Onderzoek: phishing is populaire methode voor digitale spionage

Phishing is niet meer enkel het terrein van criminele groeperingen die gebruikers bankgegevens willen ontfutselen. Aanvallers die aan digitale spionage doen gebruiken phishing ook, stelt de beveiligingstak van provider Verizon.

Dat staat in een rapport over beveiliging van Verizon. In twee derde van 290 spionagecampagnes die Verizon onderzocht, speelde phishing een rol. In tegenstelling tot bij phishing-aanvallen van criminelen, die uit zijn op bijvoorbeeld logingegevens voor bankensites, zijn de aanvallers niet op zoek naar user-input. Ze gebruiken phishing vooral als een methode om eenvoudig code te kunnen uitvoeren op een systeem, door middel van een geïnfecteerde bijlage.

Met succes, zo blijkt uit het onderzoek, waar ook het Nederlandse Nationaal Cyber Security Centrum informatie voor heeft aangeleverd. In 23 procent van de gevallen blijkt een geadresseerde een e-mail te openen, en in 11 procent van de gevallen klikt hij ook nog eens op een bijlage. Door 10 personen binnen een organisatie te mailen, is de kans dan ook 90 procent dat een van hen geïnfecteerd kan worden met malware.

Daar komt bij dat 99,9 procent van de kwetsbaarheden die aanvallers exploiteerden, volgens Verizon al meer dan een jaar was gepatcht. Dat duidt erop dat veel bedrijven en organisaties er niet in slagen om hun software op tijd te updaten. Bij sommige bedrijven worden zelfs nog kwetsbaarheden van tien tot vijftien jaar oud misbruikt; in sommige gevallen gaat het zelfs om bugs uit 1999.

Uit een rapport van Symantec, dat nog niet is uitgegeven maar dat waarschijnlijk later op dinsdag wordt gepubliceerd, blijkt dat aanvallers niet alleen voor phishing-aanvallen kiezen vanwege de effectiviteit, maar ook omdat beveiligingsbedrijven phishing-aanvallen minder snel opmerken, meldt persbureau Reuters.

Uit hetzelfde rapport blijkt dat veel aanvallen nog steeds via Nederland verlopen, schrijft De Volkskrant op basis van het rapport. Nederland staat op de eerste plek in Europa en op de vierde plek wereldwijd; alleen vanuit China, de Verenigde Staten en India zijn meer aanvallen afkomstig. Dat betekent niet dat de meeste aanvallers Nederlands zijn, maar dat ze hun servers in Nederland huisvesten. Dat is al langer zo, onder meer vanwege de goede internetverbindingen.

IT-banen

Reacties (27)

Verwijderd 14 april 2015 08:44

Zo zie je maart dat de beste beveiliging niets oplevert zolang het personeel niet goed geïnstrueerd word. Dit zou eigenlijk nooit mogen gebeuren natuurlijk.

Keypunchie @Verwijderd • 14 april 2015 08:59

Nou, het is wat flauw om dat zo te stellen.

Zeker met moderne, zeer 'sophisticated' phishing-methodes, kun je niet meer op de menselijke factor vertrouwen en je kunt het ze zeker niet kwalijk nemen. Van de 100 mensen in je organisatie hoeft maar 1tje er toch in te tuinen en je bent zuur. Dat doet hij/zij niet express.

Daarnaast, hoezo "beste beveiliging"? Uit het artikel blijkt dat het om veel lang ongepatchede software gaat. Dat is verre van de beste beveiliging!

Verwijderd @Keypunchie • 14 april 2015 11:58

Je klikt toch echt zelf op iets waarvan je zou kunnen weten dat het niet klopt. Dat zie ik iig meteen. En als ik het kan zien kan een ander het ook. Maar je moet dan idd wel je hersens willen gebruiken. Hoe 'sophisticated' is het om met woorden iemand te verleiden ergens op te klikken? Als je niets leest en klakkeloos zomaar alles opent ben je natuurlijk niet de oorzaak van het probleem? Als ik zo'n phishing mailtje krijg moet ik er om lachen hoe slecht het taalgebruik is. Dat duidelijk van een vertaalmachine komt. Dit is 1000% user error. Oftewel niet lezen en maar raak klikken.

Keypunchie @Verwijderd • 14 april 2015 12:20

User error is iets dat je als beheerder/ontwikkelaar moet aannemen. Men maakt wel eens een foutje.

Dat is namelijk precies wat mensen van machines onderscheidt. Ik geloof ook niet zo goed dat jij zelf nog nooit een foutje hebt gemaakt. Al is het maar dat je per ongeluk een link volgt die je niet wilde volgen of per ongeluk op accepteren ipv. weigeren hebt geklikt.

