Mark is vaak bezig met het veiliger maken van de digitale werkomgevingen van onze klanten. Daarbij roept hij vaak: het grootste gevaar, is de eindgebruiker… 90% van de aanvallen, die succesvol zijn, zijn gericht op eindgebruikers. Zeker nu de kans groot is dat de eindgebruiker (alleen) thuis aan het werk is en niet even zijn of haar collega kan raadplegen bij iets opmerkelijks. Daarom is het belangrijk om te vertellen en uit te leggen welke aanvallen veel voorkomen en hoe je dit kunt spotten. Security awareness noemen we dat! Dus spot on 😉
In ons laatste blog over veilig werken hebben we aandacht besteed aan oplossingen waarmee je de digitale werkomgeving veiliger kunt maken. We gaan nu eens kijken waar het gevaar vandaan komt en hoe we daar mee om moeten gaan.
Twee veel gebruikte methoden
Als eerste gaan we het hebben over phishing. Phishing is een methode die wordt gebruikt door hackers voor verschillende doeleinden. Een paar doeleinden hiervan zijn:
- Achterhalen van inloggegevens van gebruikers om toegang te krijgen tot data en/of systemen van bedrijven.
- Met een virus of een zogenaamde worm een bestand infecteren of buitmaken.
- Persoonsgegeven buitmaken.
Phishing kan op allerlei verschillende manieren voorkomen en via verschillende media met jou gedeeld worden. De meest voorkomende manier is via e-mail, maar het komt ook nog vaak voor dat het gebeurt via een telefoongesprek, sms of zelfs per post. We kunnen alle manieren van phishing benoemen, maar we willen in deze blog dieper ingaan op phishing via e-mail en hoe het herkent kan worden.
Er zijn 5 vuistregels die goed zijn om te onthouden als er een e-mail binnenkomt:
- Het is te mooi om waar te zijn. Misschien een beetje een open deur, maar niet minder waar. Als iets in een e-mail te mooi lijkt om waar te zijn, dan is het dat waarschijnlijk ook. Aanvallers doen een mooi aanbod als er maar even ingelogd wordt op een site of als er een bijgevoegd formulier in de vorm van een bijlage ingevuld wordt en geretourneerd.
- Er is haast bij! Een andere bekende tactiek van aanvallers is de indruk wekken dat het formulier of de gegevens nu moeten worden ingevuld want anders….
- Kwaadwillende links zijn linkjes achter bijvoorbeeld tekst of afbeeldingen. Deze linkjes kunnen verwijzen naar een site of kunnen bestanden downloaden. Controleer de linkjes dus altijd.
- Bijlagen met een virus of worm. Als je een bestand binnenkrijgt van een afzender die je niet verwacht moet je direct op je hoede zijn of het niet om een virus of worm gaat.
- Voordoen als iemand anders. Als je berichten krijgt van een persoon die bekend is of die je kent worden berichten vaak met andere ogen gelezen. Hierdoor kan bijvoorbeeld een spelfout in een hyperlink worden overzien of kan een bijlage zonder nadenken worden geopend.
Deze 5 vuistregels hebben allemaal gemeen dat ze een hyperlink bevatten, een bijlage hebben bijgevoegd of om gegevens vragen.
Hyperlinks
Laten we eens inzoomen op hyperlinks. Om te weten hoe deze werken moet je ook wat weten over hoe computer omgaan met hyperlinks en hoe ze zijn opgebouwd.
Het begint altijd met http:// of https://. De laatstgenoemde is versleuteld en de eerste niet. Dit versleutelen gebeurt door een certificaat welke weer wordt verleend door een instituut. Er zijn verschillende gradatie van certificaten. Voor het lichtste soort hoef je enkel te bewijzen dat je eigenaar bent van het domein. Als het certificaat is geïnstalleerd dan wordt de website voorzien van een slotje zoals deze:
Door op het slotje te klikken kunnen meer gegevens worden opgevraagd. Zoals welk instituut het certificaat heeft uitgegeven en wie het heeft aangevraagd. Een certificaat voor verificatie van een domein is makkelijk aan te vragen en garandeert niet dat een site niet malafide is. Het garandeert alleen dat data wordt versleuteld en dat dit tussen de computer en de site niet zomaar ingezien kan worden.
