Saboteer niet uw eigen veiligheid, train uw gebruikers

Ik denk dat de eerste keer dat ik een phishing-e-mail zag in 2000 was, terwijl ik aan een testproject werkte met Oliver Rist, die nu PCMag's Business Editor is. Op een ochtend ontvingen we allebei e-mails met de onderwerpregel "I Love You", dat ook het hoofdgedeelte van de e-mail was en er was een bijlage. We wisten allebei meteen dat de e-mail nep moest zijn, omdat we als tijdschriftredacteuren wisten dat niemand van ons hield. We hebben niet op de bijlage geklikt. We fungeerden in feite als menselijke firewalls. We herkenden een nep-e-mail op zicht en we verwijderden deze in plaats van de inhoud ervan te verspreiden naar onze computers en de rest van het netwerk.

Zelfs toen werden dergelijke aanvallen door de hackerset 'social engineering' genoemd. Tegenwoordig zijn phishing-e-mails waarschijnlijk de bekendste versie van dit soort exploit. Ze zijn vooral gericht op het achterhalen van beveiligingsreferenties, maar ze kunnen ook andere soorten malware leveren, met name ransomware. Maar het is vermeldenswaard dat er naast phishing ook andere soorten social engineering-aanvallen zijn, waaronder enkele waarbij de aanval fysiek is en niet strikt digitaal.

Mensen: nog steeds een toonaangevende aanvalsvector

De reden dat phishing-e-mails zo bekend zijn, is omdat ze zo vaak voorkomen. Inmiddels is het redelijk om te zeggen dat iedereen met een e-mailaccount ooit een phishing-e-mail heeft ontvangen. De e-mail doet zich vaak voor van uw bank, uw creditcardmaatschappij of een ander bedrijf dat u vaak bezoekt. Maar phishing-e-mails kunnen ook een bedreiging voor uw organisatie vormen, omdat aanvallers uw werknemers tegen u proberen te gebruiken. Een andere vroege versie van deze aanval kwam tijdens de gouden eeuw van faxen, toen aanvallers gewoon een factuur voor diensten die nooit aan grote bedrijven waren geleverd, zouden faxen, in de hoop dat drukke leidinggevenden ze eenvoudigweg voor betaling zouden indienen.

Phishing is verrassend effectief. Volgens een onderzoek van advocatenkantoor BakerHostetler, dat vorig jaar naar 560 datalekken heeft gekeken, is phishing tegenwoordig de belangrijkste oorzaak van incidenten met gegevensbeveiliging.

Helaas heeft de technologie de phishing-aanvallen niet ingehaald. Hoewel er een aantal beveiligingsapparaten en softwarepakketten zijn ontworpen om kwaadaardige e-mails uit te filteren, werken de slechteriken die phishing-e-mails maken hard om ervoor te zorgen dat hun aanvallen door de kieren glippen. Een onderzoek van Cyren heeft aangetoond dat het scannen van e-mail een faalpercentage van 10, 5 procent heeft bij het vinden van kwaadaardige e-mails. Zelfs in een klein tot middelgroot bedrijf (SMB) kan dat oplopen tot veel e-mails, en alle e-mails die een social engineering-aanval bevatten, kunnen een bedreiging voor uw organisatie vormen. En geen algemene bedreiging zoals het geval zou zijn bij de meeste malware die erin slaagde om uw eindpuntbeschermingsmaatregelen te sluipen, maar de meer sinistere soort die specifiek gericht is op uw meest waardevolle gegevens en digitale bronnen.

Ik werd op de hoogte gebracht van het Cyren-rapport tijdens een gesprek met Stu Sjouwerman, oprichter en CEO van KnowBe4, een bedrijf dat HR-professionals kan helpen bij het onderwijzen van beveiligingsbewustzijn. Het was Sjouwerman die de term 'menselijke firewall' ter sprake bracht en ook over 'human hacking' sprak. Zijn suggestie is dat organisaties de effectiviteit van social engineering-aanvallen kunnen voorkomen of verminderen met een aantal consistente training die wordt uitgevoerd op een manier die ook uw personeel betrekt bij het oplossen van het probleem.

Natuurlijk hebben veel organisaties trainingen voor beveiligingsbewustzijn. U hebt waarschijnlijk deelgenomen aan verschillende van die vergaderingen waarin oude koffie wordt gecombineerd met oude donuts, terwijl een door HR ingehuurde contractant u 15 minuten vertelt dat u niet moet vallen voor phishing-e-mails - zonder u daadwerkelijk te vertellen wat ze doen of wat u moet doen als je denkt dat je er een hebt gevonden. Ja, die vergaderingen.

