Wat kun je doen tegen moderne phishing?

Taylor Ettema, VP Product Management bij Palo Alto Networks.

In essentie draait het bij phishing allemaal om het verleiden van gebruikers om op iets te klikken wat ze eigenlijk niet moeten doen, met de verleiding van iets dat er op het eerste gezicht authentiek uitziet. Met de stress, angst en voortdurende uitdagingen van de thuiswerkomgeving, zien we dat phishing steeds meer misbruik maakt van mensen die zich door deze verandering bewegen.

Phishing is geen nieuw probleem en het is al zeker niet begonnen tijdens de pandemie. Het is een uitdaging waar IT al jaren aan werkt. Toch worden organisaties van alle groottes nog steeds om verschillende redenen gephisht. Maar dat hoeft niet zo te zijn. Er zijn proactieve processen, controles en technologie die allemaal kunnen helpen om het risico te verkleinen.

Traditionele webbeveiliging niet effectief

We hebben gezien dat phishing zich de afgelopen jaren steeds verder heeft ontwikkeld. Beveiligingsmaatregelen van ondernemingen die vroeger enigszins effectief waren tegen phishing, werken niet meer goed vanuit het oogpunt van e-mailbeveiliging of webbeveiliging.

Eigen onderzoek heeft ons zelfs laten zien dat tot 90 procent van de phishing-kits nu ingebouwde ontwijkingstechnieken bevatten die traditionele webbeveiliging ineffectief maken. Phishing-kits bieden aanvallers in feite phishing als een service, met een kant-en-klare mogelijkheid om detectie te omzeilen.

Traditionele web-security heeft lang vertrouwd op het gebruik van URL-databases om de toegang tot schadelijke websites, waaronder phishing-sites, te identificeren en te blokkeren. De manier waarop de databases met schadelijke URL's werken is dat leveranciers webcrawlers gebruiken om sites te scannen en vervolgens de phishing-sites toevoegen aan de database. De beheerders van phishing-kits weten dit en weten hoe ze de webcrawler kunnen omzeilen, zodat hun schadelijke adressen nooit in de database verschijnen.

Moderne phishingaanvallen gaan ook niet vaak gepaard met het gebruik van malware, wat algemeen gebruikte detectietechnologieën zou activeren. De huidige phishing is heimelijk en maakt gebruik van veel verschillende versluieringstechnieken om aan de traditionele scanning van webbeveiliging te ontsnappen.

Maar hoe slagen phishing-aanvallen er precies in om de veiligheidscontroles van traditionele webfilterdatabases te omzeilen? Een paar voorbeelden:

1. Kwaadaardige inhoud verbergen door camouflage: beveiligde webcrawlers analyseren geen live webverkeer. In plaats daarvan worden ze erop uitgestuurd om een webpagina te analyseren vanaf IP-ruimtes waarvan bekend is dat ze worden gebruikt door beveiligingsbedrijven. Omdat tegenstanders dit weten, zijn phishing-kits ontworpen om hun kwaadaardige bedoelingen te verhullen door goedaardige inhoud of een lege pagina te sturen als reactie op het scannen door de beveiligingsleverancier. Hierdoor wordt de URL-database misleid om de phishingpagina als onschuldig te classificeren en door de beveiligingscontroles te laten komen. Wanneer het doelwit de phishing-pagina opent, wordt de ware inhoud onthuld en kan het vervolgens slachtoffers eisen.
2. Aanvallen met meerdere stappen en CAPTCHA-uitdagingen: phishing-aanvallen verbergen zich steeds vaker achter onschuldige stappen zodat een eerste beveiligingsscan van de URL ze doorlaat. Een phishingpagina kan bijvoorbeeld achter een CAPTCHA-uitdaging worden geplaatst. Dit is bijzonder geniepig, omdat CAPTCHA-uitdagingen speciaal zijn ontworpen om te voorkomen dat geautomatiseerde bots (waaronder webcrawlers) toegang krijgen tot de inhoud erachter. Wanneer een webcrawler de pagina scant, ziet hij alleen de CAPTCHA-uitdaging, die op zichzelf onschadelijk is, en categoriseert hij de achterliggende phishing-pagina als goedaardig.
3. Kortstondige en eenmalige koppelingen: nog nooit eerder vertoonde phishing URL's worden door aanvallers op grote schaal verzonnen omdat dit nu goedkoper en eenvoudiger is dan ooit tevoren. Een enkele phishing-pagina kan slechts enkele uren of zelfs minuten worden gebruikt en dan worden verbrand en omgeschakeld naar een nieuwe URL zodat beveiligingsdatabases ze niet snel genoeg kunnen opsporen om ze te blokkeren. Links voor eenmalig gebruik worden ook vaak gebruikt voor gerichte aanvallen: om een enkele missie te volbrengen en nooit meer opnieuw.
4. Aanvallen binnen gecompromitteerde websites: aanvallers weten dat legitieme websites in URL-databases als goedaardig worden geclassificeerd en worden doorgelaten zonder noodzakelijkerwijs opnieuw te worden gecontroleerd. Als een aanvaller in staat is om een legitieme website te compromitteren, kan hij daar een phishingpagina opzetten, waarbij hij vermomd door de webbeveiliging sluipt. Dit soort phishingpagina's zijn bijzonder succesvol omdat ze ook gemakkelijker eindgebruikers voor de gek houden die denken dat ze interactie hebben met een bekende website.

