing" gebruikt. Dat is niet hetzelfde.

En ook ransomware is geen phishing, het is malware. Een bericht met een link naar malware is een malware bericht en het bevat vaak social engineeering. Social engineering is geen phishing. Als er door een internetcrimineel naar accountgegevens wordt gehengeld om ransomware te plaatsen, dan is dat deel wel phishing. Het installeren van de malware via een compromitteert account is geen phishing, dat is een criminele inbraak in het systeem.

De beste beveiliging tegen malware en (deels) ook phishing is het loskoppelen van internet van kantoorcomputers. Je werkt dan voor internettoegang vanuit een beveiligde omgeving waarvan je niet zomaar bestanden kan downloaden. Klikken van een link is dan onvoldoende. Je moet heel bewust een link kopieren. Daarbij kun je zien wat je kopieert.

Natuurlijk geef je de gebruikers instructies en dat herhaal je regelmatig.