De manier waarop aanvallers via phishing bij organisaties en bedrijven weten in te breken laat zien dat deze groepen zich steeds vaker op mensen richten, aldus beveiligingsgoeroe Bruce Schneier. Schneier reageert op de werkwijze van de Comment Group, die onlangs in een rapport van beveiligingsbedrijf Mandiant werd beschrijven. De aanvallers stuurden op maat gemaakte phishingmails.

Deze e-mails waren in de context van het slachtoffer geschreven en van een bijlage voorzien die misbruik van een beveiligingslek in programma's zoals Adobe Reader of Microsoft Office maakten. Werden de documenten geopend, dan werd via het lek in de software een backdoor op de systemen geïnstalleerd.

Bij veel van deze spear phishingaanvallen werken de slachtoffers namelijk met onveilige software, waardoor het de aanvallers een stuk makkelijker gemaakt wordt.

Professionals
De Comment Group zou allerlei informatie over hun slachtoffers verzamelen. Volgen Schneier gaat het dan ook niet om phishing of spear phishing, maar om lasergestuurde precisie phishing. "Ik heb dit al tien jaar geleden geschreven, maar alleen amateurs vallen machines aan, professionals richten zich op mensen. En de professionals worden steeds beter en beter."

Het probleem is dat een voldoende gemotiveerde aanvaller die over genoeg middelen en expertise beschikt, altijd weet binnen te komen. "Aanvallen is veel eenvoudiger dan verdedigen", stelt Schneier. "De reden dat we het al zolang goed doen, is dat de meeste aanvallers zich op de slechtst beveiligde netwerken richten en de rest met rust laten."

De beveiligingsgoeroe merkt op dat het uiteindelijk belangrijk is dat de beveiliging van de verdediger beter dan de expertise van de aanvaller is. "En in veel gevallen is dat niet zo."

Een reden voor deze situatie is dat ontwikkelaars nog niet weten hoe ze grote applicaties op veilige wijze moeten ontwikkelen en professionals ook niet weten hoe ze volledige organisaties met kosteneffectieve maatregelen moeten beveiligen.