Er zijn veel verschillen tussen phishing, spear phishing en social engineering aanvallen, maar ze worden vaak door elkaar en onjuist gebruikt. Dat zorgt voor verwarring bij het beschrijven van aanvallen en het plannen van verdediging. Het is belangrijk om deze aanvalstypen te begrijpen.
In ons overzicht van de 5 kwellingen van cyberaanvallen wezen we erop dat 60% van de bedrijven aangaf het afgelopen jaar slachtoffer te zijn geweest van social engineering-aanvallen en dat 61% spear phishing zag als een van de belangrijkste bedreigingen van dit moment. Andere rapporten laten zien dat 91% van alle cyberaanvallen begint met een phishing- of spear phishing-campagne en Proofpoint ontdekte dat 99,7% van de documenten die worden gebruikt in campagnes op basis van bijlagen, gebaseerd zijn op social engineering en macro's.
Begrepen? Oké. Team Graphus een aantal duidelijke definities van phishing, spear phishing en social engineering opgesteld. We hebben ook enkele voorbeelden toegevoegd en als bonusterm 'whaling' opgenomen. Een gemeenschappelijk begrip van deze termen kan IT-organisaties en bedrijfsleiders helpen om duidelijker te communiceren en beter samen te werken bij de verdediging tegen de meest voorkomende vormen van succesvolle cyberaanvallen.
Wat is phishing?
Traditionele phishing-zwendel werpt een breed net uit in de hoop een paar onoplettende slachtoffers te vangen. Meestal ontvangt het doelwit een e-mail die er legitiem uitziet en de persoon waarschuwt dat ze moeten inloggen op een website om een bepaalde actie uit te voeren. De e-mail bevat een link naar wat een legitieme website lijkt en het slachtoffer wordt gevraagd om zijn accountgegevens in te voeren. Eenmaal ingevoerd, zal de cybercrimineel die informatie gebruiken om te stelen, fraude te plegen of nog meer waardevolle informatie te verkrijgen. De aanvalsstrategie bestaat erin een groot aantal potentiële slachtoffers te contacteren in de hoop er een handvol te vinden die doorklikken en in de list trappen.
Wat zijn enkele Phishing-voorbeelden?
Bij phishing-aanvallen gaat het meestal om een schadelijke bijlage of een schadelijke link naar een gecompromitteerde website. Ars Technica berichtte in 2016 over verschillende door phishing geïnitieerde ransomware-aanvallen tegen ziekenhuizen.
"Maart is geen goede maand geweest voor ziekenhuis-IT. Vorige week betaalde het personeel van het Methodist Hospital in Henderson, Kentucky, naar verluidt 17.000 dollar losgeld om de systemen van het ziekenhuis te herstellen, hoewel bronnen die bekend zijn met het voorval zeggen dat het ziekenhuis veel meer heeft betaald. En in Californië werden twee ziekenhuizen van Prime Healthcare Management, Inc. gedwongen hun systemen af te sluiten. De Prime ransomware aanval veroorzaakte ook verstoringen van de dienstverlening in verschillende andere ziekenhuizen en bij aangesloten zorgverleners omdat gedeelde systemen offline werden gehaald...De Methodist Hospital en Prime Healthcare ransomware aanvallen kwamen binnen via "phishing" e-mails."
Wat is Spear Phishing?
Bij spear phishing gaat het daarentegen om kleine aantallen contacten die een hoge conversieratio opleveren. Spear phishers verkrijgen privé-informatie door de achtergrond van personen en bedrijven te onderzoeken op sociale media, bedrijfswebsites en andere openbaar beschikbare informatie. Cybercriminelen gebruiken die gerichte informatie om het slachtoffer ervan te overtuigen een taak uit te voeren of informatie te delen.
Wat zijn enkele voorbeelden van Spear Phishing?
Een recent artikel van de Berks County, Pennsylvania lokale nieuwssite geeft een goed voorbeeld.
"Weidenhammer is het slachtoffer geworden van een spear phishing-aanval, waardoor 100 procent van onze W-2-formulieren voor 2016 naar een onbekende partij is overgedragen", meldde de oprichter van Weidenhammer Systems Corporation in 2017 aan zijn werknemers. "U moet ervan uitgaan dat uw Security , uw woonadres, uw inkomsten over 2016 en alle belastinginhoudingen die op een W-2-formulier zouden staan, zijn gecompromitteerd."
"De daders zijn al begonnen met het gebruiken van de informatie om frauduleuze federale en staatsbelastingaangiften voor 2016 in te dienen, leningen voor eigen vermogen aan te vragen en creditcardrekeningen te openen/frauderen," zei John Weidenhammer.
Dit voorbeeld illustreert hoe snel een spear phishing-zwendel company kan oplichten. Het meest voorkomende gevaar is echter rechtstreeks gericht op de company of intellectuele eigendom company . Het Infosec Institute heeft details vastgelegd van een andere spear phishing-aanval op Ubiquiti Networks in 2015.
"De potentiële destructiviteit van een spear phishing-aanval voor een bedrijf wordt duidelijk geïllustreerd door het geval van Ubiquiti Networks Inc., een Amerikaans netwerktechnologiebedrijf voor serviceproviders en ondernemingen. In juni 2015 verloor het bedrijf 46,7 miljoen dollar als gevolg van een spear phishing-e-mail. Uit een rapport van de Amerikaanse Securities and Exchange Commission blijkt dat de aanval werd uitgevoerd door middel van 'identiteitsfraude van werknemers en frauduleuze verzoeken van een externe entiteit die zich richtte op de financiële afdeling Company'."
Wat is walvisvaart?