Wat Sjouwerman suggereerde, is beter om een ​​interactieve trainingsomgeving te creëren waarin je toegang hebt tot echte phishing-e-mails waar je ze kunt onderzoeken. Misschien een groepsinspanning waarbij iedereen probeert de factoren te zien die wijzen op phishing-e-mails, zoals slechte spelling, adressen die er bijna echt uitzien of verzoeken die bij onderzoek geen steek houden (zoals het aanvragen van een onmiddellijke overdracht van bedrijfsfondsen aan een onbekende ontvanger).

Verdedigen tegen sociale engineering

Maar Sjouwerman wees er ook op dat er meer dan één type social engineering is. Hij biedt een set gratis tools op de KnowBe4-website die bedrijven kunnen gebruiken om hun werknemers te helpen leren. Hij stelde ook de volgende negen stappen voor die bedrijven kunnen nemen om social engineering-aanvallen te bestrijden.

• Creëer een menselijke firewall door uw personeel te trainen om social engineering-aanvallen te herkennen wanneer ze deze zien.
• Voer regelmatig gesimuleerde social engineering-tests uit om uw werknemers scherp te houden.
• Voer een phishing-beveiligingstest uit; Knowbe4 heeft een gratis.
• Let op CEO-fraude. Dit zijn aanvallen waarbij de aanvallers een vervalste e-mail maken die afkomstig lijkt te zijn van de CEO of een andere hooggeplaatste functionaris, die acties zoals geldovermakingen op urgente basis leidt. U kunt controleren of uw domein kan worden vervalst met behulp van een gratis tool van KnowBe4.
• Stuur gesimuleerde phishing-e-mails naar uw werknemers en voeg een link toe die u waarschuwt als op die link wordt geklikt. Blijf op de hoogte van welke werknemers ervoor vallen en concentreer training op degenen die er meer dan eens voor vallen.
• Wees voorbereid op 'vishing', een soort voicemail social engineering waarin berichten achterblijven die actie van uw werknemers proberen te krijgen. Dat kunnen telefoontjes zijn van de politie, de Internal Revenue Service (IRS) of zelfs technische ondersteuning van Microsoft. Zorg ervoor dat uw medewerkers weten dat ze die oproepen niet mogen beantwoorden.
• Waarschuw uw werknemers voor "sms-phishing" of "SMiShing (sms-phishing)", wat lijkt op e-mail phishing maar met sms-berichten. In dit geval kan de link worden ontworpen om gevoelige informatie, zoals contactlijsten, van hun mobiele telefoons te krijgen. Ze moeten worden getraind om links in sms-berichten niet aan te raken, zelfs als ze van vrienden lijken te zijn.
• Universal Serial Bus (USB) -aanvallen zijn verrassend effectief en ze zijn een betrouwbare manier om door lucht-open netwerken te dringen. De manier waarop het werkt, is dat iemand USB-geheugensticks achterlaat in toiletten, parkeerplaatsen of andere plaatsen waar uw werknemers komen; misschien heeft de stok verleidelijke logo's of labels erop. Wanneer werknemers ze vinden en in een handige computer steken - en dat zullen ze ook als ze het niet leren - komt de malware op hen in uw netwerk. Dit is hoe de Stuxnet-malware het Iraanse nucleaire programma is binnengedrongen. Knowbe4 heeft ook een gratis tool om dit te testen.
• De pakketaanval is ook verrassend effectief. Dit is waar iemand opduikt met een heleboel dozen (of soms pizza's) en vraagt ​​om binnen te laten zodat ze kunnen worden afgeleverd. Terwijl je niet kijkt, glijden ze een USB-apparaat in een computer in de buurt. Uw werknemers moeten worden getraind door gesimuleerde aanvallen uit te voeren. Je kunt ze aanmoedigen door hiervoor te trainen en vervolgens de pizza's te delen als ze het goed hebben.

Zoals je kunt zien, kan social engineering een echte uitdaging zijn en veel effectiever zijn dan je zou willen. De enige manier om het te bestrijden is door uw werknemers actief te betrekken bij het herkennen van dergelijke aanvallen en het uitroepen van hen. Als je het goed doet, zullen je werknemers echt van het proces genieten - en misschien krijgen ze er ook wat gratis pizza's uit.