Europol: gebruiker speelt essentiële rol in voorkomen van phishing
Gebruikers spelen een essentiële rol in het voorkomen van spearphishing aangezien technische oplossingen alleen niet voldoende tegen dergelijke aanvallen zijn. Dat stelt Europol in een vandaag verschenen rapport over spearphishing, dat volgens de organisatie de voornaamste aanvalsvector van cybercriminelen is. Het gaat hier om gerichte aanvallen waarbij aanvallers proberen om gevoelige informatie zoals wachtwoorden te stelen of malware proberen te verspreiden.
Organisaties kunnen verschillende technische maatregelen tegen spearphishing nemen, zoals het blokkeren van ongecontroleerde macro's, het inschakelen van tweefactorauthenticatie, het blokkeren van bepaalde e-mailbijlagen en het toepassen van protocollen zoals Sender Policy Framework (SPF) en DMARC (Domain Message Authentication Reporting and Conformance).
Toch zijn alleen technische maatregelen niet voldoende, aldus Europol. "Gegeven dat technische oplossingen niet alle phishingcampagnes kunnen voorkomen, met name die van zeer geavanceerde actoren, moet elke maatregel om dit soort aanvallen tegen te gaan een sterk educatief onderdeel hebben dat zich ook op bewustzijn voor individuen en bedrijven richt", zo laat het rapport weten.
Volgens Europol moet een solide verdediging tegen phishingaanvallen bestaan uit gebruikers die in staat zijn om dergelijke e-mails te herkennen en hier op de juiste manier op reageren. Gebruikers kunnen bijvoorbeeld letten op gespoofte afzenders en de domeinnaam van het e-mailadres. Geregeld maken aanvallers gebruik van domeinen die op een legitieme domeinnaam lijken, maar bijvoorbeeld een letter verschillen. Ook ongevraagde e-mails kunnen op een aanval duiden. Wanneer gebruikers twijfelen zou er binnen de organisatie een vast contact moeten zijn waar dergelijke mails naar toe kunnen worden gestuurd.
"De sleutel tot het opbouwen van een weerbare groep gebruikers is training. Hoe beter gebruikers worden in het detecteren van spearphishing, des te kleiner de kans dat een organisatie door een aanvaller wordt gecompromitteerd", stelt Europol. De opsporingsinstantie pleit onder andere voor dynamische en interactieve bewustzijnscampagnes. Het gaat dan bijvoorbeeld om gesimuleerde phishingaanvallen, e-learning en workshops.
"In de toekomst zal spearphishing waarschijnlijk een voorname aanvalsvector van cybercriminelen blijven die een organisatie willen infiltreren. Met gezamenlijke inspanning van opsporingsdiensten en industrie, bestaande uit technische oplossingen en operationele actie, alsmede preventie- en bewustzijnscampagnes, kunnen we deze dreiging verminderen", besluit Europol in het rapport (pdf).
Niet het eind van de keten (de eind-gebruiker) is essentieel / hoofdzakelijk bepalend,
maar de dienst-verleners, producenten, fabrikanten en verkopers ervan zijn dat à priori.
Dus wat gaat er mis in de hele keten richting de eindgebruiker is de hamvraag.
De ruimte die niet voor rommel, rotzooi, gaten, valkuilen en exploit door de hele keten heen wordt geboden of gelaten kan ook gewoon niet bij de eindgebruiker binnentreden.
Laat Europol dus eerst eens de fase vooooor de eindgebruiker sluitend maken.
Dus bij de winkels & vekooppunten, en idealiter ook nog de fase(n) ervoor.
Dus hoe die winkels & verkooppunten de spullen aangeboden en aangeleverd krijgen.
Mail providers treft hier ook blaam omdat de meesten dit toch nog gewoon doorlaten. Vorige weel liep ik er nog tegenaan dat mailtjes van bol.com bij iemand niet aan kwamen. Na verder onderzoek bleek dat bol.com een deel van hun mail verstuurt vanaf een IP adres dat niet in hun SPF lijst staat, terwijl ze een hard-fail policy hebben.
Dat bol.com zo'n fout niet direct onderkent is omdat het gros van mailservers, de mail toch nog gewoon aflevert. Dus een phishing mail met gespoofde afzender wordt ook afgeleverd, ondanks de beveiliging van bol.com.
En als je dan bij bol.com gaat klagen over niet aangekomen mail, gaan ze jouw systeem de schuld geven dat de mail niet aankomt. Anderen krijgen het toch ook, dus zij versturen het goed.
Neem de Raboscanner (en tegenwoordig ook de ING-scanner). Dat is een apparaat met een scherm waarop je expliciet ziet welk bedrag er overgeboekt gaat worden als je het goedkeurt, compleet met de tegenrekening erbij en de mededeling dat het een overboeking is die ze aan het goedkeuren zijn. What you see is what you sign, dat apparaatje laat echt zien wat er gaat gebeuren als je de code overneemt in de website van de bank. En toch zijn er mensen die een fors bedrag van hun rekening laten plunderen omdat ze niet tot zich door laten dringen wat ze zien, of omdat ze het niet weten te beoordelen.
Phishers zullen van technische onvolkomenheden gebruik maken, natuurlijk zullen ze dat doen, maar als die er niet zijn zullen ze nog steeds slagen omdat ze mensen zo ver weten te krijgen om die overboeking te doen, gewoon via de website van hun bank, compleet met alle technische beschermingsmaatregelen, bijvoorbeeld met een betaalverzoek dat via iDeal naar de rekening van iemand die er als katvanger ook al ernstig intuint.
Dat houd je met geen enkele technische oplossing tegen, het is feitelijk juist dat dat niet lukt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.