Security Professionals - ipfw add deny all from eindgebruikers to any

Phishing nonsens

25-07-2020, 22:38 door Anoniem, 18 reacties
Let op: security professionals only.

https://www.ncsc.nl/onderwerpen/phishing/weerbaar-tegen-phishing

Er wordt bang gemaakt, verwarring gesticht en onzin verkocht. Alsof het opgeschreven door een ronkende wannabe reporter.

Phishing is het vissen naar inloggegevens. Het is niet noodzakelijk email, het kan via allerlei kanalen binnenkomen.

De hypeterminilogie op die paginal is - zucht, en nog een zucht - van geen waarde. Phishing heet gewoon phishing. Phishing is geen CEO fraude, het is geen malware, en het is onafhankelijk van de transportmethode.

"Er hoeft maar een medewerker op een link te klikken en de kwaadwillende kan diens e-mailinformatie binnenhalen."

Pardon? emailinformatie verkrijgen door op een link te klikken? Wat voor emailinformatie? De ontvanger is al bekend aan de aanvaller, die heeft immers al het (email-)adres. Er is geen relatie tussen emailinformatie en klikken op een link.

Als de aanvaller informatie wil over de ontvanger kan dat op diverse manieren en die vereisen niet het klikken van een link.

"Een volgende stap zou kunnen zijn, dat die persoon een e-mail met malware ontvangt van de kwaadwillende."

Malware als volgende stap? Dat valt niet onder de term phishing en het is niet een typische "volgende stap" bij phishing. De volgende stap is dat na het invullen van inlogggegevens die gegevens worden misbruikt, bijvoorbeeld om een account over te nemen en daarmee iets te doen, zoals het stelen van geld of goederen.

"Vaak is het onderwerp van zo'n phishing-e-mail veiligheid van bankgegevens."

Correct.

"Of het bericht is een aanbod om mee te doen aan een spel waarbij geld kan worden gewonnen."

Dat valt niet onder term phishing, dat is manipulatie (scam, social engineering) om persoonsgegevens los te krijgen. Meestal om te worden doorverkocht en/of te worden gebruikt in spam. Het is typisch geen geld dat kan worden gewonnen, maar eerder een duur gewild product, van een smartphone tot een auto.

"Naast phishing-e-mail bestaan er ook andere vormen van phishing. Bijvoorbeeld nepberichten op openbare platformen en sociale media zoals Whatsapp en Facebook."

Het kanaal is niet bepalend. Het is allemaal phishing zolang aan de definitie wordt voldaan.

"Een berichtenservice als sms wordt ook gebruikt om mensen over te halen op een malafide phishinglink te klikken. Dit heet 'smishing'."

Foute terminlogie. Het ging overigens ook over niet-phishing zaken, zoals het inschrijven voor een sms dienst of een link naar malware.

"Is een phishingaanval gericht op topbestuurders van een onderneming, dan wordt dit 'whaling' genoemd."

Foute terminologie.

"Ook voicemail wordt ingezet door kwaadwillenden. Meestal is het gesproken bericht afkomstig van een financiële instelling. Deze vorm heet 'vishing', afgeleid van voice-phishing."

Foute terminologie.

Hoeveel blatante onzin kun je kwijt op 1 pagina? Praat geen marketeers en verhaaltjesschrijvers na en vertel het echte verhaal, NCSC! Graag door een echte deskundige die onderweg het spoor niet bijster raakt.

Dit is de ter zake doende tekst:
"Wat veel voorkomt is e-mail die afkomstig lijkt van een bank, waarin de geadresseerde wordt uitgenodigd om persoonlijke gegevens van de bankrekening te controleren via een link. Wanneer op de link wordt geklikt, opent die een webpagina, die lijkt op de legitieme website van de bank. De persoon wordt gevraagd om in te loggen. Zodra iemand dit doet, verkrijgt de kwaadwillende inlognaam en wachtwoord. Daarmee kan de kwaadwillende inloggen op de legitieme website van de bank en van de rekening van het slachtoffer geld overmaken naar zichzelf."

Grotendeels correct. Het overschrijven van geld gaat meestal niet rechtstreeks naar de rekening van de aanvaller, maar via katvangers.

