Inhoudsopgave:
Video: What is spear phishing? (November 2024)
Toen assistent John Podesta van de Democratic National Committee (DNC) hem een e-mail stuurde waarin werd beweerd dat het Gmail-account van Podesta was gehackt, deed Podesta wat de meesten van ons zouden hebben gedaan: hij klikte op de link in de e-mail en werd doorgestuurd naar een website waar hem werd gevraagd om een nieuw wachtwoord in te voeren. Hij deed dat en ging toen verder met zijn dagelijkse werkzaamheden. Helaas voor Podesta, de Democratische Partij en de presidentiële campagne van Hillary Clinton was de e-mail die naar Podesta werd gestuurd niet van Google. Het was eerder een speer-phish aanval van een Russische hackgroep genaamd "Fancy Bear".
Zelfs als je nog nooit van de term 'speer-phishing' hebt gehoord, heb je ongetwijfeld van dit soort aanvallen gehoord. Je bent waarschijnlijk zelfs een doelwit van hen geweest. Deze aanvallen hebben meestal de vorm van e-mails met klantenondersteuning waarin u wordt gevraagd om inloggegevens te wijzigen of ze kunnen via valse e-mailadressen worden verzonden naar bedrijven die om zeer persoonlijke klant- of werknemersgegevens vragen. In 2015 hebben werknemers van Ubiquiti Networks bijvoorbeeld 46, 7 miljoen dollar overgemaakt naar buitenlandse rekeningen op aandringen van e-mails waarvan de werknemers aannamen dat deze waren gestuurd door Ubiquiti-leidinggevenden. In werkelijkheid creëerden hackers spoof-e-mailaccounts die veel leken op echte Ubiquiti-accounts en de werknemers voor de gek hielden.
Gebaseerd op gegevens van een recent onderzoek uitgevoerd door e-mailbeveiligingsbedrijf IronScales, is 77 procent van de aanvallen gericht op lasers, gericht op 10 accounts of minder, en een derde van de aanvallen op slechts één account. De aanvallen zijn kort en 47 procent duurt minder dan 24 uur en 65 procent duurt minder dan 30 dagen. Traditionele spamfilters en tools voor eindpuntbescherming vangen de aanvallen niet op. Voor elke vijf aanvallen geïdentificeerd door spamfilters, kwamen 20 aanvallen in de inbox van een gebruiker.
(Afbeelding via: IronScales)
"We zien dat aanvallers veel meer tijd besteden aan het bestuderen van hun doelen dan in de afgelopen jaren, met een zeer uitgebreid verkenningsproces, " zei Eyal Benishti, CEO van IronScales. "Als gevolg hiervan zijn phishing-e-mails zeer gericht en op maat van het doelbedrijf gemaakt, omdat aanvallers via verkenning informatie kunnen verzamelen die hen helpt e-mails te maken die eruitzien als legitieme interne communicatie. We hebben bijvoorbeeld gezien dat sommige aanvallen de het taalgebruik en de handtekeningen van organisaties, en de inhoud is zeer in context met wat momenteel binnen het bedrijf en tussen vertrouwde partijen wordt uitgevoerd."
Jeff Pollard, hoofdanalist bij Forrester Research, voegde eraan toe dat deze aanvallen ook steeds geavanceerder worden. "Aanvallen worden steeds geavanceerder, zowel wat betreft het lokaas dat wordt gebruikt om mensen aan de klik te krijgen als wat betreft de malware die wordt gebruikt om toegang te krijgen tot systemen, " zei Pollard. "Maar dat is wat we verwachten gezien het feit dat cybersecurity een constante strijd is tussen verdedigers en aanvallers."
De oplossing
Om deze aanvallen te bestrijden, gebruiken bedrijven anti-phishing-software om inkomende aanvallen te detecteren en te markeren. Antispam- en antimalwaretools zijn geen hersenkraker voor bedrijven die bedrijfsgegevens willen beschermen. Maar bedrijven zoals IronScales gaan nog een stapje verder door gelaagdheid in machine learning (ML) tools om proactief te zoeken naar schetsmatige phishing-e-mails en deze te markeren. Omdat ML met de tools zwendelgegevens compileert of onthoudt, leert de software bovendien bij elke scan.
"De technologie maakt het de aanvaller moeilijker om de verdediger voor de gek te houden met kleine aanpassingen die normaal gesproken een op handtekeningen gebaseerde oplossing omzeilen, " zei Benishti. "Met ML kunnen we snel verschillende varianten van dezelfde aanval clusteren en effectiever vechten tegen phishing. In feite is ML uit onze analyse de beste manier om een systeem te trainen om het verschil te zien tussen legitieme e-mails van een vertrouwde partner of collega versus een niet-legitieme."
Technologie is niet de enige bescherming tegen deze vormen van aanvallen. Educatie en voorzichtigheid zijn misschien wel de belangrijkste verdediging tegen spear-phishing-aanvallen. "Sommige bedrijven zijn zich bewust van de bedreigingen, terwijl anderen ten onrechte geloven dat hun huidige oplossing bescherming biedt tegen gerichte aanvallen, " zei Benishti. "Het is heel belangrijk om te begrijpen dat het gebruiken van dezelfde afweermechanismen en het verwachten van verschillende resultaten bij toekomstige aanvallen gewoon niet zal werken. Het gebruik van technologie alleen tegen geavanceerde aanvallen, die mensen als doelwit stelt, zal altijd falen, net als het vertrouwen op het bewustzijn van werknemers en training… Mensen en machines die nauw samenwerken om deze kloof van onbekende aanvallen te dichten, is de enige manier om het risico te verminderen."
(Afbeelding via: IronScales)
Hoe veilig te blijven
Hier zijn een paar zeer eenvoudige manieren om ervoor te zorgen dat u en uw bedrijf niet worden opgelicht:
- Zorg ervoor dat bedrijfse-mails in de onderwerpregel het label "INTERNAL" of "EXTERNAL" hebben.
- Controleer verdachte of risicovolle verzoeken per telefoon. Als uw CEO u bijvoorbeeld een e-mail stuurt en u vraagt om persoonlijke gezondheidsgegevens van iemand te verzenden, bel hem of haar dan of stuur een chatbericht om het verzoek te verifiëren.
- Als een bedrijf u vraagt uw wachtwoord te wijzigen, gebruik dan niet de link in de e-mailmelding; ga in plaats daarvan rechtstreeks naar de website van het bedrijf en wijzig uw wachtwoord vanaf daar.
- In geen geval mag u uw wachtwoord, sofi-nummer of creditcardgegevens naar iemand in de hoofdtekst van een e-mail sturen.
- Klik niet op koppelingen in e-mails die geen andere tekst of informatie bevatten.
"Naarmate de verdediging verbetert, nemen ook aanvallen toe", zei Pollard. "Ik denk dat we meer gerichte spear-phishing- en walviscampagnes zullen zien. We zullen ook een toename zien in phishing en oplichting op sociale media, een gebied dat vanuit beveiligingsoogpunt niet zo volwassen is als e-mailbeveiliging."
Helaas, hoe voorzichtig je ook bent, aanvallen zullen intensiveren en intelligenter worden. U kunt er alles aan doen om uzelf en uw werknemers te onderwijzen, u kunt een anti-phishing-verdediging opbouwen, ondersteund door nieuwe technologieën, en u kunt alle mogelijke voorzorgsmaatregelen nemen. Maar, zoals Pollard opmerkte, "het kost maar één slechte dag, één verkeerde klik of één gehaaste gebruiker die een inbox probeert op te ruimen om tot een catastrofe te leiden."
