zondag 22 december 2013

Hoe maak je een spear phishing e-mail?

Verdediging is de beste aanval

De afgelopen periode zijn mij een drietal zaken opgevallen die te maken hebben met twee van mijn professionele interesses; social media en beveiliging. Nu lijken het drie losstaande artikelen, maar ze versterken elkaar wel. Of misschien beter, ze bevestigen elkaar.

Het bracht mij tot het schrijven van deze blog, niet om stap voor stap te beschrijven hoe je een spear  phishing e-mail maakt, maar om aan te geven hoe dergelijke berichten worden samengesteld. Wanneer je je ergens tegen wilt beveiligen is het namelijk goed om te weten hoe de aanvaller te werk gaat.


Beveiligingsvoettekst

Tijdens het samenstellen van een bewustwordingstraining las ik een artikel van LinkedIn over de Beveiligingsvoettekst in e-mails van LinkedIn. Bij het versturen van e-mail plaatst LinkedIn je kopregel onderaan de e-mail. 



De uitleg van LinkedIn is duidelijk, daar heb ik niets aan toe te voegen:
In onze berichten aan u nemen we een beveiligingsvoettekst op met uw naam en professionele kopregel zodat u echte e-mails van LinkedIn kunt onderscheiden van phishingberichten. 'Phishingberichten' lijken vaak op legitieme e-mails, maar ze bevatten doorgaans deze persoonlijke gegevens niet. Ze bevatten wel vaak links naar kwaadaardige sites.
En verder:
Hoewel de aanwezigheid van deze beveiligingsvoettekst niet garandeert dat een e-mail legitiem is, biedt het wel extra zekerheid dat de e-mail van LinkedIn afkomstig is. De meeste phishingaanvallen die zijn gericht op grote mailinglijsten, bevatten deze gegevens niet.
Het advies van LinkedIn:
Open bij twijfel een nieuw browservenster en ga rechtstreeks naar LinkedIn.nl om uw Postvak IN te controleren en het connectieverzoek of bericht te verifiëren.
Ik adviseer echter om altijd de naar de LinkedIn site te gaan en daar het Postvak IN te controleren. Zo hoef je nooit te twijfelen, maar er gewoon een gewoonte van te maken. Ik lees de e-mail berichten van LinkedIn vaak niet eens, laat staan dat ik ze open of zelfs maar op een link klik.


Gevaarlijkste e-mail

Recent verscheen er een onderzoek waaruit bleek dat LinkedIn-uitnodiging gevaarlijkste e-mailonderwerp van 2013 is. Naast geld valt er bij LinkedIn gebruikers ook nog meer te halen voor cybercriminelen. Denk hierbij bijvoorbeeld ook aan bedrijfsinformatie, toegang tot zakelijke PC's en vervolgens bedrijfsnetwerken. Maar ook vertrouwen, cybercriminelen kunnen gebruiken maken van jouw LinkedIn account en het vertrouwen welke jou connecties hierin hebben. Kortom, er is genoeg te halen. 

Nu weten we aan de hand van het bovenstaande advies hoe we phishing mails kunnen detecteren. Hierin ontbreekt namelijk jouw eigen professionele kopregel. Cybercriminelen die zich bezighouden met phishing personaliseren de mails niet, zij gaan uit van de wet van de grote getallen. Zij zullen dus ook niet de moeite nemen om deze persoonlijke informatie toe te voegen. Toch....?


Spear phishing

Er zijn cybercriminelen die zich wel bezig houden met het volledig personaliseren van phishing mails. Enerzijds kun je je dan vereert voelen want jij en alleen jij bent de enige ontvanger van de e-mail. Een phishing mail helemaal op jou gericht; spear phishing noemen ze dat. Een uiterste gericht phishing aanval.


LinkedIn inbox

Tot slot las ik een blog met als titel: De nieuwe inbox van LinkedIn – nader bekeken. Je vraagt je misschien af wat de inhoud van deze laatste blog met de eerste twee artikelen te maken heeft. Het gaat echter niet om de nieuwe inbox van LinkedIn die beschreven staat, maar mijn oog viel op de manier van werken van de auteur. Hij werkt namelijk niet vanuit het Postvak IN van LinkedIn maar vanuit zijn e-mail programma waar de meldingen van LinkedIn binnenkomen. Zoals aangegeven is dit een onveilige manier van werken. Opvallend is dan ook dat deze auteur "de hele dag LinkedIn open hebt staan in een browser tabblad", waarom dan niet vanuit de site werken?


