Elke dag worden er 100 miljard e-mails verzonden. Hoeveel heb jij er vandaag al gekregen? En ga nu zelf eens even kijken, wat zit daar allemaal tussen – ongetwijfeld winkelaanbiedingen, misschien een bericht van de bank of een e-mail van een vriend met langverwachte vakantiefoto's. Je denkt dat die e-mails afkomstig zijn van online winkels, de bank en een vriend, maar hoe weet je nu of deze e-mails echt zijn en geen phishing-e-mails zijn?
Wat is phishing?
Phishing is een grootschalige aanval waarbij een hacker een e-mail vervalst zodat het lijkt of deze afkomstig is van een legitiem bedrijf (bv. een bank), meestal met de bedoeling om de nietsvermoedende ontvanger malware te laten downloaden of vertrouwelijke gegevens te laten invoeren op een phishingwebsite (een website die er echt uitziet maar die in feite wordt gebruikt om mensen te misleiden om hun gegevens prijs te geven), waar ze toegankelijk zijn voor de hacker. Phishingaanvallen kunnen naar een groot aantal e-mailontvangers worden verzonden in de hoop dat zelfs een beperkt aantal antwoorden tot een succesvolle aanval zal leiden.
Wat is spear phishing?
Spear phishing is een vorm van phishing waarbij gewoonlijk een gerichte aanval tegen een persoon of een organisatie wordt uitgevoerd. Spear is het Engelse woord voor speer en verwijst naar jagen met een speer. Bij spear phishing geeft een aanvaller zich vaak uit voor een medewerker of afdeling van de organisatie. Zo kan je bijvoorbeeld een e-mail ontvangen die ogenschijnlijk afkomstig is van de IT-deling en waarin ze vragen om jouw gebruikersgegevens opnieuw in te voeren op een bepaalde site, of een e-mail van HR met het "nieuwe beloningspakket" als bijlage.
Waarom is phishing zo gevaarlijk?
Phishing is zo gevaarlijk omdat dit soort berichten soms heel moeilijk te identificeren zijn – volgens sommige studies ziet maar liefst 94% van de werknemers het verschil niet tussen een echte e-mail en een phishing-e-mail. Dat heeft tot gevolg dat maar liefst 11% van de ontvangers op de bijlagen in deze e-mails klikt, die vaak malware bevatten. Je denkt misschien dat dat niet zo erg is, maar uit een recent onderzoek van Intel is gebleken dat maar liefst 95% van de aanvallen op bedrijfsnetwerken het gevolg zijn van succesvolle spear phishing. Spear phishing is dus duidelijk een bedreiging die we ernstig moeten nemen.
Ontvangers zien vaak het verschil niet tussen echte en valse e-mails. Soms zijn er opvallende aanwijzingen zoals spelfouten en een .exe-bestand als bijlage, maar vaak is dit moeilijker te zien. Een Word-bestand dat een macro uitvoert wanneer het wordt geopend is onmogelijk te detecteren, maar even fataal.
Zelfs experten worden het slachtoffer van phishing
Uit een studie van Kapost blijkt dat 96% van de managers 100% van de tijd niet het verschil ziet tussen een echte e-mail en een phishing-e-mail. Hiermee wil ik aantonen dat zelfs mensen die aandacht hebben voor veiligheid gevaar kunnen lopen. De kansen zijn echter groter bij mensen die zich hier niet van bewust zijn. Hieronder kan je lezen hoe gemakkelijk het is om een e-mail te vervalsen.
Een valse e-mail maken is heel eenvoudig
In deze demo kan je zien hoe eenvoudig het is om een valse e-mail te maken met een SMTP-tool die je gewoon van internet kan downloaden. Je kan een domein en gebruikers aanmaken van op de server of rechtstreeks met een eigen Outlook-account. We hebben de adressen bill.gates@microsoft.com en barrack.obama@whitehouse.gov aangemaakt om te laten zien wat allemaal mogelijk is.
We kunnen rechtstreeks vanuit Outlook e-mails beginnen verzenden met deze adressen. Dit is een valse e-mail die we hebben verzonden via netbanking@barclays.com.
We hebben ook een filmpje gemaakt van deze demo. Klik hier als je het proces zelf wilt bekijken.
Je ziet hoe gemakkelijk een hacker een e-mailadres kan aanmaken en een valse e-mail kan sturen om persoonlijke gegevens te stelen. Je kan je zomaar uitgeven voor wie je maar wil en iedereen kan zich voor jou uitgeven. Dit is een akelige waarheid, maar het goede nieuws is dat er oplossingen zijn, waaronder digitale certificaten.
Wat is een digitaal certificaat?
Een digitaal certificaat is vergelijkbaar met een virtuele identiteitskaart. Het laat een gebruiker weten dat jij de persoon bent die jij zegt die je bent. Net zoals identiteitskaarten uitgereikt door overheden, worden digitale certificaten uitgegeven door certificaatautoriteiten (CA's). Net zoals een overheid jouw identiteit controleert voordat ze een identiteitskaart uitreikt, voert een CA een validatieproces uit om na te gaan of u de persoon bent die je zegt dat je bent.
Er zijn verschillende niveaus van validatie. In de eenvoudigste vorm controleren we enkel of het e-mailadres eigendom is van de aanvrager. Op het tweede niveau controleren we de identiteit (bv. identiteitskaart) om zeker te zijn dat de persoon is wie hij zegt dat hij is. Hogere validatieniveaus omvatten de verificatie van het bedrijf en de fysieke locatie van de persoon.
Met behulp van een digitaal certificaat kan je een e-mail digitaal ondertekenen en versleutelen. In dit artikel leg ik uit wat het digitaal ondertekenen van een e-mail precies inhoudt. (Binnenkort volgt een artikel over de versleuteling van e-mails!)
Digitale handtekeningen gebruiken in e-mails
Als een e-mail digitaal wordt ondertekend, ziet de ontvanger dat de e-mail afkomstig is van een betrouwbare bron.
In de bovenstaande afbeelding zie je dat de geverifieerde identiteit van de afzender duidelijk wordt weergegeven in de e-mail. Op deze manier kunnen valse afzenders gemakkelijker worden geïdentificeerd en phishing worden voorkomen.
Behalve de oorsprong van de e-mail, bewijst een digitaal ondertekende e-mail ook het volgende:
- Ontegensprekelijkheid: omdat een persoonlijk certificaat van een bepaald persoon werd gebruikt om de e-mail te ondertekenen, kan de persoon later niet beweren dat hij de e-mail niet heeft ondertekend
- Integriteit van het bericht: wanneer de ontvanger de e-mail opent, controleert zijn e-mailclient of de inhoud van de e-mail hetzelfde is als toen de handtekening werd toegepast. Zelfs bij de kleinste wijziging aan het originele document mislukt deze controle.
Voor verdere informatie over het digitaal ondertekenen van e-mails en hoe een geldig of ongeldig S/MIME digitaal certificaat eruitziet, kan je in ons webinar E-mailbeveiliging met behulp van digitale handtekeningen en encryptie bekijken.