De pagina kan een betere inhoud aan de titel van de pagina "Weerbaar tegen phishing" geven, namelijk wat je kan doen tegen phishing.
Reacties (18)
26-07-2020, 16:35 door Anoniem
Grotendeels eens. Al lijkt het mij ook dat dit geschreven is voor een algemeen publiek waarbij de voorbeelden wat meer aanspreken dan een specifieke of misschien wel academische beschrijving.

Grootste gemis mijn inziens is een verwijzing naar de authenticatie pagina, waarbij duidelijk staat vermeld dat phishing een volledig te voorkomen 'probleem' is. Als dat niet weerbaar is, dan weet ik het ook niet. Helaas blijft het gros van de mensen toch heel hard roepen 'controleer altijd de website', 'meer awareness', 'eigen schuld, had je maar moeten opletten'.

Laat het NCSC eens de stelling nemen dat als iemand slachtoffer is van phishing, de schuld ook gezocht moet worden bij de website eigenaar die geen veilige inlogmethoden aanbood.
26-07-2020, 18:52 door Anoniem
Als bijv. ssl-downgrading mogelijk is. Verwijtbaar bij eigenaar.
26-07-2020, 20:35 door Anoniem

"Er hoeft maar een medewerker op een link te klikken en de kwaadwillende kan diens e-mailinformatie binnenhalen."

Pardon? emailinformatie verkrijgen door op een link te klikken? Wat voor emailinformatie? De ontvanger is al bekend aan de aanvaller, die heeft immers al het (email-)adres. Er is geen relatie tussen emailinformatie en klikken op een link.

Aanvallers kiezen vaak ervoor om heel veel mailadressen te mailen. Als je klikt weten ze dat jouw adres bestaat, gelezen wordt en jij ook nog klik-happy bent. Veruit de meeste aanvallen beginnen op deze manier.

Malware als volgende stap? Dat valt niet onder de term phishing en het is niet een typische "volgende stap" bij phishing.

Juist wel. Spear-phishing om wel te verstaan, maar dit is wat bijna elk red-team ook als stap heeft. https://attack.mitre.org/techniques/T1566/.

Smishing, Vishing, Whaling: allemaal correcte termen. Ze zijn niet zo handig, maar het zijn correcte termen.

Het lastige van een pagina over phishing schijven is juist dat er zoveel varianten zijn. Misschien kun je ze een handje helpen door positief kritisch ze even voor voorstel te doen? Weet uit ervaring dat ze daar heel erg open voor staan.

Kijken wie vervolgens jouw tekst afkraakt ;).

(en nee, geen medewerker van NCSC).
26-07-2020, 20:37 door Anoniem

Laat het NCSC eens de stelling nemen dat als iemand slachtoffer is van phishing, de schuld ook gezocht moet worden bij de website eigenaar die geen veilige inlogmethoden aanbood.

Wat een onzin zeg. Of beweer je nu dat elk inlogsysteem dat tot nu toe gemaakt is onveilig is?
Als een gebruiker gegevens afgeeft kun je als website daar bar weinig tegen doen. Alles wat je kunt doen wordt zo een beetje wel gedaan, en dat helpt vaak, maar zeker niet altijd.
26-07-2020, 21:44 door Anoniem
Ik ben de topic starter

@ Vandaag, 20:35 door Anoniem
De term spear phishing wordt ook vaak misbruikt. Men bedoelt meestal een scam of een andere vorm van social engineering. Phishing gaat echt alleen over het vissen naar inloggevens. Mensen overhalen om op een malware link te klikken heet social engineering. Phishing is een vorm van social engineering, maar social engineering is geen phishing.

Aanvallers kiezen vaak ervoor om heel veel mailadressen te mailen.

Dat doen spammers. Soms doen ze met inhoudsloze berichten, om adreslijsten op te schonen. Dat kan veel handiger en minder opvallend.

Als je klikt weten ze dat jouw adres bestaat, gelezen wordt en jij ook nog klik-happy bent.

Nee, dat doen ze niet op die manier. Er zijn methoden van adrescontrole die geen gebruikerinteractie vergen.

Veruit de meeste aanvallen beginnen op deze manier.

Dat is niet waar.