Traditionele aanpak is niet genoeg

In de race om bescherming tegen phishing-aanvallen hebben sommige organisaties e-mailverificatie en multifactorauthenticatie-technologieën ingezet. Het probleem is dat niet alle phishing via e-mail komt. Een phishing-aanval die afkomstig is van een kwaadaardige site die de gebruiker bezoekt, wordt niet beïnvloed omdat de organisatie van de gebruiker een e-mailverificatiesysteem heeft.

Phishing-koppelingen worden ook vaak geplaatst in documenten die worden gehost in SaaS-samenwerkingspakketten als onderdeel van advertenties op webpagina's en steeds vaker in sms'jes, waarbij alle op e-mail gebaseerde controles volledig worden omzeild.

Het risico op phishing verkleinen

Maar wat kun je doen om het risico op phishing in je organisatie te verkleinen? Er zijn een paar opties:

• Een beveiligingspakket voor phishing dat verder gaat dan e-mail: het is belangrijk om te erkennen dat phishing niet alleen een e-mailprobleem is. Het is daardoor van belang om een beveiligingspakket te hebben dat geavanceerde phishing en invasieve phishing-aanvallen kan aanpakken. Een systeem gebaseerd op URL-databases en webcrawlers werkt niet. Wat nodig is, zijn technologieën zoals inline machine learning die de inhoud van de pagina analyseren op het moment dat deze aan de eindgebruiker wordt geleverd, om ervoor te zorgen dat er geen phishing-risico is en dat 'patient zero' wordt voorkomen.

• Training: technologie is belangrijk, maar het zou op dit moment niet controversieel moeten zijn om een soort trainingsprogramma voor werknemers te hebben om te leren over de risico's van phishing. Bij phishingaanvallen van het social engineering-type gaat het niet om het uitbuiten van technologie, maar om het uitbuiten van mensen. Training kan helpen om het beveiligingsbewustzijn te vergroten en werknemers een deel van de oplossing van het probleem te laten zijn.

• Een aanpak voor de volledige beveiligingslevenscyclus: het verminderen van het risico op phishing gaat niet alleen over het inzetten van één technologie; het gaat over een volledige levenscyclusbenadering. Dat betekent dat de organisatie zowel proactieve als reactieve mogelijkheden moet hebben. De realiteit is dat, hoeveel je ook inzet of hoeveel je ook investeert in beveiliging, je ook moet plannen dat er iets doorheen komt. Wat gebeurt er als een medewerker wordt gepisht en zijn of haar gegevens worden gestolen? Heeft de organisatie de mogelijkheid om kwaadwillige toegang te detecteren en er vervolgens op te reageren?

Management moet in alle gevallen samenwerken met de teams van de organisatie om ervoor te zorgen dat de technologie, mensen en processen aanwezig zijn om zoveel mogelijk inkomende phishing-aanvallen te voorkomen.

Phishing is een veelzijdige bedreiging en er is een allesomvattende strategie voor nodig. Uiteindelijk vereist het overwinnen van de uitdaging van phishing een geïntegreerd end-to-end proces, van proactief tot reactief, want als je het ene wel hebt en het andere niet, dan ben je niet echt voorbereid om met de bedreiging om te gaan.

Taylor Ettema is VP Product Management bij Palo Alto Networks.