Als ze me missen ben ik phishen (Phishing blog #1)

Als ze me missen ben ik phishen (Phishing blog #1)

DearBytesBlogKwetsbaarheidAls ze me missen ben ik phishen (Phishing blog #1)

Bij DearBytes worden we regelmatig gevraagd of wij een bijdrage kunnen leveren aan het bepalen van het awareness niveau van werknemers. Er zijn verschillende manieren om dit te testen, maar de manier die ik het fijnst vind, is door middel van een social engineering aanval: phishing. Door een onaangekondigde phishing aanval in te zetten, verdwijnt de kans dat werknemers een wenselijk antwoord geven. Ze zullen meedoen aan de phishing aanval zoals zij dat altijd zouden doen. Dat wil niet zeggen dat er achteraf mensen aan de schandpaal genageld moeten worden. Het gaat immers over het awareness niveau van de organisatie en niet over wie er is “ingetrapt”.

Een phishing aanval is een vorm van “social engineering”. Bij phishing is het doel een gebruiker een actie uit te laten voeren, vaak via een e-mail. Denk bijvoorbeeld aan een bancaire e-mail, die hebben we allemaal wel eens gehad, waarbij we gevraagd worden in te loggen om te voorkomen dat onze rekening wordt gesloten.

abn phishing mail

Zakelijk phishing

Tegenwoordig wordt phishing veel vaker toegepast in de zakelijke omgeving. De reden hiervoor is simpel. Jaren hebben we aandacht besteed aan de externe beveiliging van onze organisaties. We zijn alleen vergeten dat onze werknemers directe toegang hebben tot het interne netwerk.

Door werknemers te verleiden hun logingegevens te delen is het mogelijk om toegang te verkrijgen tot de organisatie. De gebruikersnaam en het wachtwoord bieden vaak meer toegang dan de meesten zich realiseren. De gegevens bieden bijvoorbeeld de mogelijkheid om in te loggen via webmail, maar mogelijk ook de thuiswerkfaciliteiten. Daarom is “two-factor authentication” een belangrijke beveiligingsmaatregel, waarmee het voor een aanvaller moeilijker wordt logingegevens te misbruiken.

Een andere vaak wat onderbelichte manier om gestolen logingegevens te misbruiken is in de WiFi verbinding. Wanneer deze beveiligd is met behulp van 802.1x, werkt de authenticatie vaak met de gebruikelijke combinatie gebruikersnaam/wachtwoord. Vervolgens biedt het WiFi netwerk vaak toegang tot alle faciliteiten die het normale netwerk ook biedt. Dit wordt als veilig verondersteld, want de toegang wordt immers gereguleerd met gebruikersnaam en wachtwoord van de gebruikers. Een aanvaller kan er voor kiezen om gewoon voor de deur te gaan staan en de gephishte gebruikersnaam en wachtwoord te gebruiken, om zo toegang tot het netwerk te krijgen.

Interne netwerken

De interne netwerken van veel organisaties zijn bijzonder kwetsbaar en de meest basale zaken als segmentatie tussen servers en werkstations zijn niet geregeld. Wanneer u een IT beheerder vraagt wat de impact is zodra een aanvaller eenmaal toegang heeft tot het interne netwerk, dan zal het antwoord 9 van de 10 keer hetzelfde zijn, namelijk: “Dan hebben we een probleem”. Tijdens de pentests die wij hebben uitgevoerd is gebleken dat het vaak een kwestie van tijd is tot een aanvaller genoeg rechten heeft bemachtigd om alle data in te kunnen zien.

Wat te doen?

Er zijn verschillende manieren om een phishing aanval succesvol af te slaan. Belangrijk is dat medewerkers zich bewust zijn van de risico’s. Blijf personeel trainen en herinner ze regelmatig aan de risico’s van phishing. Verder is het belangrijk goede communicatie te hebben tussen het personeel en de IT afdeling/security officers, want schade door dergelijke aanvallen kan beperkt worden als ze vroegtijdig worden opgemerkt. Hierna is het natuurlijk zaak dat er een plan paraat is om het incident adequaat op te pakken. In het verleden is het voorgekomen dat beheerders de volledige organisatie berichtten dat er een phishing aanval heeft plaatsgevonden, maar werden de wachtwoorden van de slachtoffers niet veranderd. DearBytes heeft een flyer beschikbaar gesteld met tips om phishing e-mail te herkennen, zodat dit kan bijdragen aan de awareness van uw werknemers.

In toekomstige delen van “Als ze me missen ben ik Phishen” vertel ik u over andere manieren om organisaties binnen te dringen via phishing en hoe u dit kunt voorkomen.

 

Security Tips: veilig omgaan met e-mail en wachtwoorden

(klik op afbeelding voor pdf)

security tips jpg