Zelfs iemand die 100% weet wat hij moet doen en van plan is om dat te doen, kan nog steeds een fout maken en toch nog op de verkeerde knop drukken,

Verwijderd @Keypunchie • 14 april 2015 17:21

"User error" (gebruikers fout) is alles wat je als gebruiker fout kunt doen. Wat dit met beheerders of ontwikkelaars te maken heeft zie ik niet? En er is een wezenlijk verschil in een fout maken of alle waarschuwing in de wind slaan én mail niet lezen. Dit is gewoon luiheid en zou dus nooit mogen voorkomen in een bedrijf. Als je dit wel laat gebeuren dan geef je niet genoeg om je baan.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 07:49]

Keypunchie @Verwijderd • 14 april 2015 21:23

"User error" (gebruikers fout) is alles wat je als gebruiker fout kunt doen. Wat dit met beheerders of ontwikkelaars te maken heeft zie ik niet?

Omdat beheerders en ontwikkelaars de gebruikers bedienen en faciliteren. We proberen hun veilig te houden en te helpen, ook (of juist!) als ze een foutje maken.

Maar het is wel duidelijk wat jouw mening/instelling richting gebruikers is.

Verwijderd @Keypunchie • 15 april 2015 06:44

Ik blijf het vreemd vinden dat je iets verwijtbaars als "foutje" blijft bestempelen. Een virus oid binnenhalen door laksheid is geen "foutje" maar laksheid. En zou dus niet mogen gebeuren. Ik ga er iig vanuit dat als je ergens werkt je dat met volle inzet doet. Mails niet lezen en daardoor het bedrijf in problemen brengen gaat veel verder dan "foutje".

"User error is iets dat je als beheerder/ontwikkelaar moet aannemen. Men maakt wel eens een foutje."

Heh? User error is iets dat een gebruiker fout doet. De letterlijke vertaling is: gebruikersfout. Niet iets wat iemand aanneemt dus. Maar iets dat iemand fout gedaan heeft. De beheerder/ontwikkelaar zal de problemen wel moeten oplossen.

Keypunchie @Verwijderd • 15 april 2015 10:22

En zelfs al van te voren moeten anticiperen.

Dit filmpje legt misschien iets beter uit hoe het komt dat zelfs de slimste mensen soms iets klikken dat ze beter niet hadden kunnen doen:
https://www.youtube.com/watch?v=dQw4w9WgXcQ

batteries4ever @Verwijderd • 14 april 2015 14:36

Ik ben onder de indruk van je diepgaande kennis van e-mails. Het lijkt me geweldig als je je inzichten zou willen delen met je mede-tweakers!

Ja, als ik een e-mail in gebroken Engels opvang van een Nigeriaanse prins die graag zijn erfenis op mijn bankrekening wil storten, word ik ook wat wantrouwig...
Gaat het daarentegen om een aankondiging van een conferentie op mijn vakgebied en b.v. een verwijzing naar een bekende van mij die daar een presentatie geeft, is de kans dat ik doorklik alweer een heel stuk groter... Als we het hier over doelgerichte spionage hebben zoals in dit artikel kunnen NSA & Co. dat heel gemakkelijk bereiken.

Verwijderd @batteries4ever • 14 april 2015 17:18

Je kunt er lang en breed over blijven lullen maar als er in een mail om gegevens word gevraagt. En vooral die op een website in te vullen. Dan ben je wel erg goed gelovig als je dit doet. En je slaat alle waarschuwingen in de wind (of heb je nog nooit te horen gekregen "wij vragen nooit gegevns via de mail"?). Als je er dan nóg intrapt. Ja, dat is user error of eigenlijk vooral luiheid..

Kalief 14 april 2015 08:42

In 23 procent van de gevallen blijkt een geadresseerde een e-mail te openen, en in 11 procent van de gevallen klikt hij ook nog eens op een bijlage. Door 10 personen binnen een organisatie te mailen, is de kans dan ook 90 procent dat een van hen geïnfecteerd kan worden met malware.

Hoe wordt dit berekend? Als je 100 personen mailt dan openen 23 personen die mail (want 23%). Van deze 23 openen 2,53 personen (want 11%) de bijlage. Hoe kom je van 2,53% over 100 naar 90% over 10?

rooieduivel32 @Kalief • 14 april 2015 08:51

Ik denk dat hier wordt bedoeld dat 11% van het totaal aantal geadresseerden de bijlage opent. Dus niet 11% van de 23% die de e-mail openen, maar ongeveer de 50% van de geadresseerden die de e-mail openen.

TheFes @rooieduivel32 • 14 april 2015 09:41

Als 11% van de 100 personen een bijlage opent, dan kom ik toch nog maar op 69% kans op infectie bij 10 mensen hoor.. (1-0.89^10). Snap ook niet precies hoe ze bij die 90% komen.

rooieduivel32 @TheFes • 14 april 2015 10:55

Die 90% klopt volgens mij ook niet nee.
Voor zover ik weet is de kans op besmetting binomiaal verdeeld (wel of geen besmetting). Dus:
P(X≥c), met c=1. X is B(n,p) verdeeld met n=10 en p=0,11.

