Manager office expert
01 januari 2021 / Verdieping

Zelfs experts vrezen ‘spear phishing’

Computerwetenschapper Jeroen Baert vertelt hoe hackers iédereen kunnen raken met spear phishing. Zelfs zij die erin gespecialiseerd zijn.


Mij valt het vaak op hoe in tijden waarin de meeste aandacht lijkt te gaan naar slim uitgewerkte exploitmethodes met een blitse naam (WannaCry! Heartbleed! Spectre!), de in vergelijking eerder mondaine huis-, tuin- en keukenmethodes waarop malware een systeem kan bereiken vaak té weinig aandacht krijgen. Dit terwijl het volgens alle cijfers net dié methoden zijn waar steeds meer waakzaamheid aan de dag moet worden gelegd.

Phishing als techniek is zo oud als de (internet)straat, maar de precieze aanpak, het volume en het type van phishingmails evolueert constant. De bevindingen van Phished, die in de unieke situatie zitten om op een niet-destructieve manier de impact van phishing te meten en te analyseren, bevestigen deze tendens.

De betekenis van spear phishing: tactiek met de grootste impact

Dat ‘Spear Phishing’, de toegespitste, intensieve, artisinale vorm van phishing, de meeste impact heeft op een doelwit is niet verwonderlijk. Ik ben ervan overtuigd dat zelfs de meest oplettende gebruikers – inclusief de experts waartoe ik mezelf nederig reken – succesvol kunnen ‘gespearfisht’ worden. Één onoplettend moment en een aanvaller die een goeie benaderingsmethode hanteert, volstaat. Het vorige hackschandaal bij Twitter – waarbij enkele medewerkers maandenlang persoonlijk werden benaderd – is daar een bewijs van.

Dat spear phishing inspeelt op de actualiteit ligt ook in de lijn der verwachtingen, en daarbij kan je dit jaar natuurlijk niet om de effecten van COVID-19 heen. Een goed voorbeeld is de toename aan succesvolle phishing-pogingen met de klassieker ‘een pakje dat op je wacht’. Als veel mensen noodgedwongen thuis (in een lockdown, in quarantaine) ongeduldig zit te wachten op dringende pakjes van het handvol aan leverdiensten in ons landje, dan heb je als phisher al gauw beet bij iemand in deze zwakke situatie. We hebben met andere woorden dringen nood aan spear phishing-preventie.

Eén onbewaakt ogenblik en een aanval met een overtuigende benaderingsmethode is genoeg.

Thuiswerk

Ook de transitie naar telewerken heeft voor een verhoging in mailverkeer gezorgd, met daarbovenop een hele reeks nieuwe tools en platformen waar werknemers zich snel mee moeten familiariseren om hun taken te kunnen volbrengen. Helaas maakt spear phishing awareness training maar zelden deel uit van de begeleiding die ze hierin krijgen. Werken met online storage, betalingen, nieuwe accounts voor vergaderdiensten,… het zijn nieuwe toevoegingen aan een reeds uitgebreide reeks scenario’s waarvan een phisher zich kan bedienen.

Bovendien kan een phisher dankzij automatisering (er zijn kant-en-klare phishingpaketten te koop in de minder fraaie hoekjes van het internet) met een minimum aan moeite een maximum aan ‘vislijnen’ van deze scenario’s uitgooien, elk met variaties op de miljoenen interacties die we dagelijks via onze mailbox verrichten.

Bewustmaking is prioritair

Onze defensie moet zich richten op bewustmaking, schadebeperking en verifieerbaarheid van communicatie. Ik hoop dat naast die nodige bewustmakingscampagnes en daadkrachtig IT-beheer er in de toekomst ook wordt ingezet op de interactie van verzender en ontvanger: duidelijke afspraken over hoe je als bedrijf intern en extern zal communiceren en welke gebruiksvriendelijke cryptografische hulpmiddelen je daarbij zal hanteren.

In het verleden zijn hier reeds pogingen rond gedaan die – hoewel technisch solide – te vaak bleven steken in academische oefeningen die geen tractie kregen bij eindgebruikers die niet altijd technisch even onderlegd zijn.

Bij phishing mag niet al te gemakkelijk met een belerend vingertje de verantwoordelijkheid afgeschoven worden op de ‘domme eindgebruiker’ die een phishingbericht opent. Dit is een strijd die we op àlle fronten zullen moeten voeren, en daarbij is inzicht in de technieken (en succesratio) van phishers broodnodig, net als spear phishing awareness training. Ik ben ervan overtuigd dat bedrijven zoals Phished hierin een belangrijke rol spelen.