Aanvallen!

Om een aanval uit te voeren zal de spear phisher informatie over zijn doel verzamelen. In dit geval wordt het op een presenteer blaadje gegeven.

De professionele kopregel voor de voettekst van de e-mail halen we eenvoudig van LinkedIn. Naast de blog post staat een verwijzing naar het LinkedIn-profiel van de auteur:


De voettekst wordt dus:
U ontvangt de volgende e-mails: Onderschrijvingen. Uitschrijven.

Deze e-mail is gericht aan Jan Willem Alphenaar Ervaren (gast)spreker op het gebied van social media, branding, online marketing en modern ondernemerschap. Lees waarom dit belangrijk is. ©2013, LinkedIn Corporation. 2029 Stierlin Ct. Mountain View, CA 94043, USA
Nu een verzender uitkiezen, bij voorkeur iemand die Jan Willem al kent en waarmee hij eerder gecommuniceerd heeft. In de blog post worden ook deze zo aangeboden:


Het bovenstaande screenshot is waarschijnlijk op 12 december genomen. De dag voor Yesterday is namelijk 10 december. Kortom, dit zijn personen waarmee hij recent heeft gecommuniceerd. Krijgt hij daar nog een bericht van dan zal dat niet snel argwaan wekken.
Ook een onderwerp kunnen we uit bovenstaande afbeelding halen. Er wordt geregeld gesproken over het LinkedIn Congres waar Jan Willem mee bezig is. Als we hem nu eens het volgende bericht sturen:

Hallo Jan Willem, Eerder heb ik aangegeven deel te nemen aan je congres, maar nu zag ik dat op dezelfde dag dit LinkedIn event gehouden worden?
Van de woorden LinkedIn event maken we natuurlijk een link naar een malafide website zodat we de daadwerkelijke actie kunnen uitvoeren (malware installeren, logingegevens achterhalen, ...). Het is namelijk aannemelijk dat hij op de link gaat klikken om te kijken welk evenement op dezelfde dag wordt gehouden ;)

Nogmaals, de technische details over het versturen van de uiteindelijke spear phishing e-mail heb ik met opzet weggelaten. Bovenstaande geeft weer waar de zwakke plekken zitten waar jezelf ook daadwerkelijk wat aan kunt doen.

Kortom, vergeet de LinkedIn e-mails en gebruik voor LinkedIn berichten alleen het Postvak IN!

vrijdag 13 december 2013

Dit kun je niet laten lopen!

Wauw! Een nieuwe iPad voor € 18,- 

Na een wat langere werkdag zat ik eindelijk op de bank met de voetjes omhoog om eens even het nieuws door te nemen. Op de site van De Gelderlander (had ook een andere site kunnen zijn) zag ik de volgende advertenties:


Deze advertenties worden aangeboden door Ligatus en staan dus niet alleen op de website van De Gelderlander, maar ook INGZiggoKPNEneco en de Staatloterij behoren tot hun klanten kring.

Een nieuwe iPad verkocht voor € 18,-. Gelijk schoten er twee dingen door mijn hoofd: “Ik wil nog wel het dubbele betalen!” en “Dit kan niet waar zijn!”. Om beide gedachten een kans te geven ging ik even op onderzoek uit. 

Klik!

Door op de advertentie te klikken kom je op de volgende pagina: 



Tja, ik wil ook wel weten hoe ik 95% bespaar op een iPad of iPhone. Heb ik we zelf niets aan dan kan ik grof geld verdienen door het door te verkopen! In de “blogpost” heeft de zogenaamde schrijfster dezelfde gedachten: “Dit kan niet waar zijn, dit moet ik onderzoeken!” . Vervolgens doet ze uitgebreid uit de doeken dat het echt werkt. Ik kan niet wachten…. 



