Vijf manieren waarop phishing nog steeds succesvol is
Phishing-aanvallen vinden nog steeds volop plaats, of het nu bij een internationaal telecommunicatiebedrijf is of bij een lokale winkel. Werknemers zijn gelukkig steeds beter in het herkennen van phishingpogingen, vooral de e-mailvariant: Slechts 2,9 procent klikt nog op phishing-e-mails, blijkt uit het laatste Verizon DBIR onderzoek. Aanvallen op verschillende grote technologiebedrijven laten echter zien hoe geraffineerd sommige meervoudige phishing-aanvallen zijn geworden en hoe ze nog steeds succesvol kunnen zijn. Hierin zijn vijf gemeenschappelijke factoren te signaleren.
Phishing kan vanuit allerlei invalshoeken worden benaderd, met een steeds langer wordende lijst aanvalstactieken, -technieken en -procedures (TTP's). Wat de ene dag een phishingpoging blokkeert, stopt de volgende dag misschien niet meer - waardoor een gelaagde verdediging een must wordt. Als cyberverdedigers begrijpen waar ze zich op moeten richten en wanneer, kunnen ze een voorsprong nemen. Daartoe onderzochten CyberArk Labs en het Red Team vijf belangrijke factoren die phishing nog altijd succesvol maken, en de tegenmaatregelen.
1. Social engineering om personen te identificeren die bij specifieke technologiebedrijven werken.
Volgens beveiligingsmanagers is training over beveiligingsbewustzijn de op één na meest effectieve verdedigingsstrategie voor ransomware-bescherming. Routinematige trainings- en opleidingssessies maakt veiligheidsbewust gedrag onderdeel van de organisatiecultuur en houdt werknemers op de hoogte van veranderende technieken voor social engineering en phishing-aanvallen. Deze trainingen kunnen worden uitgebreid met ethical phishing-oefeningen. Een up-to-date spamfilter voorkomt dat verdachte e-mails, bulkcampagnes en ongevraagd marketingmateriaal in de inbox van medewerkers terechtkomen.
2. Overgenomen identiteiten via diefstal van de eerste-factorgegevens om het netwerk binnen te komen.
Bijvoorbeeld via man-in-the-middle (MitM)-aanvallen waarbij wachtwoorden worden onderschept, of door zich te richten op wachtwoorden in de cache van de browser van de gebruiker. Bewustmakingscampagnes kunnen niet altijd voorkomen dat een gebruiker slachtoffer wordt van phishing. Shay Nahari, VP Red Team Services bij CyberArk: "In het geheel van verdedigingsstrategieën is endpoint privilege management een belangrijke laag om aan de client-side credentials te beschermen. Het helpt de diefstal van cookies te voorkomen die het omzeilen van multifactor-authenticatie mogelijk kunnen maken." Bij het implementeren van beveiligingsmaatregelen voor endpoints is het dus te overwegen om prioriteit te geven aan gebruikers die al vaker op phishing-pogingen hebben geklikt.
3. Aanvallen die inspelen op overvloed aan multifactor authenticatie (MFA)
Aanvallen die inspelen op multifactor authenticatie (MFA) overvloed, waarbij gebruik wordt gemaakt van phishing via sms en spraak om zich voor te doen als vertrouwde bronnen, en gebruikers vervolgens "vermoeien" met talrijke MFA-pushberichten die ze moeten goedkeuren, om uiteindelijk toegang te krijgen tot het VPN van de onderneming en andere doelsystemen zodra de gebruiker op het pushbericht reageert.
Aanvallers blijven nieuwe manieren vinden om MFA als doelwit te gebruiken en beveiligingscontroles te omzeilen. Het selecteren van phishing-bestendige MFA-factoren, zoals een FIDO, QR-codes of fysieke tokens, kan helpen deze pogingen te dwarsbomen.
"Een methode om ‘MFA-moeheid’ tegen te gaan is het veranderen van de MFA-configuratie van de organisatie om een eenmalig wachtwoord (OTP) te vereisen in plaats van een pushmelding", zegt Nahari. "Wanneer gebruikers worden geconfronteerd met herhaalde authenticatieberichten en touchpoints, kunnen ze vaak onzorgvuldig worden en onbewust openingen creëren voor aanvallers. Hoewel OTP meer betrokkenheid van de gebruiker vereist, kan het het risico verminderen dat gepaard gaat met MFA-moeheid."
Nahari: "Als onderdeel van de simulatieoefeningen van tegenstanders in mijn team, kijken we naar verschillende soorten detecties, waaronder harde indicators of compromise (IOC's). Harde IOC's zijn fundamenteel voor een specifieke aanval. In het geval van MFA-moeheid heeft de aanvaller al toegang tot de credentials en moet hij de gebruiker vragen de MFA-melding goed te keuren om toegang te krijgen. Als een organisatie erin slaagt MFA-moeheid te blokkeren, zal de aanvaller gedwongen worden een ander aanvalspad te kiezen. De OTP-configuratie kan de gebruiker minder vatbaar maken voor dit soort aanvallen en het risico aanzienlijk verkleinen."
Een gebruiksvriendelijkere aanpak is om number matching te vereisen voor succesvolle MFA-authenticatie. Met number matching krijgen gebruikers die reageren op MFA push notificaties via de authenticator app een nummer te zien. Zij moeten dat nummer in de app typen om de goedkeuring te voltooien. Bij een phishingaanval heeft de eindgebruiker geen kennis van de juiste cijferreeks en kan hij het verzoek dus niet goedkeuren.
4. Laterale verplaatsing
Laterale verplaatsing om de positie in het netwerk te handhaven, sporen uit te wissen en andere systemen en servers te compromitteren. Escalatie van privileges om kritieke systemen te bereiken, waaronder domeincontrollers.
Minimale privileges voor alle infrastructuur, toepassingen en gegevens is hier het devies. Het lijkt een eenvoudig concept, maar het kan een grote uitdaging zijn om het op grote schaal uit te voeren. Dat is waar intelligente privilege-controles om de hoek komen kijken; die helpen de toegang voor alle identiteiten naadloos te beveiligen en de identiteitslevenscyclus flexibel te automatiseren met continue detectie en preventie van bedreigingen, in combinatie met gedragsanalyses, om de meest kritieke bedrijfsmiddelen te beschermen.
5. Ongeoorloofd vrijgeven van gegevens.
Bij een van de meest recente phishingaanvallen hebben de uitvoerders naar verluidt geprobeerd weer in het netwerk te komen nadat ze gegevens hadden weggenomen, waren ontdekt en verwijderd. Om dit te doen, richtten ze zich op werknemers die mogelijk wijzigingen van slechts één teken in hun wachtwoorden hadden aangebracht na een verplichte credential reset. De poging werd opgemerkt en was niet succesvol, maar het is altijd de moeite waard om de eisen voor sterke wachtwoorden te herhalen. Nog beter is het om gebruikers volledig te ontlasten door hen een manier te bieden om automatisch unieke en sterke wachtwoorden te genereren.
Phishing heeft een nieuw innovatieniveau bereikt, waarbij recente gebeurtenissen hebben aangetoond hoe ver aanvallers gaan om hun nietsvermoedende of MFA-vermoeide slachtoffers te misleiden. Een effectieve anti-phishing beveiliging moet zowel technische als menselijke selementen omvatten, ervan uitgaan dat malafide kliks onvermijdelijk zijn, en zich richten op het snel opsporen van bedreigingen voordat ze uitgroeien tot grotere problemen.