Twee beveiligingsexperts krijgen te maken met een phishingaanval , maar het verhaal eindigt als een zwarte dag voor een van hen … Ontdek hoe je beter kunt omgaan met phishing-risico’s in ons hele verhaal!
Ons verhaal over cybersecuritybewustzijn – geschreven door Emmanuel Nicaise, onze human-centric beveiligingsexpert met meer dan 20 jaar ervaring – zal tijdens de zomer wekelijks worden gepubliceerd. Dus blijf kijken, het Approach-team is er nu al fan van 😉
Maak in het eerste hoofdstuk kennis met onze beveiligingsexperts: Ben, hoofd beveiligingstechniek bij B.com en Alice, Chief Security Officer van A.com. Beiden zijn zich terdege bewust van de phishing-risico’s en hebben meerlaagse bescherming binnen hun bedrijf geïmplementeerd, maar slechts één van hen heeft een op de mens gericht beveiligingsbewustzijnsprogramma geïmplementeerd.
Lees meer over de TOP 3 acties om phishing-bedreigingen te verminderen in de volgende hoofdstukken van ons verhaal:
- Blootstelling aan en impact van phishing-aanvallen verminderen
- Train de gebruikers en implementeer een human-centric beveiligingsraamwerk
- De detectie van phishingmails vergemakkelijken
1. Het begon als een goede dag
Vrijdagmiddag, op een donkere winterdag, belt Alice, de Chief Security Officer van A.com, met haar vriend Ben. Ben is het hoofd van Security Engineering bij B.com en Alice geeft hem feedback over de nieuwe Email Security Services die ze onlangs hebben geïmplementeerd. Ben had dit aanbevolen om het risico op phishing te verminderen. Met vier verschillende beveiligingslagen die gebruik maken van verschillende technologieën van verschillende leveranciers, zijn ze erin geslaagd om de meeste spam, phishing en scam tegen te houden.
Alice kijkt door het raam van haar kantoor. Het regent buiten. Plotseling stopt Ben midden in een zin met praten.
- Verdomme, roept Ben. Ik heb ransomware op mijn netwerk.
- Wat! Hoe is dat mogelijk?
- Ik weet het niet, maar mijn computer is vergrendeld.
Op dat moment ontvangt Alice een bericht van haar incident response team. Er is een massale wereldwijde ransomware-aanval met phishing aan de gang, maar ze slagen erin deze te blokkeren.
2. Wat is er gebeurd?
Phishing is een belangrijke bedreiging voor ondernemingen. Bij 13% van de datalekken gaat het om social engineering-aanvallen (Verizon Data Breach Incident Report 2018), meestal in de vorm van spear phishing.
Phishing en spear phishing zijn aanvallen waarbij e-mails worden gebruikt om de ontvangers te verleiden op een weblink naar een kwaadaardige website te klikken of een kwaadaardig bijgevoegd bestand te openen. De phishing-websites bootsen legitieme websites na (zoals Microsoft Office365 of Google mail) en dwingen de slachtoffers vaak om hun gebruikersnaam en wachtwoorden of creditcardgegevens in te voeren. Ze kunnen gebruikers ook overhalen om malware te installeren, vrijwillig of onbewust. Criminelen gebruiken vervolgens de gegevens of malware om de controle over de computer van het slachtoffer over te nemen.
Alice en Ben zijn zich terdege bewust van dit risico. A.com is een aanbieder van clouddiensten. Alice weet hoe belangrijk beveiliging is voor A.com om hun klanten en hun positie op de markt te behouden. B.com is een industriële leider. Ben rapporteert aan de Chief Security Officer van B.com. Tussen de zorgen over intellectueel eigendom op de R&D-afdeling en het volledig geautomatiseerde industriële besturingssysteem is Ben zich terdege bewust van het belang van cyberbeveiliging voor B.com. Toch heeft hij soms het gevoel dat zijn management het nog niet helemaal begrijpt. Als doorgewinterde cyberbeveiligingsexperts hebben ze allebei meerdere lagen van mitigatie geïmplementeerd. Waren ze echter allemaal even efficiënt? Laten we een jaar teruggaan in de tijd en ontdekken wat ze hebben gedaan (of juist niet hebben gedaan) om zover te komen.
3. Waarom zouden we ons zorgen maken over phishing?
“Waarom” is een fundamentele vraag die we onszelf moeten stellen voordat we aan een activiteit beginnen. Dus, waarom zouden we ons zorgen maken over phishing?