Ze geeft zelfs aan dat als ik op “onze exclusieve link” link klik ik dezelfde korting krijg. Huh? Ze schrijft een blog in de ik-vorm en opeens heeft ze het over “onze link”. Werkt zij soms voor….? Bestaat zij eigenlijk wel…?

Lezerreacties

Onder aan de post staan de volgende “lezerreacties”:


Verschillende personen geven positieve reacties. Dat moet dus allemaal wel kloppen, toch? Toch? Eens even klikken op een van de profielen; Nigel. Er gebeurd niets. Reginald. Weer niets. Glyn. Ook niets. Eens reageren op een van de reacties om te kijken of dat wel gaat. Weer gebeurd er niets. Niets blijkt te werken; de Home-knop niet, de social media knoppen rechtsboven niet. De “Vind ik leuk”-links niet. Niets! Nou ja, de links naar MadBid natuurlijk wel ;)

Lees eens de echte gebruikerservaringen op bijvoorbeeld Tros Radar of op Fok. Op deze laatste wordt ook kort aangegeven hoe het werkt. Je moet eerst credits kopen om te kunnen bieden. Elk bod kost een of meerdere credits en wanneer je een bod doet is dit altijd 1 cent hoger dan het voorgaande bod. 

Terug naar de "blogpost" Dit is dus een 100% advertentie die er uitziet als een “eerlijke” gebruikers ervaring. Pure misleiding dus. 

Kortom; als het te mooi lijkt om waar te zijn, dan is het ook te mooi om waar te zijn. Lees goed, denk goed na en double check bij twijfel. 

Niets is wat het lijkt.

woensdag 11 december 2013

Buzzwords van 2013

De meest gebruikte woorden in LinkedIn profielen 

Het jaar 2013 loopt weer ten einde dus verschijnen er weer de bekende jaaroverzichten, zo ook van LinkedIn. De onderstaande infographic toont de meest gebruikte "buzzword" in LinkedIn profielen. 

Wereldwijd is het woord "responsible" het meest gebruikt in LinkedIn profielen. Op enige afstand gevolgd door "strategic". Ondanks dat alleen de Engelstalige profielen geanalyseerd zijn, is ook gekeken naar de meest gebruikte worden in bepaalde landen. In de meeste landen was sprake van een en dezelfde top 3: "responsible", "strategic" en "effective".

Ondanks deze overeenkomsten waren er ook een aantal uitzonderingen: zo is Nederland het enige land waar het woord "sustainable" in de top 10 staat.


dinsdag 22 oktober 2013

"Hallo, mag ik in uw boodschappentas kijken?"

Wat als u merkt wat de Bonuskaart allemaal doet?

Op een dag liep ik de supermarkt uit nadat ik zojuist de wekelijkse boodschappen had gedaan. "Goede morgen meneer, we zijn bezig met een klantenonderzoek en zouden graag wat gegevens van u noteren". Nog in gedacht van wat ik die middag allemaal zou gaan doen zeg ik "uuuh ja, dat is goed". Vervolgens laat ik mijn gegevens achter. "Wij zijn ook geïnteresseerd in de aankopen die individueel gedaan worden om zo onze dienstverlening te verbeteren door ons assortiment aan te passen aan uw koopgedrag.". Zonder aarzelen geef ik de kassabon af en laat deze kopiëren. Er volgt nog een "Bedankt voor de medewerking en graag tot ziens". 

Maandagavond kom ik uit mijn werk en die dag zorgt mijn vrouw voor het eten. Nog voor ik iets kan zeggen roept ze "Kun je nog even naar de supermarkt, je bent de mix voor de macaroni vergeten!". Met enige tegenzin spoed ik mij naar de supermarkt en vind snel wat ik nodig heb. Gelukkig, de rij bij de kassa is kort, dan ben ik weer lekker snel thuis. "Goede avond meneer Mulder, Ik dacht zaterdag al dat u de macaroni mix vergeten was! Fijne avond". Enigszins verbaasd loop ik naar mijn auto en mijn gedachten dwalen al weer snel af bij het horen van de muziek op de radio. 

In de maanden die volgen is de vriendelijke meneer nog altijd bezig met zijn klantenonderzoek en laat ik elke keer gewillig mijn kassabon scannen. 

