We werken niet meer massaal vanuit huis, toch worden we nog continu gephished. Cybercriminelen worden bovendien sluwer in het misbruiken van onze goedgelovigheid. Controlesystemen die in de beginjaren van phishing een zekere mate van bescherming boden, zijn vandaag helemaal niet zo efficiënt meer. Bedrijven moeten zich niet meer afvragen of een medewerker ooit zal worden gevangen, maar wanneer.
Phishing evolueert voortdurend. Omdat traditionele securitytools met e-mail- en webbeveiliging meestal al een paar jaar oud zijn, bieden ze vandaag geen waterproofbescherming meer tegen externe aanvallen. Volgens onderzoek van Palo Alto Networks verloopt bijna negentig procent van alle phishing-aanvallen via evasietechnieken om de webbeveiliging te omzeilen.
Webbeveiliging gebruikt historisch gezien ook url-databases om kwaadaardige sites te blokkeren. Het internet wordt gescand met zogenaamde webcrawlers om kwaadaardige url’s te detecteren en automatisch toe te voegen aan een zwarte lijst. Uiteraard weten hackers dat en slagen ze er makkelijk in hun identiteit te verbergen. Moderne phishing-aanvallen komen ook minder in combinatie met malware omdat dat automatisch de alarmbellen laat afgaan.
Veel vissen in de zee
Phishing-aanvallen kunnen verschillende vormen aannemen. De meest voorkomende technieken die de traditionele webbeveiling ontwijken zijn:
- Cloaking
Hackers omhullen als het ware een mantel rond de kwaadaardige content, waardoor de crawler de pagina classificeert als onschuldig. Op het eerste gezicht is de inhoud dus te vertrouwen, maar wanneer het slachtoffer de pagina opent, verschijnt de ware aard van het beest.
- Multistep
Cybercriminelen bouwen verschillende stappen in, waardoor de crawler de volledige content niet kan zien. Typisch worden captcha-testen (‘duid alle verkeerslichten aan”) toegevoegd om automatische bots, waaronder crawlers, buiten te houden.
- Eendagsvliegen
Online-misdadigers maken url’s aan die zo’n kort leven hebben, dat crawlers niet de tijd hebben om ze te detecteren. Soms worden links aangemaakt die maar een paar minuten actief zijn en slechts één slachtoffer als doel hebben.
- Websites
Aanvallers misbruiken legitieme websites om een phishingpagina in te verstoppen. Dit type aanvallen is bijzonder doeltreffend omdat slachtoffers zich veilig wanen op een vertrouwde website.
Bedrijven kiezen in toenemende mate voor sterke authenticatie om de medewerkers te beschermen tegen de aanvalsgolven. Het probleem is dat phishing niet altijd via e-mail binnenkomt. Een organisatie kan zoveel authenticatiestappen invoeren als het wil, als een werknemer klikt op een kwaadaardige link, dan blijft security een slag om niets. Vaak worden phishinglinks ook verstopt in documenten of sms-berichten. Een sterke authenticatie valt dan helemaal in het water.
Bot vangen
Organisaties hoeven niet te wanhopen. Er zijn een aantal technieken die ze kunnen gebruiken om de kust veilig te houden:
- Meer dan e-mail
Phishing is meer dan e-mail alleen. Een oplossing met alleen url-databases en webcrawlers zal het vandaag niet meer doen. Bedrijven halen dus best een securitytool in huis die geavanceerde aanvallen kan tegenhouden. Dat kan aan de hand van machine learning die de inhoud van webpagina’s grondig weet te analyseren.
- Training
Technologie is belangrijk, maar is niet het soelaas. Hoe goed je security ook mag zijn, als je medewerkers geen cyberhygiëne hebben, dan geraak je als onderneming niet ver. Door medewerkers trainingen aan te bieden, maak je van hen een deel van de oplossing, en niet het probleem.
- Voorbereiding
De vraag is niet of je een phishing-aanval zal meemaken, maar wanneer. Bedrijven moeten dus niet alleen inzetten op reactieve capaciteiten, maar ook proactieve vaardigheden stimuleren. Bereid je dus voor op het ergste. Zo kan je snel actie ondernemen wanneer een ongeluk zich zou voordoen.
Phishing-aanvallen worden complexer en komen van alle kanten. Als organisatie plan je dus best een securitystrategie die alle facetten van de business omvat. Door reactieve én proactieve processen in te bouwen, maak je van je onderneming een echt bastion waar de cyberhaaien nog lang hun tanden op zullen kapotbijten.
(Auteur Broes Soetens is country manager Belux bij Palo Alto Networks.)
