Hoe openbare informatie gebruikt kan worden voor phising aanvallen

Geschreven door Kasper de Waard on date 3 januari 2022 Leestijd : 2 minuten

Hackers verkrijgen vaak de initiële toegang tot een netwerk met behulp van verschillende soorten social engineering-aanvallen. Een belangrijk onderdeel hierbij zijn phishing aanvallen. Een phising aanval is in bijna alle gevallen afhankelijk van angst, urgentie of iets dat gewoon te mooi is om waar te zijn.

In de basis zien we angst en urgentie het meeste, een paar voorbeelden hiervan zijn:

  • Een nepmail van de creditcard maatschappij over een frauduleuze aankoop
  • Iemand heeft je e-mail of computer gehackt en weet wat je doet op je pc.
  • Of een e-mail over belastingfraude of openstaande belastingen.

Gelukkig zien we in de praktijk dat werknemers van bedrijven steeds slimmer worden en in veel gevallen aanvallen via e-mail detecteren. Meestal wordt ten minste 1 op de 10 phising e-mails wel gerapporteerd aan de IT-beheerder of aan het securityteam.

Regelmatig uitvoeren van phising-campagnes is belangrijk

Het is waardevol om een paar keer per jaar phish-aanvallen te simuleren op uw eigen personeel, door dit regelmatig te doen kunt u meten of uw bedrijf beter wordt in het reageren op deze situaties, uw personeel blijft alert en de detectie graad onder het personeel neemt toe.

Voor het uitvoeren van phising campagnes zijn er online tal van geautomatiseerde tools te vinden om eenvoudige phishing-campagnes uit te voeren maar wij adviseren ook om campagnes uit te voeren met een meer handmatige aanpak. Hieronder leggen we uit waarom.

Het verschil tussen geautomatiseerd en gericht

Zoals bovenstaande voorbeelden over angst en urgentie is dit type phising vaak algemeen van aard en gericht aan een grote groep personen of bedrijven. Hierdoor zijn ze vaak makkelijk te herkennen. Een aanvaller die gericht te werk gaat zal echter zijn of haar verkenningen baseren op open source intelligence (OSINT).

De aanvaller kan bijvoorbeeld DNS-records gebruiken van het bedrijf om vast te stellen dat de organisatie Office 365 gebruikt en deze kennis misbruiken om een realistische phising campagne te lanceren tegen het bedrijf. Daarnaast kan een aanvaller proberen gelekte e-mails van het bedrijf te vinden, meta data van programma’s te verzamelen die mogelijk worden gebruikt in de organisatie en deze misbruiken door beheerder false informatie over nieuwe functies, systeemupgrades te sturen. Maar denk ook aan informatie over fusies, lease maatschappijen etc.

Wat kan ik hier tegen doen?

Veel informatie is publiek toegankelijk voor aanvallers. Begin eens met het googlen van uw bedrijf of naam en kijk of wat uw tegenkomt is wat u ook verwacht aan informatie. Neem de website eens door, staat daar persoonlijke informatie op die misschien misbruikt kan worden?

Wilt u weten of uw bedrijf vatbaar is voor social engineering of wat uw bedrijf allemaal aan informatie op internet en het darknet heeft staan? Wij helpen u uiteraard graag!