Verjaardag

Op mijn verjaardag ontvang ik een felicitatie van de supermarkt waar ik regelmatig kom. Vreemd, hoe weten ze dat.... natuurlijk, ik heb zelf mijn geboortedatum afgegeven voor het klantenonderzoek. Per e-mail had ik de dag ervoor al de laatste aanbiedingen ontvangen voor mijn "verjaardagsfeestje". Erg attent van die supermarkt, zeker omdat mijn favoriete bier in de aanbieding blijkt. Tevens ontvang ik bij aankoop van 2 zakken chips de derde helemaal gratis. En ook de bitterballen (altijd een succes op mijn feestje) blijken in de aanbieding! Het lijkt wel of ze weten hoe ik mijn verjaardag vier. Het zal wel toeval zijn.... toch?

Snel de boodschappen doen voor het verjaardagsfeest, de aanbiedingen gelden vandaag nog. Eigenlijk was ik gisteren al jarig, maar zoals gewoonlijk vier ik mijn verjaardag in het weekend. Een verjaardagsfeestje op vrijdag is nu eenmaal praktischer (lees, “De volgende dag vrij.”).

"Meneer Mulder, nog gefeliciteerd met uw verjaardag gisteren. Zo te zien gaat u het nog vieren? Veel plezier" in de tussen tijd heb ik zoals gewoonlijk mijn kassabon weer laten kopiëren. Het is inmiddels al zo gewoonlijk dat ik vrijwillig op die meneer afstap om mijn bon te af te geven. 
Nog even snel naar de Gall & Gall want een paar vrienden drinken af en toe nog een glaasje whisky. Ik ben zoekende naar de fles die ik op de site heb gezien als de jongeman achter de toonbank mij te hup schiet; “Johnnie Walker Double Black staat links van u meneer Mulder”. Links staat inderdaad de fles die ik op internet had uitgekozen. “Hoe weet u dat ik deze fles zocht?” breng ik verbaasd uit. “Het is toch diegene die u zoekt?” antwoord de jongeman vriendelijk. “Ja” mompel ik in mezelf. 

Kater

Omdat ik zaterdag met een kater wakker werd heb ik maar besloten om 's-middags naar de supermarkt te gaan, kan ik mee eerst nog eens omdraaien. Nog half versuft loop ik tegen 4 uur de supermarkt binnen. "Laat geworden meneer Mulder?" klinkt het opgewekt. "Huh? hoe bedoeld u?" zeg ik met een nog schorre stem. "Normaal bent u er altijd tussen 9:15 en 9:50. We hadden het niet anders verwacht, mannen van uw leeftijd komen na hun eigen verjaardagsfeestje altijd veel later bij de supermarkt dan normaal". Verbaasd ga ik boodschappen doen. 

Dit verhaal is natuurlijk verzonnen. Het zal u nooit overkomen! U zou deze handelswijze nooit accepteren! Toch? Maar hoe denkt u dat de nieuwe Bonuskaart van de Albert Heijn werkt? Precies op dezelfde manier zoals hierboven omschreven, alleen dan zonder dat u het merkt!  

Gaat u de nieuwe Bonuskaart van Albert Heijn nog activeren?

Deze banner werkt natuurlijk niet ;)


Deze blogpost is ook gepubliceerd op Gespreksblog.nl.

woensdag 16 oktober 2013

Wakker worden!

De verborgen kracht van je LinkedIn netwerk

Vele van ons weten dat we sterke en zwakke connecties hebben in ons (LinkedIn) netwerk. Ik heb nu LinkedIn maar even tussen haakjes gezet omdat het ook geldt voor je "off-line" netwerk.

Sterke connecties
Als we echt iets nodig hebben vanuit ons netwerk zijn we geneigd dit te vragen aan onze sterke connecties, familie, vrienden, collega's. Dit zijn de personen die we vertrouwen, die ons wat gunnen en die ons goed kennen waardoor ze weten wat we nodig hebben en bedoelen.

Zwakke connecties
Door ons te focussen op deze sterke connecties vergeten we vaak de kracht van de "zwakke" connecties. Studies hebben uitgewezen dat kans dat je een nieuwe baan vindt via een zwakke connectie 58% groter is dan het vinden van een nieuwe baan via een sterke connectie.
Reden hiervoor is het feit dat we veel meer zwakke dan sterke connecties hebben, net zoals we veel meer "vrienden" hebben dan echte goede vrienden. Echter is er nog een reden; Sterke connecties hebben ook een "zwakte": redundantie. De relaties die we goed kennen, daarvan kennen we vaak ook al een deel van hun netwerk goed, er is een overlap. Niet alleen in personen, maar ook in kennis en informatie.

Slapende connecties
Er is nog een derde groep; de slapende connecties. Denk hierbij aan een goede vriend van vroeger, een klasgenootje waar je jaren lang alles mee gedeeld hebt of bijvoorbeelde die medestudent die in hetzelfde studentenhuis woonde een waarmee je vele kroegen hebt bezocht. Kortom, de sterke relaties van "vroeger"; Deze mensen kende ons destijds goed, gunde ons alles en vertrouwde ons volledig.
Het voordeel van deze slapende connecties is dat ze vaak hun eigen netwerk hebben opgebouwd. Ze hebben destijds gekozen voor een andere school of vervolgopleiding, zijn verhuisd of de vriendschap is verwaterd. Ze hebben een andere vriendenkring en zakelijk netwerk opgebouwd, daar liggen kansen als je oude tijden laat herleven.

Maak ze wakker!

Deze blogpost is gebaseerd op de Engelstalige blog Finding the hidden value in your network en ook gepubliceerd op Gespreksblog.nl.

dinsdag 23 juli 2013

Wat gebeurt er in één minuut op het internet?

Elke minuut worden er 20 identiteiten gestolen!


Tijdens het maken van een bewustwordingstraining kwam ik de onderstaande infographic van Intel tegen. Er staan en aantal leuke weetjes in maar ook een aantal interessante cijfers. Zo worden er elke minuut 20 identiteiten gestolen en 135 pc's geïnfecteerd met een botnet.

Die training is dus niet voor niets ;)

Deze blogpost is ook gepubliceerd op gespreksblog.nl

zondag 12 mei 2013

Facebook lidmaatschapsgeld?

Moeten we nu echt gaan betalen voor Facebook? 



Vandaag kwam ik er weer een tegen; een "officieel" bericht van Facebook, het was zelfs op televisie geweest! Dan moet het wel waar zijn, toch? NEE dus!

Het onderstaande bericht verscheen op mijn tijdlijn omdat een van mijn vrienden voor de zekerheid toch maar even gedaan had wat er gevraagd wordt:


Waarom zou Facebook jouw vragen om iets op je tijdlijn te plaatsen zodat het gebruik ervan gratis blijft? Zou het als niet logischer zijn dat ze het omgekeerd juist zouden willen; dat jij iets op je tijdlijn plaats om aan te geven dat je betaald hebt? Dat zou je vrienden stimuleren om ook te betalen, toch? 

Daarnaast heeft Facebook vast wel een grafisch ontwerper in dienst die er een mooier en kwalitatief beter plaatje van zou maken, dank je niet? 

Tevens verdient Facebook al genoeg aan jou... ;)

Kortom, het is weer een volgende poging om een nutteloos bericht zoveel mogelijk te laten delen... Niet doen dus, alsjeblieft.

Deze blogpost is ook gepubliceerd op gespreksblog.nl 

dinsdag 7 mei 2013

10 jaar online netwerken

LinkedIn is 10 jaar geworden, gefeliciteerd!


Afgelopen zondag (5 mei) vierde LinkedIn haar 10 jarige bestaan. sindsdien zijn er verschillende overzichten op internet verschenen. Twee vielen mij op en wil ik daarom graag met jullie delen:

De eerste is een presentatie die laat zien hoe we website door de jaren heen is veranderd:

De tweede is een interactieve inforgraphic met vele links naar foto's en aanvullende informatie. Leuk om eens doorheen te scrollen. Klik op de onderstaande afbeelding om de infographic te openen. 


Deze blogpost is ook gepubliceerd op gespreksblog.nl

vrijdag 22 maart 2013

De verkorte URL is handig, maar is deze ook veilig?

De analyse van een verdachte URL is niet moeilijk.