Dit heeft niets met phishing te maken, wat precies mijn punt is. Zaai geen verwarring.
26-07-2020, 22:24 door Anoniem
Door Anoniem: Wat een onzin zeg. Of beweer je nu dat elk inlogsysteem dat tot nu toe gemaakt is onveilig is? Als een gebruiker gegevens afgeeft kun je als website daar bar weinig tegen doen. Alles wat je kunt doen wordt zo een beetje wel gedaan, en dat helpt vaak, maar zeker niet altijd.
Inloggen met bijvoorbeeld client certificates is nooit vatbaar geweest voor phishing en bestaat naar mijn weten even lang als dat SSL/TLS bestaat. Probleem was altijd gebruiksvriendelijkheid, niet de veiligheid.

Het verschil tussen 'op een verkeerde website inloggen' en 'je smartcard/bankpas/security key met pincode op de post doen' lijkt mij daarnaast vrij significant - immers is inloggen gebonden aan die fysieke middelen. Met genoeg social engineering zal het versturen van die inlogmiddelen waarschijnlijk nog steeds lukken, alleen een stuk minder vaak dan in de gevallen waar je met 1 verkeerd linkje de toegang je gebruikernaam, wachtwoord en 2FA code weggeeft.
26-07-2020, 23:32 door Anoniem
Doe maar eens een security header scannetje op een PHISHing website.
Dat moet toch al wel duidelijkheid verschaffen.

Kijk je hebt phishing sites ontworpen als phishing sites en overgenomen of geparkeerde sites die ervoor gebruikt worden.

#sockpuppet
27-07-2020, 12:03 door willem Dekker
Ik deel de mening van de topic starter dat het een slecht stuk is. De wikipedia https://en.wikipedia.org/wiki/Phishing pagina is duidelijker.

Het belangrijkste is echter dat het stuk helemaal niet ingaat op de titel:
"Weerbaar tegen phishing"

Dat leek me een veel belovende titel, maar het stuk is inderdaad van bedroevende kwaliteit.

Verschillende aanpakken zouden besproken kunnen worden.

1) Twee factor authenticatie
2) Gebruikers awareness training / voorlichting
3) Test phishing mails (red teaming)
4) Mail filtering - herkennen /verwijderen van phising mails
herschrijven van mails (verwijderen van links of het herschrijven zodat het via een proxy gaat).

5) EV Certificaten / HTTPS

De lijst is in mijn idee qua effectiviteit, maar dat is niet gebaseerd op data.

Als er per aanpak nog een idee gegeven kan worden van de voor en tegens en de effectiviteit zoals de NCSC die heeft gekregen vanuit hun praktijk dan zou het nog meer kunnen helpen.
27-07-2020, 12:28 door Anoniem
@willen Dekker
Hoewel deze maatregelen allemaal een deel van de phishing kunnen voorkomen, zijn er veel ook te omzeilen of slechts beperkt effectief.

1) Twee factor authenticatie
Helpt niet tegen phishing, zie https://blog.duszynski.eu/phishing-ng-bypassing-2fa-with-modlishka/
2) Gebruikers awareness training / voorlichting
3) Test phishing mails (red teaming)
Voor zo ver ik het weet, zijn deze slechts gedeeltelijk effectief en altijd maar op korte termijn. Gedegen wetenschappelijke papers over de effectiviteit kan ik zo snel niet citeren, maar gezien het feit dat hier genoeg geld in om gaat en phishing nog steeds een probleem is wijst er toch op dat dit geen silver bullet is.
4) Mail filtering - herkennen /verwijderen van phising mails
herschrijven van mails (verwijderen van links of het herschrijven zodat het via een proxy gaat).
Anekdotisch bewijs: deze week kreeg ik een phishing mail binnen die de security gateway wist te omzeilen. Men had in de redirect chain een Google reCaptcha gestopt waardoor de gateway hier op vast liep en de mail vervolgens door liet. Daarnaast zijn er genoeg andere truukjes om filtering tegen te gaan, bijvoorbeeld IP filtering waarbij de IP adressen van security bedrijven worden geblokkeerd.
5) EV Certificaten / HTTPS
Niet elke website gebruikt EV certificaten waardoor het nooit duidelijk is of dit aanwezig zou moeten zijn of niet. Daarnaast is gebleken dat het gebruik van positieve indicatoren (altijd controleren op aanwezigheid) niet helpt. Maar over EV certificaten is hier al genoeg over geschreven.

Om nog een toe te voegen:
6) Het gebruik van 'verifier impersonation resistant' inlogmethoden. 100% effectief, als we Google mogen geloven: https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/
27-07-2020, 12:38 door Anoniem
"Er hoeft maar een medewerker op een link te klikken en de kwaadwillende kan diens e-mailinformatie binnenhalen."

