'Medewerkers energiebedrijven trappen in phishing'
Uit een experiment met drie energiebedrijven blijkt dat een kwart van de medewerkers trapt in gerichte phishing-aanvallen. Volgens de onderzoekers wordt phishing in een groot deel van de aanvallen op bedrijven gebruikt als middel om toegang te krijgen.
De onderzoekers, Tyler Klinger en Scott Greaux, wisten drie energiebedrijven zover te krijgen om mee te werken aan het experiment, schrijft Dark Reading. Klinger en Greaux vergaarden op het internet genoeg informatie over de energiebedrijven om een geloofwaardige aanval op te zetten. Vervolgens stuurden ze medewerkers e-mails met een link. Maar liefst 26 procent van de medewerkers klikte op die link.
Onder de medewerkers die in de 'aanval' trapten, waren technici, hoge functionarissen en medewerkers die in de control room van een energiebedrijf werkten. Eén technicus klikte zelfs vier keer op de link, zich afvragend waarom deze niet werkte. De 'aanvallers' deden de e-mails voorkomen als mails van een hogere collega of van een fabrikant waarvan de energiebedrijven apparaten gebruikten. De contactinformatie van de 'slachtoffers' werd gevonden via sites als LinkedIn, vacatures en bedrijfswebsites.
In dit geval ging het om een onschuldige link, maar bij een aanval in de echte wereld zouden aanvallers malware kunnen verspreiden via de link. Daarmee zou vervolgens toegang tot industriële systemen kunnen worden gezocht, of, als dat niet mogelijk is, genoeg informatie worden verzameld voor een volgende aanval op hetzelfde bedrijf. De aanvallers tekenen aan dat veel aanvallen in de echte wereld leunen op phishing, een stelling die wordt ondersteund door Trend Micro; volgens dat beveiligingsbedrijf maakt phishing deel uit van 91 procent van de gerichte aanvallen.
Reacties (67)
De onderzoekers hebben alleen vastgesteld dat de geadresseerde op de link heeft geklikt. Er is absoluut niet bewezen dat het systeem waarop dat gebeurde verbonden was met de systemen die de energievoorziening regelen. En zelfs als dat zo is dan is nog niet gezegd dat het control netwerk ook te benaderen is vanaf het systeem waarop de link werd geopend.punt is toch veel simpeler, als dit echt belangrijke systemen zijn mogelij in het belang van energie toevoer van een land, waarom KUNNEN die uberhaupt links openen. waarom hangen die uberhaupt aan het internet,
Overigens lijkt het me ook wel logisch dat de systemen die de energievoorziening voor het hele land verzorgen met elkaar verbonden zijn. De gevraagde en geleverde energie moeten constant met elkaar in evenwicht zijn. Ik denk niet dat de betrouwbaarheid omhoog gaat als er continu iemand de data van systeem A uitprint en die op systeem B invoert.
Moeilijk misschien niet maar het levert eigenlijk ook niets op. Zie voor meer informatie Security Myth: Protection by Air Gap.zet er een internet pc naast van mijn part maar hou dat gescheiden,
zo moeilijk is dat toch niet???
Standaard zouden alle e-mail servers moeten controleren of het IP adres van de afzender ook daadwerkelijk verantwoordelijk is voor het verzenden van e-mail voor het afzender domein. Dus als iemand vanaf zijn Internet verbinding thuis bedoeld of onbedoeld een e-mail wil sturen met als afzender bill.gates@microsoft.com, dan zou geen enkele e-mail server deze moeten accepteren omdat het IP adres van die persoon zeker weten niet verantwoordelijk is voor het verzenden van e-mail voor @microsoft.com.
Dit is wel zo basic wat instellingen betreft dat het jammer is dat niet meer e-mail servers dit hanteren. Beheerders die niet netjes de bijbehorende DNS records hiervoor aanmaken zouden zich naar mijn idee diep moeten schamen. Als morgen alle e-mail servers dit zouden doen, dan zou het spam probleem grotendeels opgelost zijn.
Voor de volledigheid, dit doe je door middel van het Sender Policy Framework (SPF) en is in een uurtje te doorgronden en op te zetten. Hier wat nuttige links voor meer info en hoe het te implementeren:
http://en.wikipedia.org/wiki/Sender_Policy_Framework
http://support.google.com...py?hl=nl&answer=33786
http://www.microsoft.com/...nologies/senderid/wizard/
Ook blokkeren veel providers poort 25 naar buiten toe, waardoor het merendeel van de mensen de SMTP server van hun provider gebruikt in plaats van de SMTP server die bij hun domeinnaam hoort. Ook hierdoor krijg je een afwijking in het registreerde IP-adres voor dat domein en de server die daadwerkelijk de afhandeling verzorgd.
Wat dat betreft is DKIM al een betere oplossing, al hou je daar gelijksoortige problemen bij het gebruik van een andere SMTP-server dan degene van je hosting provider, omdat je berichten dan niet ondertekend zullen worden, en je het voordeel dus alsnog niet hebt.