Door: Frank Mulder

Vooral de Twitteraars onder ons zullen het wel kennen, de verkorte URL's. T.co, bit.ly, TinyURL, goo.gl, fb.me, tr.im, bit.ly, owl.li en dlvr.it zijn enkele voorbeelden van diensten die een URL omzetten in een zo kort mogelijke URL. Handig voor de verzender, je houdt immers meer karakters over voor je eigen boodschap. Maar wat als je zo'n verkorte link tegenkomt / ontvangt...? Klikken! Dat is de eerste gedacht van bijna iedereen, onafhankelijk van de inhoud van het bericht.

Neem het onderstaande, waarschijnlijk zeer herkenbare, bericht:


Bij mensen die werkzaam zijn in de ICT security zal dit genoeg alarmbellen doen rinkelen; zij zullen niet op de verkorte URL klikken, ... toch?

Wanneer je een verkorte URL niet geheel vertrouwd is dit een interessante blog. Ondanks dat de tweede helft ervan echt voor de techneuten is, is de eerste helft interessant voor iedereen die met een PC werkt. Middels een aantal stappen kun je namelijk eenvoudig controleren wat er achter de verkorte link schuil gaat.

Verkorte URL's omzetten
De eerste stap is het achterhalen van de daadwerkelijke URL die je uiteindelijke gaat bezoeken als je op de verkorte link klikt. Hiervoor zijn een aantal sites die een ingekorte URL terugvertalen naar de achterliggende URL:

http://unshorten.it/
http://longurl.org/
http://unshort.me/
http://www.unshorten.com/

Wanneer je een verkorte URL via een van bovenstaande sites hebt omgezet naar de oorspronkelijk URL is het zaak deze eerst nader te bekijken. Middels een paar tips kun je snel bepalen hoe betrouwbaar een URL is. Onthoud wel; bij twijfel niet openen!

URL's
Om een URL te analyseren moet je weten hoe een URL eruit kan zien. In het algemeen zijn URL's als volgt opgebouwd:

protocol://gebruikersnaam:wachtwoord@host:poort/resource

Voorbeeld:


In dit voorbeeld wordt de pagina LinkedIn van de website www.degesprekspartners.nl geopend en wordt er aangemeld met de gebruikersnaam frank en het wachtwoord geheim. Afhankelijk van de browser die je gebruikt zal de genoemde pagina van onze website worden geopend. 

Misleiding
Wanneer je klikt op de bovenstaande voorbeeld link, zal onze website gewoon geopend worden zonder enige melding. Kortom, alles voor het @-teken wordt genegeerd wanneer dit niet geaccepteerd wordt door de website. 
Dus als we voor het @-teken iets plaatsen om de gebruiker te doen geloven dat hij op een betrouwbare site uitkomt, zal deze eerder geneigd zijn hier op te klikken. Neem de volgende link:


Ook hier geldt weer dat niet alle browsers deze link zullen openen, maar er zijn er genoeg die "gewoon" de website van De Gesprekspartners zullen openen.
Het probleem in dit voorbeeld zit natuurlijk in het begin. Gebruikers zien als eerste (en kijken meestal niet verder dan) http://bankieren.rabobank.nl. Dat ziet er vertrouwd uit dus KLIKKEN maar!

Vervang in de voorbeelden onze website met een malafide site (dat is wat cybercriminelen doen) en je computer raakt geïnfecteerd of je zit op een andere website dan je denkt, met alle gevolgen van dien. Tevens kan ik je garanderen dat cybercriminelen heel creatief en "professioneel" zijn in het misleiden van gebruikers. Je bent gewaarschuwd...

De genoemde blog bevat meer (technische) informatie voor de liefhebber.

Advies
In het algemeen zou ik adviseren om URL's waarin een gebruikersnaam en/of poortnummer staan niet te openen, tenzij je weet waarom deze erin staan en dat je begrijpt waarom deze erin staan.

Kortom, een verdachte verkorte URL om laten zetten naar de oorspronkelijke URL en deze even goed bekijken alvorens deze te openen. Kan een hoop ellende voorkomen.

Deze blogpost is ook gespubliceerd op gespreksblog.nl en door Panda Security.