Pardon? emailinformatie verkrijgen door op een link te klikken? Wat voor emailinformatie? De ontvanger is al bekend aan de aanvaller, die heeft immers al het (email-)adres. Er is geen relatie tussen emailinformatie en klikken op een link.
Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Als men eenmaal je email-adres weet, kan men een mail naar je e-mailadres sturen met bijv. malware of phishing berichten om identiteitsfraude mee te plegen. Vele phishing praktijken monden uit in een vorm van identiteitsfraude: truuks waarmee men zich kan voordoen als jou. Zelfs een Man-In-the-Middle aanval of iemand naar een valse bank website leiden is in wezen een vorm van identiteitsfraude. Immers het lijkt voor de echte banking website alsof de geauthoriseerde persoon inlogt en de opdrachten uitvoert.
27-07-2020, 15:31 door Anoniem
Door Anoniem: Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Dat staat er niet, en dit is fantasie. De manier waarop je een emailadres kan prijsgeven is als je die zelf invult op een website of laat invullen door de browser. Het klikken op een mailto link in HTML stuurt niets, het opent alleen een eventueel gekoppelde mail applicatie.
27-07-2020, 17:09 door Anoniem
Door Anoniem:

Dit heeft niets met phishing te maken, wat precies mijn punt is. Zaai geen verwarring.

Volgens mij zaai je zelf de verwarring. Spear-phishing is de term, niet scam.
Staat ook duidelijk beschreven op https://attack.mitre.org/techniques/T1566/001/
of wellicht https://en.wikipedia.org/wiki/Phishing#Spear_phishing als een encyclopedie je meer bevalt.
27-07-2020, 17:13 door Anoniem
Door willem Dekker:
Verschillende aanpakken zouden besproken kunnen worden.

1) Twee factor authenticatie
2) Gebruikers awareness training / voorlichting
3) Test phishing mails (red teaming)
4) Mail filtering - herkennen /verwijderen van phising mails
herschrijven van mails (verwijderen van links of het herschrijven zodat het via een proxy gaat).

5) EV Certificaten / HTTPS

Geen van deze maatregelen is de holy-grail om phishing te voorkomen. Ze helpen allemaal een beetje, maar zelfs als je ze allemaal toepast kan je klant nog steeds ge-phish-ed worden. Dat gebeurd ook dagelijks bij klanten van banken bijvoorbeeld. Bij nummer 4 twijfel ik zelfs of je het een phisher niet makkelijker maakt, immers ziet de gebruiker adhv de link niet meer of het nu wel of niet vertrouwd is.
27-07-2020, 17:16 door Anoniem
Door Anoniem:
Door Anoniem: Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Dat staat er niet, en dit is fantasie. De manier waarop je een emailadres kan prijsgeven is als je die zelf invult op een website of laat invullen door de browser. Het klikken op een mailto link in HTML stuurt niets, het opent alleen een eventueel gekoppelde mail applicatie.

Andersom wel: als je een phising mail krijgt is het klikken genoeg om het bestaan van je emailadres kenbaar te maken.
Sterker nog: zelfs het openen van de mail is in veel gevallen al genoeg, als een tracking-image wordt toegestaan door je mailclient.

<img src="https://phishing.invalid/voorbeeldplaatje.png?emailadres=ik@security.nl" />
27-07-2020, 20:05 door Anoniem
Door Anoniem:
Door Anoniem: Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Dat staat er niet, en dit is fantasie. De manier waarop je een emailadres kan prijsgeven is als je die zelf invult op een website of laat invullen door de browser. Het klikken op een mailto link in HTML stuurt niets, het opent alleen een eventueel gekoppelde mail applicatie.

