Microsoft waarschuwt voor ondetecteerbare ‘laser’ phishing

Was spear phishing al moeilijk te detecteren, dan is laser phishing nog realistischer. Microsoft waarschuwt voor deze evolutie nu het belang van dergelijke aanvallers voor hackers blijft groeien.

Phishing kent iedereen. In dergelijke breed uitgestuurde mails probeert een crimineel je via een e-mail te overhalen om bijvoorbeeld bankgegevens in te geven op een valse website. Spear phishing is de evolutie van dat fenomeen, waarbij aanvallers hun phishingmails erg zorgvuldig opstellen en richten aan een persoon of doelgroep. Ze maken daarbij gebruik van vrij beschikbare informatie, bijvoorbeeld met de hulp van sociale netwerken.

Extreem gerichte aanvallen

Microsoft waarschuwt nu voor wat het ‘laser’ phishing noemt: een vorm van spear phishing die zo geavanceerd is dat het haast onmogelijk wordt om het verschil met een echte mail te detecteren. Het aandeel van dergelijke mails is in het afgelopen jaar verdubbeld. 0,62 procent van de inkomende mail in september van dit jaar zou phishing betreffen, waar dat in dezelfde periode vorig jaar slechts 0,31 procent was. In een blogpost geeft de softwarereus een voorbeeld.

Het doelwit ter illustratie is een IT-rekruteerder die onder druk staat om verschillende posities in te vullen. Hij doet wat rekruteerders doen en zoekt onder andere via sociale media naar kandidaten of vraagt mensen om leads door te sturen. Een mail die enkele dagen later in zijn inbox belandt als reactie op de jobopening lijkt niet verdacht, het cv in bijlage al evenmin. Het is echter mogelijk dat een cybercrimineel van de kans gebruik heeft gemaakt om een geïnfecteerde bijlage naar de rekruteerder  te sturen.

Interne mails

In een andere steeds meer voorkomende aanval doen criminelen zich voor als interne gezaghebbenden binnen een organisatie. Denk aan een mail die afkomstig lijkt van de CEO waarin een hooggeplaatste manager gevraagd wordt om dringend een belangrijke leverancier te betalen op een bepaald rekeningnummer, dat achteraf gezien aan de aanvaller blijkt toe te horen.

De mails zijn het moeilijkst te detecteren wanneer aanvallers er in slagen bedrijfsdomeinen na te maken of zelfs doen uitschijnen alsof hun mail van een vertrouwde persoon komt. Dergelijke aanvallen worden gelukkig vaak als dusdanig aangeduid door moderne mailcliënten, maar dat is niet het geval wanneer een aanvaller aan de slag kan gaan met een gecompromitteerd account.

Tweefactorauthenticatie

De neiging van mensen om accountgegevens te hergebruiken, gekoppeld aan de frequentie van grote datalekken, zorgt ervoor dat aanvallers aan de slag kunnen met een heleboel logingegevens waarvan een combinatie misschien ook wel werkt om toegang te krijgen tot de bedrijfsmailbox van een slachtoffer. Stuurt een hacker van daaruit een malafide mail, dan heeft het slachtoffer geen kans.

Geen van de problemen is zonder oplossing. Een goede antivirusoplossing helpt, net als modern identiteitsmanagement. Tweefactorauthenticatie zorgt er bijvoorbeeld voor dat het in de praktijk vrijwel onmogelijk wordt voor hackers om accounts over te nemen en te misbruiken, zelfs wanneer iemand een gelekt wachtwoord heeft hergebruikt. Tot slot raadt Microsoft bewustmaking aan. Er zijn tal van tools beschikbaar waarmee je als IT-administrator phishingmails kan loslaten op een nietsvermoedend personeelsbestand. Zo kan je werknemers bewust maken van het gevaar en hen bovendien aanleren waar ze op moeten letten. Technologie volstaat immers niet om gerichte aanvallen tegen te houden. Bewustmaking is minstens even essentieel.