Dat geeft (grofweg benaderd, omdat het p=0,11 niet in de tabel staat):
P(besmetting) = 0,70 = 70%.

bonus 14 april 2015 08:45

Dat vooral bedrijven zo laks zijn met updates en beveiligingen valt me toch wel tegen hoor. Wel ramen en deuren op slot, maar niet je hardware.

xleeuwx @bonus • 14 april 2015 08:49

Ramen en deuren op slot moet vanwegen de verzekering echter is het beveiligen van je bedrijfsnetwerk niet even een slot plaatsen en klaar is Kees

bonus @xleeuwx • 14 april 2015 09:00

Ik denk als er geldbedragen mee gemoeid zijn dat toch ook de verzekering begint te piepen. In de trend van als de boel niet up-to-date is keren we evt. vermiste bedragen en of schadeclaims niet uit. En dat lijkt me dan ook weer terecht want dat is toch wel verwijtbaar.

Firefly III 14 april 2015 08:41

Phishing heeft allang niet meer het "prince of Nigeria"-gehalte van vroeger. Veel van dit soort aanvallen gebruiken namen van collega's, andere bedrijven, het bedrijf zelf en kiezen woordgebruik, layout en bericht toegespitst op het doelwit.

Veel mensen kijken slechts heel kort naar een mailtje, zeker als ze veel mail ontvangen. Die gaan niet alles nalopen, maar vertrouwen op virusscanners en firewalls. Niet altijd terecht, zo blijkt.

Plus, omdat doelwitten zeldzamer worden (men wordt wel degelijk beter) is het steeds meer de moeite waard om een geslaagde aanval compleet uit te melken voor er wordt overgestapt naar het volgende doelwit.

Don Kedero @Firefly III • 14 april 2015 09:04

Inderdaad, het is soms al wat moeilijker om ze eruit te halen (al wat oudere):

Nieuw SSL certificaat voor LogMeIn:
http://community.logmein....9792/highlight/true#M2208

Account geblokkeerd op LinkedIn, klik hier om te activeren
https://help.linkedin.com...udulent-email-or-phishing

biglia 14 april 2015 08:50

Ik wist eigenlijk niet dat een e-mail versturen met een geïnfecteerde bijlage ook phishing heet. Bij phising denk ik vooral aan nagemaakte websites die lijken op de originele en waarbij de gebruiker rechtstreeks zijn logingegevens intypt.

JAVE @biglia • 14 april 2015 09:03

Dat doet het ook niet; een poging om mensen een geïnfecteerd bestand te laten openen valt onder social engineering.

Mails met links naar fake websites vallen wel onder phishing.

Maar goed, dat is veels te ingewikkeld tegenswoordig, dus noemen we gewoon alles hacken en phishen

WokeBroke 14 april 2015 09:15

Ik dacht jaren terug dat phishing alleen online zou werken, maar mensen trappen er in het echt ook gewoon in https://www.youtube.com/watch?v=T23gOh8ByUI (als het filmpje echt is dan)

Verwijderd @WokeBroke • 14 april 2015 09:46

Jaren geleden gebruikte veel uitgeverijen als "phishing" trucs. Bij het bedrijf waar ik 20 jaar geleden werkte hadden we uiteraard abonnementen op meerdere vakbladen. Veel uitgeverijen gaven ook boeken uit waarvoor ze alvast een ingevulde acceptgiro stuurde. Als de stapel maar groot genoeg was werden die zonder problemen getekend en vroeg iedereen zich na een week af wie dat boek besteld had.... De gevolgen zijn weliswaar niet zo groot als tegenwoordig, maar de methode is hetzelfde.

walkstyle 14 april 2015 09:53

Zit er eigenlijk verschil in als je een bijlage via mail(phishing) opent op Ubuntu of Windows7 ?

henk1994 @walkstyle • 14 april 2015 10:13

Ja dat is er zeker. Vaak wordt de malware voor een bepaald OS geschreven, bijvoorbeeld voor Windows. Door deze malware in een bijlage te stoppen wordt de code uitgevoerd als de bijlage geopend wordt. Als je de bijlage in Ubuntu opent zal er waarschijnlijk niet veel gebeuren omdat de code niet uitgevoerd kan worden. Bestanden staan op andere plaatsen, commando's zijn niet beschikbaar etcetera.

wamukota 14 april 2015 09:17

PICNIC - Problem In Chair, Not In Computer

Bij de meeste (vliegtuig)ongevallen ligt een menselijke fout aan de bron.

Zelfs met goede opleiding en gepatchte systemen kan een menselijke handeling - foto van collega met op de achtergrond post-it met login en wachtwoord bv - de sleutel zijn voor tot toegang tot het systeem.

Ook snappen velen niet wat ze verkeerd doen, want er gebeurt gewoonweg niks als ze klikken op deze of gene knop. Er komt immers geen popup met de melding 'Dank u. U hebt me nu toegang gegeven tot uw systeem'

Al lijkt me de melding dat er veel niet-gepatchte systemen in the wild te zijn toch wel verontrustend. Worden de sysadmins niet voldoende opgeleid of is het laksheid van hen. Of mag het gewoon niet van de bedrijfsleiding omdat het geld kost (manuren tijdens het weekend bv.).

Cerebriform 14 april 2015 09:30

"In tegenstellingg tot bij phishing-aanvallen van criminelen, die uit zijn op bijvoorbeeld logingegevens voor bankensites, zijn de aanvallers niet op zoek naar user-input."

Deze mensen breken niet minder de wet dan mensen die je bankgegevens proberen te achterhalen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: