Een tijdje terug ging het even helemaal mis bij online bank bunq. Cybercriminelen maakten gebruik van phishingtechnieken en overtuigende persoonlijke telefoongesprekken om zo de klanten van de online bank op te lichten voor duizenden euro’s. In deze blog legt Lex Borger, Information Security Consultant bij Tesorion, uit hoe organisaties waakzaam kunnen blijven en zich beter kunnen beschermen tegen dergelijke acties van cybercriminelen.
De digitale aanwezigheid van een organisatie is haast oneindig, met merk- en domeinnamen en IP-adressen in alle uithoeken van de wereld. Met zo’n groot aanvalsoppervlak lijkt het voor cyberaanvallers een koud kunstje klanten te misleiden en misbruik te maken van sterke merken. Kijk hoe het recentelijk bij online bank bunq ging, waar klanten beduveld werden doordat cybercriminelen op slinkse wijze gebruik maakten van phishingtechnieken gecombineerd met overtuigende, persoonlijke telefoongesprekken. Veel klanten dachten ten onrechte echt met de online bank zaken te doen. Toch gingen er niet direct alarmbellen rinkelen bij het bedrijf. Wat kun je doen om je digitale identiteit, je klanten en sitebezoekers tegen dergelijke malafide praktijken te beschermen?
Digitale aanwezigheid kent geen grenzen
De verregaande globalisering, mede als gevolg van de opkomst van breedband internet, heeft er onder andere toe geleid dat een groot aantal organisaties online internationaal actief is. Een lokale vestiging in een land is niet meer noodzakelijk om zaken te doen. Vele hebben een website of webshop, afgestemd op de lokale doelgroep, zonder een fysieke aanwezigheid in de regio. De digitale aanwezigheid kent dus geen grenzen. Daar staat tegenover dat het bijna onmogelijk lijkt om zaken als logo’s, je merk, merk- of domeinnamen over de hele wereld te monitoren en te beschermen. Dat is echter wel noodzakelijk. Cybercriminelen hebben zich namelijk toegelegd op het ontwikkelen van websites die een exacte kopie zijn van bestaande, waarbij logo’s en andere bedrijfskenmerken schaamteloos worden nagemaakt. Dit noemen we, in analogie met phishingmails, phishingsites. Ze zijn bijna niet van de echte te onderscheiden.
Persoonlijke gegevens stelen
Klanten komen op deze malafide websites terecht via verschillende slinkse methoden, die we kunnen scharen onder de noemer domeinnaam spoofing. Denk hierbij aan domeinnaam lookalikes, zoals amazom[.]com, goggle[.]com of go-ogle[.]com. Cybercriminelen registreren domeinnamen die sterk lijken op die van legitieme bedrijven. Consumenten denken dat ze met het echte bedrijf te maken hebben, plaatsen bestellingen en raken hun geld kwijt. De lookalikes worden ook ingezet om persoonlijke gegevens te stelen. De klant wordt gevraagd zijn accountgegevens in te voeren, die vervolgens door de cybercriminelen gebruikt of verhandeld kunnen worden.
Cooolblue of coolbleu
Vaak komen klanten van bedrijven op deze lookalike websites via phishingmails. Doordat de site zo echt lijkt, zijn zij zich niet bewust van de misleiding. Want wees eens eerlijk: hoe vaak ga je zelf met je muis over de URL in de mail om te controleren of deze juist is; vóórdat je op een linkje klikt? Een andere manier om onbewust op een nepwebsite te komen, is het maken van een tikfout in de URL-regel van de browser. Cybercriminelen spelen hierop in, ook weer door domeinnamen te registreren. We noemen dit fenomeen typosquatting. Dit is vergelijkbaar met het voorbeeld van amazom. In Nederland kun je denken aan cooolblue[.]nl of coolbleu[.]nl in plaats van coolblue[.]nl. Typosquatters gaan ervan uit dat gebruikers een fout maken bij het typen van de URL en vervolgens op de frauduleuze site terechtkomen. Overigens heeft Coolblue ervoor gezorgd dat in deze specifieke voorbeelden de klant op de juiste site komt. Een mooi voorbeeld van een organisatie die zich bewust is dat cybersecurity niet stopt aan de rand van het eigen netwerk.