De conclusie is dus dat dergelijke methoden wel licht bijdragen aan het bevestigen van de authenticiteit van berichten, maar geen definitieve oplossing bieden. De beste oplossing is nog altijd het gebruik van een DNSBL om te controleren of de bezorgden e-mail server niet bekend is als geinfecteerde machine of van een consumenten-IP afkomstig is welke sowieso niet als SMTP-server gebruikt zou moeten worden.
Zolang je die mail naar je collega verzend via de SMTP server van je werk (authenticatie vereist) is er niks aan de hand. De admin op je werk zal namelijk via SPF hebben ingesteld dat de SMTP server op je werk een vertrouwde afzender is voor mail van je-werk.nl. De ontvangende mailserver checkt het SPF record van het domein waarvan het mailtje claimt te komen (je-werk.nl) en ziet dat het IP-adres van de verzendende mailserver toegestaan is en accepteert de mail.
Wanneer je echter de uitgaande mailserver van je internetprovider of telco gebruikt gaat het mis. Het IP adres van deze mailserver is niet vermeld in het SPF-record van domein je-werk.nl en is dus geen geldige afzender voor mail van dit domein. De ontvangende mailserver kan het mailtje op basis daarvan blokkeren of als mogelijke spam markeren.
Dat is precies het doel van SPF: voorkomen dat men mail kan verzenden in naam van een ander. Dat is nodig aangezien niet alleen jij, met je goede bedoelingen, maar iedere klant van je internetprovider jouw e-mailadres als afzender kan proberen te gebruiken. Heb je geen SPF ingesteld dan accepteert de ontvangende mailserver dat. Hij weet immers niet beter.
SPF implementeren op een domein is niet moeilijk, en helpt veel tegen spam, maar het is essentieel dat alle mensen met een mailbox in dat domein hun mail alleen nog verzenden via vertrouwde mailservers. Die training is misschien de grootste uitdaging, maar voor een groot deel te voorkomen door het instellen van een goede autoconfiguratie voor mailclients.
GMAIL : v=spf1 include:_spf.google.com ~all
OUTLOOK : v=spf1 include:outlook.com -all
Ik begrijp gewoon niet waarom dit niet meer gebruikt word. Het is niet 100% failsafe, maar je haalt er zo toch redelijk wat uit. Mijn PineApp's halen een klein 26% via deze weg eruit.
Er zijn verschillende opties om een SPF in te stellen, en je kan dat restrictief maken of niet.
Wij maken altijd een spf record voor onze klanten, zodat we zeker zijn dat dit toch al voor ons in orde is.
Een SPF Record bijvoorbeeld voor tweakers :
v=spf1 a mx ptr mx:mx1.tweakers.net mx:mx2.tweakers.net ip4:1.1.1.1/29 a:tweakers.be mx:mailserver.tweakers.net -all
A = Alle A-Records van het domain zijn trusted
MX = Alle inkomende mailservers mogen ook uitgaand verzenden
PTR = Ook soms ReverseDNS genoemd, dit is het matchen van de SMTP host name aan het IP waarvan je verzend.
IP4 = Block van IP ranges bijvoegen, dit is vooral belangerijk indien je een failover hebt van je normale internetlijn naar een alternatieve.
ALL = Hiermee bepaal je hoe strict je sender ID gebruikt. Wij gebruiken altijd een tilde, maar een streep kan je ook gebruiken. Dit geeft wel soms problemen met sommige ( slecht geconfigureerde ) firewalls.
Indien je niet weet hoe je deze maakt, gebruik dan deze tool : http://www.microsoft.com/senderid/wizard
Geachte heer Vanderleyden,TT17 (Vanderleyden): Belachelijk dat mensen hier nog steeds intrappen
u bent gebruiker van de website wielrentijden.nl. Onlangs hebben kwaadwillende getracht om op deze website in te breken. Hierbij werd geprobeerd om via zwakke wachtwoorden de website binnen te komen. Dit is niet gelukt, er zijn geen gegevens buit gemaakt. Maar uit voorzorg zijn alle wachtwoorden gereset en hebben we een nieuw wachtwoord beleid doorgevoerd. Zo dient elk wachtwoord minimaal 8 karakters, een hoofdletter en een cijfer te bevatten.
Via deze link u per direct een nieuw wachtwoord aan te vragen.
Excuses voor al het ongemak.
Team Wielrentijden.nl
(disclaimer dit is slechts een voorbeeld, wielrentijden heeft hier verder niets mee te maken).
Nee, het is helemaal niet stom dat mensen hierop klikken. Sterker, een goed opgezette aanval bestaat uit meerdere stappen en kan daardoor zeer succesvol zijn. Het probleem is dat mensen totaal niet nadenken wat ze allemaal op het internet plaatsen.
Bovenstaand is nog relatief onschuldig voorbeeld, 1 zoekopdracht verder geen onderzoek. Maar wanneer je dit uitvoert op een bedrijf om wachtwoorden te achterhalen er een dag of wat voor uit trekt dan kom je heel wat te weten. Met als gevolg dat er dan een grote kans van slagen is.
[Reactie gewijzigd door Floor op maandag 21 januari 2013 12:24]
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
