De afgelopen periode zijn mij een drietal zaken opgevallen die te maken hebben met twee van mijn professionele interesses; social media en beveiliging. Nu lijken het drie losstaande artikelen, maar ze versterken elkaar wel. Of misschien beter, ze bevestigen elkaar.
Het bracht mij tot het schrijven van deze blog, niet om stap voor stap te beschrijven hoe je een spear phishing e-mail maakt, maar om aan te geven hoe dergelijke berichten worden samengesteld. Wanneer je je ergens tegen wilt beveiligen is het namelijk goed om te weten hoe de aanvaller te werk gaat.
Beveiligingsvoettekst
Tijdens het samenstellen van een bewustwordingstraining las ik een artikel van LinkedIn over de Beveiligingsvoettekst in e-mails van LinkedIn. Bij het versturen van e-mail plaatst LinkedIn je kopregel onderaan de e-mail.
De uitleg van LinkedIn is duidelijk, daar heb ik niets aan toe te voegen:
In onze berichten aan u nemen we een beveiligingsvoettekst op met uw naam en professionele kopregel zodat u echte e-mails van LinkedIn kunt onderscheiden van phishingberichten. 'Phishingberichten' lijken vaak op legitieme e-mails, maar ze bevatten doorgaans deze persoonlijke gegevens niet. Ze bevatten wel vaak links naar kwaadaardige sites.
En verder:
Hoewel de aanwezigheid van deze beveiligingsvoettekst niet garandeert dat een e-mail legitiem is, biedt het wel extra zekerheid dat de e-mail van LinkedIn afkomstig is. De meeste phishingaanvallen die zijn gericht op grote mailinglijsten, bevatten deze gegevens niet.
Het advies van LinkedIn:
Open bij twijfel een nieuw browservenster en ga rechtstreeks naar LinkedIn.nl om uw Postvak IN te controleren en het connectieverzoek of bericht te verifiëren.
Ik adviseer echter om altijd de naar de LinkedIn site te gaan en daar het Postvak IN te controleren. Zo hoef je nooit te twijfelen, maar er gewoon een gewoonte van te maken. Ik lees de e-mail berichten van LinkedIn vaak niet eens, laat staan dat ik ze open of zelfs maar op een link klik.
Gevaarlijkste e-mail
Recent verscheen er een onderzoek waaruit bleek dat LinkedIn-uitnodiging gevaarlijkste e-mailonderwerp van 2013 is. Naast geld valt er bij LinkedIn gebruikers ook nog meer te halen voor cybercriminelen. Denk hierbij bijvoorbeeld ook aan bedrijfsinformatie, toegang tot zakelijke PC's en vervolgens bedrijfsnetwerken. Maar ook vertrouwen, cybercriminelen kunnen gebruiken maken van jouw LinkedIn account en het vertrouwen welke jou connecties hierin hebben. Kortom, er is genoeg te halen.
Nu weten we aan de hand van het bovenstaande advies hoe we phishing mails kunnen detecteren. Hierin ontbreekt namelijk jouw eigen professionele kopregel. Cybercriminelen die zich bezighouden met phishing personaliseren de mails niet, zij gaan uit van de wet van de grote getallen. Zij zullen dus ook niet de moeite nemen om deze persoonlijke informatie toe te voegen. Toch....?
Spear phishing
Er zijn cybercriminelen die zich wel bezig houden met het volledig personaliseren van phishing mails. Enerzijds kun je je dan vereert voelen want jij en alleen jij bent de enige ontvanger van de e-mail. Een phishing mail helemaal op jou gericht; spear phishing noemen ze dat. Een uiterste gericht phishing aanval.LinkedIn inbox
Tot slot las ik een blog met als titel: De nieuwe inbox van LinkedIn – nader bekeken. Je vraagt je misschien af wat de inhoud van deze laatste blog met de eerste twee artikelen te maken heeft. Het gaat echter niet om de nieuwe inbox van LinkedIn die beschreven staat, maar mijn oog viel op de manier van werken van de auteur. Hij werkt namelijk niet vanuit het Postvak IN van LinkedIn maar vanuit zijn e-mail programma waar de meldingen van LinkedIn binnenkomen. Zoals aangegeven is dit een onveilige manier van werken. Opvallend is dan ook dat deze auteur "de hele dag LinkedIn open hebt staan in een browser tabblad", waarom dan niet vanuit de site werken?