Zoals de meeste organisaties is het doel van A.com en B.com om goederen te leveren of diensten te verlenen en winst te maken. Ze proberen op zijn minst duurzaam te zijn. Dienovereenkomstig beheren ze hun risico’s en houden ze deze op een aanvaardbaar niveau om hun activiteit in stand te houden en toch winst te maken.
Aangezien phishing een groot deel uitmaakt van de succesvolle aanvallen op organisaties, vormt het een directe en indirecte bedreiging voor hun bedrijf. Phishing e-mails zijn een goedkope en effectieve manier om de meeste perifere beveiligingssystemen te omzeilen (d.w.z. de systemen die je beschermen tegen aanvallen van buitenaf, zoals firewalls, proxies of gateways). Als bedreiging met een aanzienlijke waarschijnlijkheid en een grote potentiële impact, stond phishing hoog op het lijstje van Alice en Ben.
4. Wat zijn de risico’s van phishing?
Alice heeft, net als Ben, drie primaire risico’s geïdentificeerd die samenhangen met phishing-aanvallen:
- Malware: Bij veel aanvallen gebruiken criminelen phishingmails om een payload, een schadelijke inhoud, te droppen. Dat doen ze direct, via een bijlage, of indirect, via een link naar een kwaadaardig bestand of een webpagina met een kwaadaardig script. De payload kan een trojaans paard, een eenvoudig virus of ransomware zijn.
- Lekken van gegevens: Soms verwijst de link in de phishing-e-mail naar een website die een vertrouwde website nabootst. Het slachtoffer wordt ertoe aangezet zijn of haar gegevens of soms andere informatie in te voeren die nodig is voor een latere fase van de aanval.
- Fraude: Fraudeurs gebruiken phishing e-mails voor een klassieke poging tot oplichting. Vaak is het niets ingewikkelds, gewoon een imitatie en een smoes om mensen geld te laten overmaken naar de verkeerde persoon.
Recente gebeurtenissen hebben de potentiële impact van ransomware zoals Petya1 / NotPetya op organisaties aangetoond. Petya/NotPetya veroorzaakte $10 miljard aan verliezen en diensten of productiebedrijven die wekenlang niet konden werken.
De Europese Algemene Verordening Gegevensbescherming heeft bovendien de perceptie van de risico’s vergroot. Het verlies van persoonlijke gegevens kan tegenwoordig ernstige financiële gevolgen en gevolgen voor de reputatie van Europese organisaties hebben. Noch A noch B wil geconfronteerd worden met een PR-nachtmerrie en de mogelijke gevolgen voor hun klantrelatie. De respectieve raden van bestuur van A.com en B.com begrepen de risico’s van phishing. Beiden kwamen overeen om een budget toe te wijzen om het probleem aan te pakken, maar niet op dezelfde manier.
In het geval van A.com kunnen criminelen, ondanks alle IT-beveiligingsmaatregelen, met minimale middelen slagen. E-mails en telefoontjes gebruiken om werknemers geld te laten overmaken naar een rekening is technisch eenvoudig en werkt nog steeds. Alice herinnerde hen aan de €72 miljoen die een Belgische bank een paar jaar geleden verloor door een social engineering aanval. Ze begrepen hoe essentieel mensen zijn voor hun veiligheid.
Ben heeft een andere kijk. Hij weet ook dat mensen de kern vormen van elk bedrijf, maar voor hem, Ze zijn de zwakste schakel en het is onmogelijk om te weten wat het rendement op investering zal zijn. Hij zet zijn geld liever in op technologieën.
5. Mitigaties
Alice en Ben bespraken het risico met hun respectievelijke beveiligingsanalisten en risk officers. Ze waren het er allemaal over eens dat het vermijden van de risico’s een uitdaging is. Het zou vereisen dat ze afzien van e-mails om te communiceren. Alice had gehoord van bedrijven die een radicale verandering in hun IT hadden doorgevoerd en bijna alle e-mails hadden verbannen. A.com was echter nog niet klaar voor zo’n drastische stap.
Het risico accepteren zou ook niet helpen. Zonder mitigatie zal phishing hun bedrijf waarschijnlijk failliet laten gaan. De risico’s beperken lijkt daarom de beste optie.
Hoewel de plannen van Alice en Ben enigszins verschilden, leken ze erg op elkaar. Ze pakken het probleem aan met drie complementaire benaderingen:
- Blootstelling en impact verminderen
- Train de gebruikers
- Detectie vergemakkelijken
