Strategieën tegen phishing

“Nog steeds wordt er weinig gedaan tegen phishing.” Simon Vernon, Senior Security Researcher bij het SANS Institute, vertelt waarom hij denkt dat phishing niet snel zal verdwijnen.

Het heeft me in mijn werk altijd verbaasd hoe makkelijk het was om beveiligingsmaatregelen te omzeilen, waardoor e-mail verstuurd kon worden alsof die afkomstig was van legitieme bedrijven. Het verwisselen van wat letters of gebruikmaken van speciale tekens was vaak al genoeg.

In mijn werk kwam het zelfs meermalen voor dat ik e-maildomeinen van grote bedrijven kon gebruiken om mail te versturen, en dat die ook succesvol werd bezorgd omdat men volledig had verzuimd daar maatregelen tegen te nemen. Ontvangers werden daardoor om de tuin geleid en klikten op de links die ik had meegestuurd, dus dat betekende helaas dat een inbraak eigenlijk onvermijdelijk was.

Om die vraag te beantwoorden bekeek ik authentieke mails die ik ontvang van legitieme, gevestigde bedrijven, zoals socialemediabedrijven, betalingsproviders, pensioenfondsen en banken. Daarbij ontdekte ik een zorgwekkende trend.

Om het blacklisten van hun bedrijfsdomein te vermijden, gebruiken bedrijven vaak alternatieve domeinen bij het versturen van bulkmail naar hun relaties. Als je dat doet, zou je normaliter dat alternatieve e-maildomein op de bedrijfswebsite moeten publiceren, zodat ontvangers kunnen verifiëren dat de e-mail afkomstig is van een vertrouwde en bekende bron.

Van de tien bedrijven die ik recentelijk controleerde, had 50% geen beleid geïmplementeerd voor de omgang met phishing en het beheer van mail-­identiteiten. Twee bedrijven hadden het afzender­domein niet vermeld en bij twee kreeg ik zelfs een 404-­pagina en was er geen domeinvalidatie.

Een enkel bedrijf had niets van dit alles en had een Sender Policy Framework (SPF) DNS-record dat alle IPv4-adressen ter wereld toestond om mail namens hun domein te versturen. De meeste problemen vond ik bij bedrijven in de financiële wereld.

Bij een enkel voorbeeld had ik 15 minuten nodig om te achterhalen of de ontvangen mail authentiek was. Daarbij moest ik de eigenaar achterhalen van het IP-adres waar het bericht van afkomstig was: dat bleek een bureau te zijn dat in opdracht van het bedrijf legitieme mails verstuurde. Hoe moet een doorsnee gebruiker nu weten of een bericht authentiek is?

Er zijn technische oplossingen, maar de verantwoordelijkheid daarvoor ligt bij de afzenders en die zijn niet effectief als ze niet goed worden geïmplementeerd en gecombineerd met andere maatregelen (zie ook c’t 6/2019 op pagina 130). Ze bestaan al langer, maar de invoering bij grote bedrijven en instellingen gaat ontzettend langzaam.
Beheerders die verantwoordelijk zijn voor e-mail moeten zichzelf de volgende vragen stellen:

1. Is er een Sender Policy Framework (SPF) voor alle domeinen? Is die in orde?
2. Laten we derden e-mail versturen namens ons? Hebben zij een SPF?
3. Hebben we DKIM geïmplementeerd voor alle domeinen die we gebruiken om mail te versturen?
4. Hebben we DMARC geïmplementeerd voor alle domeinen die we gebruiken om mail te versturen?
5. Hebben we een beveiligingsbeleid omtrent e-mail? Is dat effectief?
6. Bieden we onze relaties (geen interne gebruikers) een bron om te controleren of een bericht authentiek is? Werkt dat ook?

Als het antwoord op één van bovenstaande vragen ‘nee’ is, ben je onderdeel van het probleem. Er zijn gelukkig genoeg bronnen die je op weg helpen bij het ontwerpen en implementeren van SPF, DKIM en DMARC.

Totdat alle bedrijven die oplossingen gebruiken, zal phishing niet verdwijnen en zien we waarschijnlijk steeds meer en verfijndere aanvallen, met nog grotere gevolgen. We kunnen dat probleem samen oplossen als we gewoon de al bestaande beveiligingsmechanismen goed implementeren.

Een makkelijke totaaloplossing voor ontvangers op basis van AI, machine-­learning en blockchain is niet het antwoord, ongeacht wat producenten beloven. Voor ontvangers is het advies simpel: als je niet zeker weet waar de mail vandaan komt, laat je de link blauw!

(Simon Vernon – namens het SANS Institute)

Simon Vernon,  GSEC, GCIH, GCFE, GPEN Senior Security Researcher,  SANS EMEA