De mens is één van de zwakste schakels binnen organisaties als het aankomt op cybersecurity. Dat zal voor velen niet nieuws zijn, maar recent onderzoek van ProofPoint bevestigt dit nu met stevige cijfers. In het ‘Human Factor Report 2019’ wordt beschreven dat de menselijke factor in 99 procent van de gevallen het zwakste punt is in de verdediging tegen cyberbedreigingen. Hoe worden menselijke fouten door cybercriminelen misbruikt, en hoe kunnen bedrijven zich weren tegen deze zogenaamde ‘social engineering’? We besloten erover in gesprek te gaan met Threat Intelligence Lead Chris Dawson.
Social engineering is in een paar woorden het nabootsen van sociale interactie om via gebruikers binnen te dringen in IT-systemen. Dit kan meerdere doelen hebben: malware verspreiden, data frauduleus bemachtigen of het in gang zetten van frauduleuze financiële transacties. De ‘human factor’ bestaat vaak uit de gewoonten van werknemers bij bedrijven, waar vervolgens misbruik van wordt gemaakt op verschillende manieren. Websites kunnen bijvoorbeeld nagebootst worden (spoofing), waardoor gebruikers denken een legitieme site te gebruiken terwijl dat niet zo is. Een effectief middel om dit vertrouwen bij gebruikers te creëren is bijvoorbeeld het gebruik van een SSL-verbinding. Het symbool voor SSL-beveiliging zorgt immers direct voor een veilig gevoel, ook al kan het gaan om een website die malware verspreidt. Dawson geeft dan ook aan dat het kleine slotje in de adresbalk soms een illusie van veiligheid geeft.
De menselijke factor
Het misbruiken van menselijke gewoonten en handelingen gebeurt ook op grote schaal bij phishing via e-mail. Hierbij worden vertrouwenswaardige berichten gestuurd om mensen te verleiden op een link te klikken, een download te starten, bestanden te openen of geld en informatie te verzenden. Phishing is ondertussen bijna een klassieker wat betreft cyberaanvallen, maar de social engineering wordt volgens Dawson steeds geavanceerder. In het verleden waren phishing-mails vaak makkelijk te herkennen, maar dit zal in de toekomst steeds minder voorkomen.
Uit het onderzoek blijkt bijvoorbeeld dat een campagne over ‘brain food’ in 2018 ongekend succesvol was om gebruikers tot actie aan te zetten. Cybercriminelen stuurden een bericht rond waarin reclame werd gemaakt voor voedsel dat positieve effecten zou hebben op de hersenen. “Blijkbaar willen mensen echt heel graag de werking van hun brein verbeteren. Op een bepaald moment was het voor ons echter goed zichtbaar dat gebruikers doorkregen dat het bericht oplichterij was”, aldus Dawson. Potentiële slachtoffers herkennen dus op langere termijn dat bepaalde e-mailcampagnes frauduleus zijn, maar deze herkenning gaat relatief langzaam.
Bovendien wordt er door criminelen opgelet wanneer phishing-berichten het best werken. Op maandagen worden de meeste berichten verzonden, omdat werknemers dan vaak een grotere hoeveelheid e-mails bijwerken. Vaak leidt dat tot een lagere alertheid en dus tot een hogere succesgraad bij phishingberichten. Dawson stelt dat het in kaart brengen van de meest effectieve soorten phishing-campagnes helpt bij de bestrijding. Als er kennis is over de onderwerpen en/of tactieken waardoor gebruikers het snelst verleid worden om te acteren, kan er sneller gereageerd worden of zelfs preventief worden gecontroleerd. Proofpoint raadt dan ook aan om een oplossing van een cybersecurity-leverancier te gebruiken die nieuwe strategieën en aanvalstactieken kan detecteren en deze blijft updaten.
Shift naar clouddiensten
In de eerste helft van 2019 waren berichten die veelgebruikte clouddiensten nabootsten het meest succesvol. De verschuiving naar deze tactiek bij phishing is volgens Dawson een zorgwekkende trend, omdat het aanvalsoppervlak groter wordt. Gedeelde accounts en mappen zorgen voor nieuwe toegangswegen voor cybercriminelen om een organisatie te infiltreren. Infiltratie is dan ook vaak het doel van phishing-aanvallers, omdat het versturen van mails met een echt bedrijfsaccount het allerbest werkt (lateral phishing). Dawson geeft aan dat cybercriminelen phishing van binnenuit de organisatie als de heilige graal zien, aangezien de gebruiker op basis van het e-mailadres niet kan beoordelen of het om phishing gaat.
Laaghangend fruit
Volgens Dawson zijn er in algemene zin twee factoren die bepalen welke doelen aanvallers kiezen. Ten eerste is het belangrijk hoe makkelijk een doelwit is, en ten tweede wat er te halen valt. Uit het onderzoek blijkt dat de financiële branche het vaakst wordt getroffen door malware-aanvallen, om het simpele feit dat data uit die sector het gevoeligst is. Aan de andere kant worden sectoren waar weinig te halen valt wel regelmatig aangevallen. Branches zoals het onderwijs zijn namelijk vaak niet optimaal beveiligd tegen cyberdreigingen. “Aanvallers gaan vaak voor het laagst hangende fruit. Minder goed beveiligde sectoren als educatie worden binnengedrongen om vervolgens spamcampagnes te beginnen”, vertelt Dawson.
VAP’s en VIP’s
Proofpoint maakt het onderscheid tussen Very Attacked Persons en Very Important Persons. De afkortingen zijn vooral gekozen omdat het lekker bekt. Het gaat hier simpelweg over de meest kwetsbare medewerkers binnen een organisatie (VAP’s) en het C-level (VIP’s). VAP’s zijn de meest kwetsbare personen binnen bedrijven omdat hun contactgegevens bijvoorbeeld online te vinden zijn. Dit heeft echter ook te maken met hun kennisniveau aangaande cybersecurity. Als VAP’s en VIP’s overlappen vormt zich een bijzonder kwetsbare groep. Criminelen met toegang tot een account van een topmanager kunnen zich natuurlijk gemakkelijk waardevolle gegevens verschaffen. Ook is lateral phishing vanuit het account van een topfunctionaris makkelijker, omdat werknemers zich door de bedrijfshiërarchie meer onder druk gezet voelen.
De tactieken van cybercriminelen om in te spelen op menselijke gewoonten en fouten worden kortom steeds geavanceerder. Proofpoint raadt daarom ook aan om het gehele security-beleid binnen organisaties op te stellen met de mens als centrale punt. Dit betekent onder meer het regelmatig trainen van werknemers om frauduleuze berichten en websites te herkennen. Ook is het een goede keuze om een oplossing te gebruiken waarmee iedere gebruiker in de organisatie gemonitord kan worden. Als er dan toch iemand reageert op bijvoorbeeld een phishing-mail, is het direct duidelijk waar de bedreiging vandaan komt.