NSA geeft tips tegen phishing: malafide sites lastig te herkennen op telefoon
Veel phishingaanvallen beginnen tegenwoordig via sms of chatbericht, maar vanwege de beperkte ruimte op de schermen van smartphones kan het lastig zijn voor gebruikers om phishingsites te herkennen. Daarnaast is het verstandig om geen sms voor multifactorauthenticatie (MFA) te gebruiken, macro's in Microsoft Office te blokkeren en personeel over social engineering en phishing te trainen, zo stelt de Amerikaanse geheime dienst NSA. Samen met de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) heeft de NSA een document gemaakt met tips om phishingaanvallen in 'fase één' tegen te gaan (pdf).
Het adviesdocument richt zich op phishing gericht op het stelen van inloggegevens en het verspreiden van malware. In het geval van inloggegevens adviseren de Amerikaanse overheidsdiensten het gebruik van MFA, maar dan wel een 'phishingbestendige' variant. Zo wordt afgeraden om MFA via sms te doen, aangezien deze vorm kwetsbaar is voor sim-swapping en man-in-the-middle-aanvallen.
Ook wordt gewaarschuwd tegen MFA via push-notificaties. Via MFA fatigue kan een aanvaller alsnog met gestolen inloggegevens toegang tot een account krijgen. Bij deze aanval probeert een aanvaller met gestolen inloggegevens op een account in te loggen, waardoor het slachtoffer allerlei push-notificaties op zijn telefoon ontvangt om de inlogpoging op zijn account goed te keuren. De aanvaller blijft vervolgens net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna er toegang tot het account wordt verkregen.
Een ander probleem is dat aanvallers chatapps, sms en 'collaboration platforms' zoals Slack gebruiken om gebruikers op malafide links te laten klikken. "Het kan lastig voor een gebruiker zijn om malafide uniform resource locators (URL's) op deze kleine platforms te herkennen, aangezien ze beperkte gebruikersinterfaces gebruiken", aldus het document. Dat adviseert dan ook het trainen van personeel over social engineering en phishing en ook periodiek awarenesstrainingen te organiseren.
Verder worden organisaties aangeraden om gebruikers geen beheerdersrechten te geven, macro's standaard uit te schakelen, de beveiligingsstandaard Domain-based Message Authentication, Reporting, and Conformance (DMARC) in te stellen, gratis beveiligingstools zoals Quad9 of Google Safe Browsing te gebruiken en het opzetten van een eigen appstore waar gebruikers alleen goedgekeurde apps kunnen downloaden en apps en executables afkomstig van andere bronnen worden geblokkeerd.
We moeten alleen NIET sim-swappen.
De providers moeten hier een dubbel-check beveiliging voor bedenken.
Als je een email krijgt, waarvan de inhoud je even niet lekker uitkomt, dan kun je die gewoon lezen. Wordt er later dan in je nadeel opgeworpen dat je per email op de hoogte bent gebracht, dan kun je steeds gemakkelijker in je eigen voordeel zeggen dat je die nooit geopend hebt. Vanwege phishing risico's. Waar niemand wat tegen doet. In de spam folder gegooid of gelijk gedelete.
Van een bezorgde brief, zeker een aangetekende, kan gesteld worden dat je die geopend hebt en kennis van het schrijfsel hebt genomen. Met email kan niemand van je verlangen dat je mail headers moet kunnen lezen om te verifiëren dat de afzender wel de echte is. Of in de DNS te kijken of de DKIM echt wel wel klopt. Je kunt met steeds meer recht van de wereld verklaren dat je zulke post vanzelfsprekend nooit opent. Dus niet op de hoogte kon zijn van wat er dan te melden was. (Daarnaast ook altijd oppassen met antwoorden, want dan bevestig je dat je stiekem wel gekeken hebt.)
Als je een email krijgt, waarvan de inhoud je even niet lekker uitkomt, dan kun je die gewoon lezen. Wordt er later dan in je nadeel opgeworpen dat je per email op de hoogte bent gebracht, dan kun je steeds gemakkelijker in je eigen voordeel zeggen dat je die nooit geopend hebt. Vanwege phishing risico's. Waar niemand wat tegen doet. In de spam folder gegooid of gelijk gedelete.
Doe het zelf juristje? Te simpel geredeneerd.
Van een bezorgde brief, zeker een aangetekende, kan gesteld worden dat je die geopend hebt en kennis van het schrijfsel hebt genomen.
Inderdaad, een doe het zelf jurist. Onjuist. De enige manier om bewijsbaar en onbetwistbaar dit te doen is het door een deurwaarder te laten betekenen.
Met email kan niemand van je verlangen dat je mail headers moet kunnen lezen om te verifiëren dat de afzender wel de echte is. Of in de DNS te kijken of de DKIM echt wel wel klopt. Je kunt met steeds meer recht van de wereld verklaren dat je zulke post vanzelfsprekend nooit opent. Dus niet op de hoogte kon zijn van wat er dan te melden was. (Daarnaast ook altijd oppassen met antwoorden, want dan bevestig je dat je stiekem wel gekeken hebt.)
Slecht en gevaarlijk advies dus.
We moeten alleen NIET sim-swappen.
De providers moeten hier een dubbel-check beveiliging voor bedenken.
Tja...
https://www.spoofmytextmessage.com/
Tja...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
