Hoe hoger je fruit, hoe beter

Even ter verduidelijking: 100% veilig krijg je het niet. Maar veel aanvallen zijn gericht op laaghangend fruit. Met zo min mogelijk inspanning een zo groot mogelijk resultaat. Jij kan dus veel winst boeken door je fruit iets hoger te hangen. Hoe hoger, hoe meer moeite een succesvolle poging kost en hoe harder een phisher moet werken. De interesse zal in veel gevallen dan sterk afnemen.

Vertrouw jij je directeur?

Phishing gebeurt op verschillende manieren. Vaak op grote schaal zonder een specifiek target, soms heel erg gericht op een organisatie of persoon. In die laatste gevallen gaat het om spear phishing en daarvoor wordt onder andere gebruik gemaakt van emails die van een collega lijken te komen. Wij mensen zijn van nature een vertrouwend soort en als de afzender van een email een bekende naam is, zijn we veel eerder geneigd om de inhoud ook te vertrouwen. Dat is mede de oorzaak dat CEO-fraude zo succesvol is: een email die van de directeur lijkt te komen en waarin gevraagd wordt ‘even snel’ een transactie te doen, zal in veel gevallen succesvol zijn. Niemand wil namelijk de directeur dwars zitten.

Cyber-hygiëne?

Toch is het vrij eenvoudig om dit soort phishing te voorkomen. Uiteraard heb je als organisatie al een aantal hygiënemaatregelen in place. Je DKIM, DMARC en SPF-records zijn correct ingeregeld voor je mailserver, wat al een deel van de ellende voorkomt. Vaak houdt het hier echter op. Soms wordt er nog een periodieke awareness training georganiseerd, maar de effecten daarvan zijn twijfelachtig en zeker niet blijvend. Het ebt weer weg, mede omdat je er actief mee bezig zou moeten blijven wat in de praktijk lastig is.

Iedereen aan de PGP?

Eén van de breder geaccepteerde maatregelen om phishing te voorkomen, is het introduceren van PGP-signing. En inderdaad, als iedere medewerker dat netjes kan instellen en ook weet wanneer je dat wel en niet moet gebruiken, is dat een goede oplossing. Omdat veel organisaties echter niet alleen maar uit cyber security goeroes bestaan, is deze oplossing in de praktijk niet voor iedereen haalbaar. Gelukkig kan het ook anders.

Een kleur van vertrouwen

Awareness werkt pas echt als een bepaald patroon doorbroken wordt. Een voorbeeld: als een phishing-mail altijd direct een rode kleur zou krijgen in je inbox, dan valt dat op en zullen mensen meer nadenken over de inhoud. Ik weet het, het is een open deur en misschien een flauw voorbeeld, maar draai het eens om: stel nou dat je iedere vertrouwde mail een opvallende kleur zou geven. Bijvoorbeeld iedere mail die van een collega komt, krijgt automatisch een kleurtje. Dat is relatief eenvoudig in te regelen in bijvoorbeeld Exchange: iedere mail die voldoet aan de volgende twee regels wordt beschouwd als een interne mail: 1) de e-mail komt van een domein die door de server wordt beheerd en 2) de e-mail wordt door Exchange zelf afgeleverd. Die mails worden getagged en voorzien van een kleurtje.

email_policy_1

Het passieve bewustzijn

Het is een simpel voorbeeld, maar de gevolgen zouden wel eens ontzettend groot kunnen zijn. Als werknemer wen je namelijk heel snel aan het feit dat interne mailtjes een mooi kleurtje krijgen. Wordt er echter nu een spear phishing of CEO-fraude mail verstuurd, ontstaat er een afwijkend patroon voor de ontvanger. Ondanks dat de naam van de directeur in beeld staat, zal deze mail niet voorzien zijn van het kleurtje. In tegenstelling tot alle andere mailtjes van de directeur. Hoppa: de kennis van de awareness training wordt geactiveerd en de gevolgschade zal veel kleiner uitpakken.

The one ring?

Uiteraard lost dit niet alles op. Er zijn nog vele phishing-alternatieven die succesvol kunnen blijven. Het belangrijkste is echter dat we om een hoekje moeten gaan denken en buiten standaard patronen gaan acteren. Als we dingen net iets anders doen dan de rest, wordt het voor een buitenstaander lastiger misbruik te maken.

Cyber security het sterkste als je het in veel verschillende laagjes kan opbouwen. Bovenstaande voorbeeld is een specifiek laagje voor hogere bescherming tegen spear phishing en CEO-fraude en het is simpel toe te passen. Zelfs zo simpel dat ik het gevoel heb misschien wel iets over het hoofd te hebben gezien. Aan de andere kant: de eenvoudigste oplossingen zijn vaak de beste dus dit zou zomaar eens het leven van veel phishers een stuk zwaarder kunnen maken. Gelukkig heb ik daar wat minder moeite mee...