Dit is een nieuwere term en is simpelweg een spear phishing-aanval gericht op senior leidinggevenden, de walvissen. Whaling kan lijken op spear phishing of social engineering, maar onderscheidt zich door wie in de organisatie het doelwit is. Leidinggevenden hebben misschien wat extra training nodig om dit soort aanvallen te herkennen en ze hebben zeker wat extra bescherming nodig van technologische oplossingen die incidenten kunnen voorkomen voordat ze plaatsvinden. Als u beschermd bent tegen spear phishing, kunt u ervan uitgaan dat u ook beschermd bent tegen Whaling.
Wat is een voorbeeld van walvisvaart?
Een voorbeeld van whaling uit 2016 betreft het bekende company , bekend van de populaire app Snapchat. Digital Guardian gaf deze samenvatting van de aanval.
Begin 2016 werd de sociale media-app Snapchat het slachtoffer van een walvisaanval toen een hooggeplaatste werknemer werd gemaild door een cybercrimineel die zich voordeed als de CEO en werd misleid om salarisgegevens van werknemers vrij te geven.
Een aanval in 2015 was gericht op Mattel, de wereldberoemde fabrikant van Barbie en ander speelgoed. CBS News berichtte:
"De e-mail leek onopvallend: een routineverzoek van de directeur van Mattel voor een nieuwe betaling aan een leverancier in China... De financieel directeur die het briefje kreeg, was er natuurlijk op gebrand om haar nieuwe baas een plezier te doen. Ze controleerde het protocol dubbel. Voor het overmaken van geld was de goedkeuring nodig van twee hoge managers. Ze was gekwalificeerd en de CEO ook... Tevreden maakte de manager meer dan $3 miljoen over naar de Bank of Wenzhou in China. Uren later noemde ze de betaling aan Sinclair. Maar hij had hier niet om gevraagd."
Wat is social engineering?
Terwijl phishing meestal gebaseerd is op e-mail, bijlagen en webpagina's om privégegevens buit te maken, kan social engineering deze gebruiken, de telefoon of een willekeurig aantal andere methoden. Bij social engineering worden mensen psychologisch gemanipuleerd om informatie vrij te geven of ongepaste acties te ondernemen. Vaak hebben slachtoffers geen idee dat ze iets verkeerd hebben gedaan totdat de fraude later aan het licht komt. Net als spear phishing zijn social engineering-aanvallen zeer gericht op een klein aantal potentiële slachtoffers.
Wat zijn enkele voorbeelden van Social Engineering-aanvallen?
In een recent artikel in USA Today wordt een social engineering-aanvalstechniek beschreven die in 2016 werd gebruikt.
"In een van de recentere varianten van deze zwendel nemen de criminelen, die zich voordoen als advocaten, contact op met company beoogde company en beweren dat ze belangrijke, vertrouwelijke of uiterst tijdgevoelige zaken behandelen. Ze oefenen psychologische druk uit om de company te misleiden en hem of haar ertoe te brengen het geld naar de oplichters over te maken."
Een ander voorbeeld is afkomstig van Smartfile. Het schetst een aanval op de FBI met behulp van een eenvoudige social engineering-techniek die werd geïnitieerd via een telefoongesprek.
"Dus belde ik [de helpdesk] op, vertelde hen dat ik nieuw was en niet begreep hoe ik langs [het portaal] moest komen,' vertelde de hacker aan Motherboard. Ze vroegen of ik een tokencode had, ik zei nee, ze zeiden dat dat prima was - gebruik gewoon onze code. Ik klikte erop en had volledige toegang tot de computer.
Kort daarna werden 20.000 FBI- en 9.000 Department of Homeland Security openbaar gemaakt. De hacker kreeg toegang tot de namen van werknemers en zelfs tot creditcardgegevens. Op basis van de IBM-norm voor de kosten per geschonden record in 2015 (170 dollar per record op basis van kwaadwillige activiteiten) gaat het om een verlies van bijna 5 miljoen dollar tijdens een telefoongesprek van 2 minuten. Het bedrag was waarschijnlijk nog hoger, gezien de hoeveelheid creditcardgegevens en de nog onbekende gevolgen van de toegang tot security over de nationale security ."
Wat hebben deze aanvallen gemeen?
Al deze technieken kunnen leiden tot het compromitteren van accountgegevens, het gebruik van kwaadaardige links of malware als onderdeel van de aanvallen. Veel security maken gebruik van meerdere tools, technieken en procedures (TTP), zoals de branche zegt. Maar de meeste beginnen met een eenvoudige e-mail. Phishing, spear phishing, whaling en social engineering worden doorgaans gebruikt als toegangspunt om een aanval te starten of als escalatiepunt om gemakkelijker toegang te krijgen tot waardevolle informatie of meer schadelijke acties uit te voeren.
Ze maken ook allemaal gebruik van inbreuktechnieken die zelfs de beste inbraakpreventie- en endpoint niet kunnen tegenhouden. Uw werknemers laten deze mensen via de voordeur binnen. Soms plegen uw werknemers onbewust diefstal namens de crimineel.
Graphus u vertrouwen te meten en compromissen te voorkomen
Graphus een manier gevonden om bijna al deze aanvallen te stoppen door bekende indicatoren van misleiding te identificeren EN een grafiek op te stellen van vertrouwde relaties tussen uw medewerkers en de buitenwereld. Dit gaat veel verder dan de e-mailbeveiliging van Google of anti-phishingtraining. Beide oplossingen helpen, maar laten veel te veel aanvallen door. Een rapport van ISMG suggereert dat 65% van alle social engineering-aanvallen deze traditionele verdedigingsmechanismen met succes omzeilt. Door grafentheorie te combineren met machine learning en big data-algoritmen kan Graphus spear phishing- en social engineering-aanvallen Graphus .
