'HR-afdelingen doelwit van gerichte aanvallen met malafide vacatures'
HR-afdelingen zijn het doelwit van gerichte aanvallen met malafide vacatures, zo laat securitybedrijf Arctic Wolf weten. Bij de aanvallen ontvangt HR-personeel een e-mail met daarin een link die naar de persoonlijke website van een sollicitant lijkt te wijzen. Op deze website wordt zogenaamd een c.v. aangeboden. Voordat de c.v. kan worden gedownload moet eerst een captcha worden opgelost. Dit is volgens de onderzoekers gedaan om detectie door automatische scanners tegen te gaan.
Na het oplossen van de captcha wordt een zip-bestand aangeboden met daarin een .lnk-bestand en .jpg-bestand. Het .lnk-bestand voert een script uit dat Microsoft WordPad als afleiding laadt. In de achtergrond wordt een backdoor geïnstalleerd waarmee de aanvallers toegang tot het systeem krijgen en aanvullende bestanden kunnen uitvoeren. Volgens Arctic Wolf worden de aanvallen uitgevoerd door een financieel gemotiveerde groep aanvallers. Het securitybedrijf adviseert onder andere om HR-personeel te trainen alert te zijn op .lnk-, .iso- of .vbs-bestanden.
Je kan dus gewoon een whitelist toepassen: bestanden zonder goedgekeurde extensies direct naar quarantaine!
Vergeet niet macro's volledig uit te zetten in de policy, en als er een gevonden word, ook in quarantaine zetten.
Acceptabele extensies zouden kunnen zijn:
- plaatjes/video/audio
- txt, csv en andere platte tekst files.
- documenten/PDF/powerpoints/excel sheets etc. (zonder macro's)
- zip en andere compressieformaten. (inhoud ook scannen)
- email/kalender items
Zorg er wel voor dat je makkelijk te bereiken bent voor als men nieuwe extensies nodig heeft.
En houd goed in de gaten of er iets in quarantaine gezet word, daar moet je direct actie op ondernemen.
False positives gaan op de whitelist en bij false negatives neem je contact op met de collega in kwestie.
Ik ben er vrij zeker van dat je hier >99% van de aanvallen tegenhoud, misschien wel >99.9%...
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?