Slide 1

Phishing aanvallen voorspellen

Phishing is nog steeds een van de primaire aanvalsvectoren om organisaties binnen te dringen (bron: Verizon Data Breach Investigation Report 2022, zie afbeelding). Maar wat zijn eenvoudige stappen die je als organisatie kunt ondernemen om phishing aanvallen te voorspellen en tegen te werken?

1. Uitgelekte data

Dagelijks worden organisaties aangevallen en wordt informatie gestolen, verhandeld of gepubliceerd op het internet, bijvoorbeeld via hacker fora of het darkweb. Zodra de buitgemaakte informatie ‘op straat komt te liggen’ neemt de kans op (pogingen tot) misbruik aanzienlijk toe. Het is daarom belangrijk om pro actief te monitoren op uitgelekte gegevens van uw organisatie en medewerkers.

Om consumenten en organisaties hierin te ondersteunen heeft Troy Hunt Have I Been Pwned (HIBP) opgericht. Via HIBP kan men aan de hand van een domeinnaam, e-mail adres of telefoonnummer vaststellen of die voorkomen in uitgelekte informatie. Hierbij wordt aangegeven welke gegevens er zijn buitgemaakt, zoals e-mail adressen, namen, bankrekeningnummers of woonadressen. Deze gegevens kunnen dus potentieel misbruikt worden door degenen die daarover beschikken.

Organisaties kunnen zich gratis aanmelden bij HIBP om op basis van domeinnamen te monitoren op uitgelekte informatie. De organisatie krijgt dan een notificatie zodra de opgegeven domeinnaam voorkomt in nieuwe uitgelekte gegevens. Hierdoor kan een organisatie snel reageren door bijvoorbeeld:

  • Wachtwoorden te resetten;
  • Logbestanden analyseren om ongeautoriseerde toegang tot accounts vast te stellen;
  • Medewerkers pro actief te informeren over te verwachten phishing aanvallen (mail, SMS, telefonisch, brieven, social media, etc.);
  • Contact op te nemen met de lekkende partij over het incident voor nader onderzoek en opvolging daarvan.

Wij adviseren alle organisaties om hun domeinnamen aan te melden om detectie en reactie op uitgelekte gegevens te bevorderen. https://haveibeenpwned.com/DomainSearch

2. Monitoren merknamen

Veel organisaties beschikken over meerdere domeinnamen en hebben daar vaak geen (volledig) overzicht van. In de praktijk merken wij dan ook dat de meeste organisaties niet actief monitoren op (potentieel) misbruik van hun merknamen. Cybercriminelen gebruiken bij phishing aanvallen vaak domeinnamen die sterk lijken op domeinnamen die de organisatie gebruikt (zogenaamde ‘typosquat’ of ‘doppelganger’ domeinen). Hierdoor is het voor medewerkers lastig(er) om te herkennen dat het phishing betreft.

Dnstwist is een DNS fuzzing tool waarmee potentiële malafide domeinen geïdentificeerd kunnen worden. In de onderstaande afbeelding is een voorbeeld ingevoegd van geregistreerde typosquat domeinen voor google.com. Maar zijn deze domeinnamen daadwerkelijk van Google of niet? Dit is voor het merendeel van de mensen niet (direct) duidelijk. Pro actief monitoren op typosquat en doppelganger domeinen zorgt ervoor dat je als organisatie maatregelen kunt treffen, zoals:

  • Monitoring aan te scherpen voor de typosquat/doppelganger domeinnamen, inkomende e-mails vanaf deze domeinen blokkeren en uitgaand verkeer naar deze domeinnamen blokkeren;
  • De domeinnamen nader analyseren om vast te stellen of deze bijvoorbeeld nagemaakte loginportalen of e-mail functionaliteiten bevatten;
  • Who is gegevens opvragen om de eigenaar vast te stellen en eventueel misbruik te kunnen melden bij de registrar;
  • Medewerkers en de buitenwereld pro actief informeren over het feit dat bepaalde domeinnamen niet van de organisatie zijn, waardoor zij phishing beter kunnen herkennen;
  • Nieuw geregistreerde typosquat/doppelganger domeinen nauwlettend te monitoren om phishing te kunnen voorspellen.

Dnstwist is open source en via Github te downloaden. Wij adviseren alle organisaties om pro actief te monitoren op typosquat/doppelganger domeinen via bijvoorbeeld Dnstwist.

https://github.com/elceef/dnstwist