Een uitgebreidere vorm is een EV certificaat. EV staat voor extended validation, oftewel uitgebreide validatie. Dit zijn certificaten waarvoor bedrijven meer verificatiestappen moeten doorlopen voordat ze zo’n certificaat kunnen bemachtigen. We nemen het certificaat van Rabobank als voorbeeld: Als er op het slotje wordt geklikt, is te zien dat het certificaat is uitgegeven aan de Rabobank. Zo’n certificaat garandeert dus dat je echt op de website van de Rabobank zit en niet op een nagemaakte site. Bij twijfel is dit een van de stappen die je kunt nagaan of je op de juiste site zit.
We kijken verder naar de opbouw van de hyperlink:
Dan volgt: www. Dit is nalatenschap van vroeger, Www werd vroeger gebruikt om te verwijzen naar het internet. Tegenwoordig is www niet meer nodig, maar sommige sites maken hier nog wel gebruik van.
Gevolgd door het domein. Na www komt het gedeelte van de website.
/ na het domein. Dit is een subpagina van het domein.
Laten we eens een hyperlink verder gaan bekijken: https://www.microsoft.com/nl-nl/
Zoals je kunt zien is het een beveiligde website door https://. Gevolgd door www en daarna Microsoft.com. Hieraan toegevoegd is de subpagina die naar de Nederlandse taal verwijst.
We weten nu hoe hyperlinks zijn opgebouwd. Een ander punt dat we moeten weten is hoe computers hyperlinks lezen. Computers lezen namelijk op een andere manier dan wij. Computers beginnen met lezen van het domein van rechts naar links. Het bovenstaande voorbeeld wordt dus gelezen als com.microsoft.www door computers. Hiervan wordt handig gebruik gemaakt door webcriminelen door een hyperlink bijvoorbeeld te vermommen als https://microsoft.hackpagina.com. Doordat wij, mensen, gewend zijn om van links naar rechts te lezen zullen we deze bij een snelle blik herkennen als een Microsoft-pagina terwijl het dat niet is.
Maar hoe zit het dan met hyperlinks onder tekst of afbeeldingen? Nou je kunt met je muis boven een afbeelding of tekst zweven, dan wordt de link zichtbaar en kan deze geanalyseerd worden.
Al deze punten zijn voor ons mensen lastig te onthouden en nog lastiger om tijdens een werkdag uit te voeren. Microsoft heeft hiervoor een oplossing door hyperlinks in mailberichten preventief te analyseren via Microsoft Advanced Threat Protection (ATP). Kwaadwillende hyperlinks worden verwijderd of mail wordt verplaatst naar quarantaine. ATP is al onderdeel van het Microsoft 365 Business Premium abonnement.
Bijlagen
Veel aanvallen worden uitgevoerd via kwaadwillende bijlagen. Om deze bijlagen te controleren moet er als eerste worden nagegaan of het geen verdachte afzender is. Hou daarbij de 5 vuistregels in acht. Open het bestand pas als je het 100% vertrouwt. Bij twijfel is het beter om telefonisch contact op te nemen met de afzender en het bericht op deze manier te verifiëren.
Moderne Windows installaties waarschuwen altijd bij het openen van een bestand zodra dit wijzigingen wil aanbrengen in bestanden. Normaal gesproken is dit geen normaal gedrag van bestanden. Office bestanden kunnen dit ook doen door het uitvoeren van macro’s. Deze worden geactiveerd als een officebestand met macro’s hiervoor toestemming krijgt. Dit doe je al als je op “Bewerken inschakelen” klikt in zulke officebestanden.
Microsoft ATP heeft ook de capaciteiten om kwaadwillende bestanden te herkennen in Exchange Online, Microsoft Teams en Microsoft SharePoint Online. Net als bij het scannen van hyperlinks worden bijlagen vervangen of wordt het bestand verplaatst naar quarantaine.
Ik hoop dat ik jullie met dit artikel wat bewuster heb gemaakt van de risico’s die je als gebruiker loopt en hoe hier misbruik van gemaakt kan worden. Ben jij benieuwd wat yellow arrow kan doen om jouw organisatie te helpen met security awareness of wat Microsoft ATP voor je organisatie kan betekenen? Onze wegwijzers staan voor je klaar om je hierbij te helpen.