Denk vanuit een bedrijfsmatige situatie (is ncsc ook op gericht)
waarbij het bedrijf zelf meestal ook een website heeft,
en waarbij dus al hun email-adressen meestal zijn gelinkt aan hetzelfde domein...
En lees dan vervolgens eens:
https://www.quora.com/What-is-the-best-way-to-get-email-addresses-of-website-visitors
Via via kan men ver komen.
28-07-2020, 08:12 door Anoniem
Weet je, we kunnen elke theoretische vorm van phishing trachten uit te gaan schrijven maar uiteindelijk zijn het allemaal vormen van good old social engineering.
Je haalt mensen over om iets te doen wat ze eigenlijk normaal gesproken niet zouden doen. Een babbeltruc om pincodes of wachtwoorden te verzamelen, een e-mail met een link naar een nep website die via de techniek hetzelfde probeert te doen, allemaal social enginering.
Het is nog steeds zo dat de beste manier om bijvoorbeeld achter gegevens van mensen te komen of toegang te krijgen tot systemen, is het gewoon te vragen. De wijze waarop je dit vraagt hangt samen met het succes dat je ermee kunt hebben.
Als je aan iemand direct om zijn pincode vraag zal je dat niet krijgen maar als je dat wat slimmer aanpakt dan krijg je niet alleen de pincode maar waarschijnlijk ook de inlognaam en wachtwoord van de banklogin. En het middel dat je ervoor gebruikt kan een phishing e-mail, voice phishing, sms phishing, of een fake website zijn die ook nog eens kwaadaardige code bevat die malware op het systeem van het slachtoffer injecteert en daarmee het gehele systeem overneemt.
Het grootste beveiligingsrisico zit nog steeds tussen de stoel en het toetsenbord, en aangezien het redelijk eenvoudig is om mensen te manipuleren zijn alle vormen van phishing nog steeds het meest succesvolle aanvalswapen van criminelen.
28-07-2020, 12:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Dat staat er niet, en dit is fantasie. De manier waarop je een emailadres kan prijsgeven is als je die zelf invult op een website of laat invullen door de browser. Het klikken op een mailto link in HTML stuurt niets, het opent alleen een eventueel gekoppelde mail applicatie.

Denk vanuit een bedrijfsmatige situatie (is ncsc ook op gericht)
waarbij het bedrijf zelf meestal ook een website heeft,
en waarbij dus al hun email-adressen meestal zijn gelinkt aan hetzelfde domein...
En lees dan vervolgens eens:
https://www.quora.com/What-is-the-best-way-to-get-email-addresses-of-website-visitors
Via via kan men ver komen.

Of je gebruikt dit scriptje en hoopt erop dat username@bedrijfsnaam het e-mailadres is (kan zijn dat het tegenwoordig minder goed werkt, want we zijn een stuk verder qua security in de browser natuurlijk; vroeger leverde dit met regelmaat netjes op windows systemen die IE gebruikte de gebruikersnaam op.


var wshshell = new ActiveXObject("WScript.shell");
var username = wshshell.ExpandEnvironmentalStrings("%username%");
29-07-2020, 12:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Lees: "er hoeft maar iemand op een webpagina die hij of zij bezoekt op een link te klikken en....etc."
De informatie die je zo verstrekt kan je email-adres zijn, en daarmee kan de houder van de website
(en soms bijv. ook iemand die deze website toevallig had weten te hacken) dus aan je e-mail adres komen.
Daarom heb ik bijv. standaard geen (of in elk geval niet mijn echte) e-mail adres geconfigureerd op het systeem waarmee ik op het web surf.

Dat staat er niet, en dit is fantasie. De manier waarop je een emailadres kan prijsgeven is als je die zelf invult op een website of laat invullen door de browser. Het klikken op een mailto link in HTML stuurt niets, het opent alleen een eventueel gekoppelde mail applicatie.

Denk vanuit een bedrijfsmatige situatie (is ncsc ook op gericht)
waarbij het bedrijf zelf meestal ook een website heeft,
en waarbij dus al hun email-adressen meestal zijn gelinkt aan hetzelfde domein...
En lees dan vervolgens eens:
https://www.quora.com/What-is-the-best-way-to-get-email-addresses-of-website-visitors
Via via kan men ver komen.

Of je gebruikt dit scriptje en hoopt erop dat username@bedrijfsnaam het e-mailadres is (kan zijn dat het tegenwoordig minder goed werkt, want we zijn een stuk verder qua security in de browser natuurlijk; vroeger leverde dit met regelmaat netjes op windows systemen die IE gebruikte de gebruikersnaam op.


var wshshell = new ActiveXObject("WScript.shell");
var username = wshshell.ExpandEnvironmentalStrings("%username%");

Of er zit malware achter de link waar men op klikt, die vervolgens je email-adres terugstuurt als de malware niet wordt herkend en tegengehouden. https://smallbusiness.chron.com/can-malware-steal-email-address-62464.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.