> LEES OOK: Hoe voorkom je een digitale crisis?
Waakzaam blijven
Dit soort vormen van fraude bereikt een piek bij grootschalige gebeurtenissen. Na het CrowdStrike Blue Screen of Death incident op 19 juli jl. zijn er wereldwijd talloze websites opgetuigd waar zogenaamd dé oplossing voor het probleem kan worden gevonden. Denk aan crowdstrike-helpdesk[.]com of crowdstrike-bsod[.]com. Voor een flinke som geld of na het achterlaten van allerlei klantgegevens ben je geheel uit de zorgen, zo luidt de belofte. CrowdStrike zelf heeft het toegenomen dreigingslandschap onderkend en dringt er bij klanten op aan waakzaam te blijven en uitsluitend op officiële communicatiekanalen te vertrouwen. Wie onverhoopt kwaadaardige software downloadt, kan immers nog verder in de problemen raken met malware.
De gevolgen van dit soort praktijken kunnen groot zijn. Het gaat niet alleen om financiële schade, maar ook om reputatieschade. De schuldigen zijn natuurlijk de cybercriminelen, maar de consumenten die slachtoffer worden, komen toch bij jou als merk of bedrijf verhaal halen. Zorg er dan ook voor dat phishing-sites en typosquatters die misbruik maken van jouw domein- en merknamen opgespoord en offline gehaald worden. Dit kwetsbare element in je aanvalsoppervlak moet je identificeren en in een vroeg stadium verhelpen.
Intelligence Driven Protection
Voor organisaties is het echter een uitdaging om 24/7 wereldwijd het internet te monitoren op nepsites. Hoe ga je deze sites detecteren en offline halen? Handmatige controles zijn ondoenlijk. Daarom zijn AI en machine learning – in combinatie met cyberbeveiligingsexpertise – nodig om monitoring en detectie te automatiseren. Ook predictive tooling, zoals Intelligence Driven Protection (IDP) is belangrijk. Daarbij wordt gebruik gemaakt van verzamelde en geanalyseerde gegevens over mogelijke dreigingen om proactief beveiligingsmaatregelen te implementeren. Zo kun je onder andere snel valse websites, social media-accounts en mobiele apps die zich voordoen als jouw merk ontdekken. Deze technologieën passen detectieparameters voortdurend aan op basis van veranderende dreigingen.
> LEES OOK: Vers van de pers: Security Management nummer 4 over Crisismanagement
Site uit de lucht halen
Daarnaast kan je als organisatie uiteraard ook proactief een aantal praktische maatregelen treffen: registreer alle domeinnamen die ook maar een beetje op die van jezelf lijken qua spelling of klank – zoals Coolblue heeft gedaan. Je kunt echter niet alle mogelijkheden vooraf registreren. Dus zul je ervoor moeten zorgen dat er ook gemonitord wordt op nepsites, die na detectie direct worden aangemeld als zodanig bij de provider, die vervolgens de site uit de lucht hoort te halen.
Ten slotte blijft het noodzakelijk om het hele ecosysteem te betrekken. Ga ervan uit dat cybercriminelen misbruik zullen maken van jouw digitale identiteit en eigendommen. Bereid je erop voor, spoor ze op en maak hen het leven zo lastig mogelijk. Breng het bewustzijn van je medewerkers op peil. Betrek je klanten hierbij door hen duidelijk te informeren over de manier waarop jouw organisatie contact zoekt. Praat hen hierbij geen angst aan, maar bied ze mogelijkheden om snel en eenvoudig te melden wanneer ze slachtoffer zijn van een phishingaanval of gegevens hebben ingevuld op een nepwebsite. Stimuleer hen om aangifte te doen van fraude of oplichting. Kortom: maak duidelijk dat zij onderdeel zijn van de oplossing en dat je alleen samen een vuist kan maken tegen cybercriminelen.
Door Lex Borger, Information Security Consultant bij Tesorion
Volg Security Management op LinkedIn