Grote e-mailbeveiligers falen bij spear-phishing aanval
Grote, zakelijke e-mail beveiligingssoftware faalt genadeloos in de detectie van gerichte phishingaanvallen, verstuurd vanaf een gespooft e-mailadres. Joshua Perrymon van PacketFocus stuurde een vervalste LinkedIn e-mail naar gebruikers van verschillende bedrijven en in 100% van de gevallen belandde het bericht in de inbox van de gebruiker. Welke leveranciers faalden wil Perrymon nog niet zeggen, maar hij is er niet op uit om bepaalde partijen zwart te maken. De bedrijven en gebruikers die aan het onderzoek meewerkten hadden hiervan te voren toestemming voor gegeven.
"Dit onderzoek wilde de effectiviteit van beschikbare e-mailbeveiliging tegen gerichte en kleinschalige e-mailaanvallen aantonen." De conclusie is volgens de onderzoeker simpel. "Zelfs de meest recente e-mail security appliances zijn niet in staat om gerichte phishingaanvallen te detecteren, ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is." De meeste oplossingen weten wel de grootschalige berichten af te vangen, maar niet de kleine, gevaarlijke spear-phishing berichten. Deze berichten worden vaak naar een handjevol mensen gestuurd, waarbij er slechts één moet toehappen om de gehele aanval een succes te laten zijn.
Vertrouwen
Het is daarom onverstandig om alleen op technologie te vertrouwen om kleinschalige, gerichte aanvallen te detecteren en te stoppen, zegt Perrymon. Hij pleit voor "awareness" programma's en een juist incident respons programma. "De gebruikers moeten regelmatig getest worden om zwakheden in technologie, training en incident response aan te tonen." Daarmee preekt de CEO van PacketFocus voor eigen parochie, aangezien het bedrijf op deze manier zijn geld verdient.
"ook al komt de afzender niet overeen met de mailserver waar vandaan het bericht verstuurd is"
Diverse producten kunnen hier al prima op selecteren, helaas blijkt het zo te zijn dat heel veel bedrijven er wat betreft emailserververmelding in een DNS maar een zootje van maken, zodat het verzoek al snel komt deze controle maar weer uit te zetten, omdat er dan een hoop "legitieme" mail niet binnenkomt.
De meeste MTA's kunnen dit al heel lang, daarvoor heb je echt geen appliance voor nodig. De MTA/spam appliance beheerders moeten gewoon es een keer leren, dat soort domme verzoeken niet uit te voeren!
Ik heb genoeg van dat soort verzoeken gewoon niet uitgevoerd. Het is een kwestie van stevig in je schoenen staan, en uitleggen dat de verzendende partij zijn configuratie op orde moet maken. Ik heb heb dan ook een zeer strakke configuratie, waar tot nu toe geen enkele spam door heen is gekomen, zonder dat stompzinnige Bayesian filtering.
1. 5 seconde banner delay
2. geen MAIL zonder HELO/EHLO
3. zender moet een rdns record hebben
4. ptr record moet gelijk zijn aan HELO/EHLO
5. goeie blacklists
6. greylisting
Goed als iemand weet wat hij/zij doet kan iemand nog steeds e-mail afleveren, die niet gewenst is...maar tot nu toe hebben we alleen maar een aantal klachten van wat gebruikers gehad, dat hun e-mail niet aankwam. Als dergelijke klachten binnen komen neem ik contact op met de MTA beheerder om aan te geven wat hij/zij fout doet....maar ik zet echt niets uit. En de meeste MTA beheerders passen hun configuratie dan ook gewoon aan...om ons te kunnen e-mailen....dus gewoon op je strepen blijven staan.
Je kunt natuurlijk instellen dat email alleen van de hosts in het SPF/Sender Id record mag komen. Dat voorkomt dit soort ongein.
Maar helaas hebben belachelijk veel partijen (inclusief linkedin.com) dit niet (goed) opgezet.
Daar wil de industrie/Internet community niet aan en zolang blijft dit een helaas pindakaas verhaal.
Het probleem met spamfilters is hun score;
viagra + aanbieding = spam
viagra + doktersadvies van dr. drake ramore is echte mail
Indien er niet genoeg verdachte woorden gebruikt worden zal een unieke email altijd aankomen, dit is ook de bedoeling van het spamfilter.
Wat een ontdekking......
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.