Je zou denken dat, na decennia van analyseren en bestrijden van e-mail spam, er nu wel voldoende bewustwording is om niet meer in de acties van Nigeriaanse boefjes te trappen. Helaas, de doelen zijn uitgebreid en de technieken verfijnd. Lees hoe creatief en vindingrijk men tegenwoordig is. Ook de Nigeriaanse scammers gaan met de tijd mee en maken gebruik van technieken die voorhanden zijn.
Laten we starten met een korte uitleg van de verschillen tussen Spearphishing-, phishing– en whalingaanvallen.
Phishing houdt in dat kwaadwillende e-mails van veronderstelde vertrouwde bronnen naar zoveel mogelijk mensen worden verzonden, uitgaande van een laag responspercentage. Een phishing e-mail kan bijvoorbeeld afkomstig lijken van een bank en een ontvanger vragen zijn of haar account gegevens te verifiëren door op een bijgevoegde link te klikken, wat leidt tot de installatie van malware op de computer van het slachtoffer.
Phishing e-mails zijn onpersoonlijk, worden in bulk verzonden en bevatten vaak spellingsfouten of andere fouten die hun kwaadwillige bedoeling onthullen. Het probleem is dat niet iedereen deze subtiele hints opmerkt. Vertrouwde logo’s en links naar bekende bestemmingen zijn genoeg om veel mensen te misleiden om hun gegevens te delen.
Spearphishing e-mails zijn daarentegen een grotere uitdaging om te detecteren omdat ze afkomstig lijken te zijn van bronnen dicht bij het doelwit. Cybercriminelen sturen gepersonaliseerde e-mails naar bepaalde personen of groepen mensen met iets gemeenschappelijks, zoals werknemers die op dezelfde afdeling werken.
Whaling gebruikt bedrieglijke e-mailberichten gericht op besluitvormers op hoog niveau binnen een organisatie, zoals CEO’s, CFO’s en andere leidinggevenden. Dergelijke personen hebben toegang tot zeer waardevolle informatie, waaronder handelsgeheimen en wachtwoorden voor administratieve bedrijfsrekeningen.
De aanvaller stuurt e-mails over zaken van kritisch zakelijk belang, waarbij hij zich voordoet als een persoon of organisatie met legitieme autoriteit. Een aanvaller kan bijvoorbeeld een e-mail sturen naar een CEO die om betaling vraagt, waarbij hij zich voordoet als een klant van het bedrijf.
Whaling richt zich altijd individueel tot personen, vaak met behulp van hun titel, functie en telefoonnummer, die verkregen zijn met behulp van websites van bedrijven, sociale media of de pers.
Het verschil tussen whaling en spearphishing is dat whaling uitsluitend gericht is op hooggeplaatste personen binnen een organisatie, terwijl spearphishing meestal achter een categorie van personen met een lager profiel aan zit.
Vorig jaar deden we onderzoek naar een vindingrijke whaling aanval. De betreffende organisatie maakt gebruik van Office365 en werd in eerste instantie getroffen door een whaling aanval waarbij de CFO een nep mail kreeg van de CEO met daarin de vraag om geld over te maken. Gelukkig hadden ze intern de afspraak dat voor dit soort mails en transacties altijd eerst telefonisch overleg wordt gepleegd: so far so good.
Korte tijd later werd de mailbox van de CEO gecompromitteerd. Het wachtwoord van de CEO bleek bekend te zijn (Gothcha!) uit een eerdere hack. De CEO heeft zijn wachtwoord gedurende zeker 3 jaar niet aangepast. Helaas was er ook geen multi factor authenticatie waardoor de aanvaller in kon loggen op de mailbox en toegang had tot OneDrive. De aanvaller heeft vervolgens een “forward” gezet op de mailbox van de CEO naar een gmail adres van de aanvaller. Iedere e-mail die werd verstuurd en ontvangen kwam ook bij de aanvaller terecht.
De aanvaller probeerde het weer. Opnieuw werd een mail verstuurd met daarin de vraag om geld over te maken, dit keer vanuit de echte mailbox van de CEO. Helaas voor de aanvaller werd ook deze keer telefonisch geverifieerd of de vraag legitiem was.
De aanvaller (na onderzoek bleek hij afkomstig te zijn uit Nigeria) liet het er niet bij zitten en richtte zijn pijlen op de klanten van de organisatie. In de mailwisseling van de CEO had hij voldoende klant e-mails gezien om zijn volgende doel vast te stellen. Op dezelfde manier werd een mailbox van de klant gecompromitteerd. Wederom een Office365 account zonder multi factor authenticatie.
Vanuit de CEO werd een legitieme e-mail verstuurd naar de klant met het verzoek om een 3-tal facturen die al langer open stonden te betalen. De klant reageerde hier op en vroeg naar een kopie van deze facturen. Aangezien de aanvaller toegang had tot beide mailboxen was hij ook in staat de originele facturen op te zoeken. De aanvaller heeft eerst een nieuwe tenant aangemaakt binnen Office365. De originele tenant was “bedrijf.onmicrosoft.com”, de nieuwe tenant “bedrijf-groep.onmicrosoft.com”. De aanvaller heeft de e-mail conversatie overgenomen en vanuit de nieuwe tenant de facturen verstuurd naar de klant met de opmerking dat de klant op moest letten, het rekeningnummer was gewijzigd.
Dit keer was het wel gelukt, de klant heeft de openstaande facturen betaald, inclusief andere facturen die nog open stonden. Schade…. € 400.000,00
Dit soort aanvallen komt helaas vaker voor. Het is daarom belangrijk om te werken aan bewustwording bij gebruikers, maar ook technische maatregelen te treffen om dit soort aanvallen te voorkomen.
Cookie | Duration | Description |
---|---|---|
_GRECAPTCHA | 5 months 27 days | This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis. |
cookielawinfo-checkbox-advertisement | 1 year | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement". |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie. |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
Cookie | Duration | Description |
---|---|---|
bcookie | 2 years | This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page. |
lang | session | This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website. |
lidc | 1 day | This cookie is set by LinkedIn and used for routing. |
Cookie | Duration | Description |
---|---|---|
YSC | session | This cookies is set by Youtube and is used to track the views of embedded videos. |
Cookie | Duration | Description |
---|---|---|
_ga | 2 years | This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors. |
_gat_gtag_UA_116473530_1 | 1 minute | This cookie is set by Google and is used to distinguish users. |
_gat_UA-116473530-1 | 1 minute | This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites. |
_gid | 1 day | This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form. |
Cookie | Duration | Description |
---|---|---|
bscookie | 2 years | This cookie is a browser ID cookie set by Linked share Buttons and ad tags. |
IDE | 1 year 24 days | Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile. |
prism_476809757 | 1 month | Used by ActiveCampaign to track usage of newsletters |
test_cookie | 15 minutes | This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 5 months 27 days | This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
yt-remote-device-id | never | YouTube sets this cookie to store the video preferences of the user using embedded YouTube video. |
Cookie | Duration | Description |
---|---|---|
AnalyticsSyncHistory | 1 month | No description |
CONSENT | 16 years 7 months 5 days 13 hours | No description |
li_gc | 2 years | No description |
UserMatchHistory | 1 month | Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences. |