De professionele kopregel voor de voettekst van de e-mail halen we eenvoudig van LinkedIn. Naast de blog post staat een verwijzing naar het LinkedIn-profiel van de auteur:
De voettekst wordt dus:
Het bovenstaande screenshot is waarschijnlijk op 12 december genomen. De dag voor Yesterday is namelijk 10 december. Kortom, dit zijn personen waarmee hij recent heeft gecommuniceerd. Krijgt hij daar nog een bericht van dan zal dat niet snel argwaan wekken.
Ook een onderwerp kunnen we uit bovenstaande afbeelding halen. Er wordt geregeld gesproken over het LinkedIn Congres waar Jan Willem mee bezig is. Als we hem nu eens het volgende bericht sturen:
Nogmaals, de technische details over het versturen van de uiteindelijke spear phishing e-mail heb ik met opzet weggelaten. Bovenstaande geeft weer waar de zwakke plekken zitten waar jezelf ook daadwerkelijk wat aan kunt doen.
Kortom, vergeet de LinkedIn e-mails en gebruik voor LinkedIn berichten alleen het Postvak IN!
Aanvallen!
Om een aanval uit te voeren zal de spear phisher informatie over zijn doel verzamelen. In dit geval wordt het op een presenteer blaadje gegeven.De professionele kopregel voor de voettekst van de e-mail halen we eenvoudig van LinkedIn. Naast de blog post staat een verwijzing naar het LinkedIn-profiel van de auteur:
U ontvangt de volgende e-mails: Onderschrijvingen. Uitschrijven.Nu een verzender uitkiezen, bij voorkeur iemand die Jan Willem al kent en waarmee hij eerder gecommuniceerd heeft. In de blog post worden ook deze zo aangeboden:
Deze e-mail is gericht aan Jan Willem Alphenaar Ervaren (gast)spreker op het gebied van social media, branding, online marketing en modern ondernemerschap. Lees waarom dit belangrijk is. ©2013, LinkedIn Corporation. 2029 Stierlin Ct. Mountain View, CA 94043, USA
Het bovenstaande screenshot is waarschijnlijk op 12 december genomen. De dag voor Yesterday is namelijk 10 december. Kortom, dit zijn personen waarmee hij recent heeft gecommuniceerd. Krijgt hij daar nog een bericht van dan zal dat niet snel argwaan wekken.
Ook een onderwerp kunnen we uit bovenstaande afbeelding halen. Er wordt geregeld gesproken over het LinkedIn Congres waar Jan Willem mee bezig is. Als we hem nu eens het volgende bericht sturen:
Hallo Jan Willem, Eerder heb ik aangegeven deel te nemen aan je congres, maar nu zag ik dat op dezelfde dag dit LinkedIn event gehouden worden?Van de woorden LinkedIn event maken we natuurlijk een link naar een malafide website zodat we de daadwerkelijke actie kunnen uitvoeren (malware installeren, logingegevens achterhalen, ...). Het is namelijk aannemelijk dat hij op de link gaat klikken om te kijken welk evenement op dezelfde dag wordt gehouden ;)
Nogmaals, de technische details over het versturen van de uiteindelijke spear phishing e-mail heb ik met opzet weggelaten. Bovenstaande geeft weer waar de zwakke plekken zitten waar jezelf ook daadwerkelijk wat aan kunt doen.
Kortom, vergeet de LinkedIn e-mails en gebruik voor LinkedIn berichten alleen het Postvak IN!