Dit artikel is gepubliceerd op FD.nl
Ook in 2015 bleek phishing een van de machtigste en meest gebruikte aanvalsmethodes van cybercriminelen. Phishing is de verzamelnaam voor digitale activiteiten die tot doel hebben persoonlijke informatie (zoals inloggegevens) aan mensen te ontfutselen. Hackers misbruiken deze persoonlijke informatie voor bijvoorbeeld bedrijfsspionage, identiteits- of creditcardfraude. Vrijwel iedereen kent phishing van de nepmails die regelmatig in onze mailbox belanden, afkomstig van iemand die zich voordoet als een medewerker van de ING/ABN/Rabobank. De lezer wordt vaak verzocht om met spoed in te loggen op zijn/haar account, via de url in de mail. Zeer riskant en nog steeds succesvol. Gelukkig belanden dergelijke mails steeds vaker in de SPAM folders van onze mailbox. Waar minder mensen van op de hoogte zijn, is de kwetsbaarheid van bedrijven (en haar medewerkers) voor phishing.
Met de groei van het aantal kanalen en technologie waarmee klanten en medewerkers interacteren met organisaties, neemt ook de kans op cyberaanvallen toe. Cybercriminaliteit, digitale spionage en hackers vormen serieuze bedreigingen die vragen om preventieve maatregelen welke het IT-domein overstijgen. Systemen kunnen misschien wel goed beveiligd zijn, maar hoe zit het met de werkwijze en het bewustzijn van medewerkers? Zonder het zelf door te hebben, kan een onoplettende medewerker de digitale deuren openen voor hackers en hen toegang verschaffen tot vertrouwelijke informatie van een organisatie of erger… van haar klanten.
Letterlijk élke organisatie in élke sector is kwetsbaar en kan slachtoffer worden van phishing. Uit onderzoek van de AIVD en de MIVD blijkt bijvoorbeeld dat Nederlandse overheidsinstellingen veelvuldig doelwit zijn van geavanceerde digitale spionageaanvallen, waarvan het merendeel begint met phishing. Een veel gebruikte methode van cybercriminelen is om via phishing inloggegevens van een van de medewerkers (bijvoorbeeld een netwerkbeheerder) te verkrijgen en zich daarmee toegang te verschaffen tot het bedrijfsnetwerk. Vanaf dat moment kunnen hackers grote hoeveelheden vertrouwelijke data stelen en computersystemen saboteren. Een recent voorbeeld is de hack van een grote Amerikaanse bank waarbij criminelen met een grootschalige phishingaanval van miljoenen klanten persoonlijke accountinformatie stalen.
Waar het in het verleden een phishingmail nog makkelijk te herkennen was (o.a. door de vele taalfouten en vreemde afzenders), wordt in het Cybersecurity Beeld Nederland 2015 van het Nationaal Cyber Security Centrum (NCSC) terecht geconstateerd dat het mensen tegenwoordig bijna niet meer kwalijk te nemen is dat zij ‘het aas grijpen’ en in de phishing mail trappen. Logisch, want ook cybercriminelen tillen hun act naar een hoger level: met gerichte aanvallen op één of enkele targets, gepersonaliseerde phishingmails en zéér betrouwbaar ogende domeinnamen, is het voor zowel de mens als de techniek vrijwel onmogelijk de phishingmails als frauduleus te identificeren.
Dan dringt de vraag zich op of organisaties zich überhaupt adequaat kunnen beschermen tegen cybercriminelen die gebruik maken van phishing. Waar ik neig te zeggen dat cybercriminelen als ze écht willen, altijd een weg vinden, is het wel degelijk van belang een aantal belangrijke maatregelen te nemen. Het NCSC heeft recentelijk 2 factsheets gepubliceerd met tips voor het tegengaan van phishing. Hierin ligt de nadruk op het nemen van technische maatregelen: e-mailauthenticatie met behulp van SPF, DKIM en DMARC en het herkenbaar maken van authentieke e-mails die naar een breed publiek worden verstuurd. Tevens is het raadzaam om waar mogelijk tweefactorauthenticatie te gebruiken, zeker wanneer systemen via het internet worden benaderd.
Wat minder geruststellend is, is dat de techniek anno 2015 simpelweg nog niet in staat is om álle phishingmails buiten de digitale muren van onze organisaties te houden. En zeker daar wanneer het gerichte aanvallen betreft. De mens kan daarom wederom tot zwakste schakel worden ‘gekroond’: de mens kiest er – vaak onbewust – voor om op de link in de phishingmail te klikken en de mens kiest ervoor om zijn of haar inloggegevens in te vullen op de phishingwebsite. Het is dan ook van essentieel belang dat medewerkers zich bewust zijn van de gevaren, en leren om phishing te herkennen. Dit kan o.a. door het organiseren van bewustwordingscampagnes en het trainen van medewerkers middels verplicht te volgen eLearnings en presentaties.
Het machtigste middel om een organisatie weerbaar te maken tegen phishingaanvallen is het ‘leren door te ervaren’. Veel organisaties voeren periodiek een phishing audit uit. Een phishing audit is een methode om het veiligheidsbewustzijn van medewerkers te meten en direct te vergroten, door het uitvoeren van een gecontroleerde phishingaanval en het meten van de respons. Bij het organiseren en uitvoeren van een phishing audit dient rekening gehouden te worden met verschillende juridische, ethische en technische aspecten. Het is, om incidenten te voorkomen, dan ook aan te raden om dergelijke activiteiten door een cybersecurity expert uit te laten voeren.
Als onderdeel van de cybersecurity awarenessdiensten van Capgemini hebben we een phishing audit ontwikkeld, waarbij onze hackers en social engineers met een op maat gemaakte, realistische phishingaanval jouw medewerkers wakker schudden en direct meer bewust maken van de risico’s. Met de phishing audit ontdek je o.a. hoeveel van de medewerkers reageren op een phishingmail en hoeveel medewerkers daadwerkelijk hun gegevens voor hackers achterlaten. Indien gewenst is het mogelijk de phishing audit te combineren met een pentest, social engineering assessment en analyse van het incident respons proces binnen de organisatie.
Bron: FD.nl