Het bestrijden van vertraagde phishing

Phishing-links in e-mails naar bedrijfsmedewerkers worden vaak pas actief ná een initiële scan. Maar kunnen en moeten nog altijd gedetecteerd worden.

Phishing is al lange tijd een grote aanvalsvector gericht op bedrijfsnetwerken. Het is dus geen verrassing dat alles en iedereen, van e-mailproviders tot mail gateways en zelfs browsers anti-phishing-filters en scanners voor schadelijke adressen gebruiken. Daarom zijn cybercriminelen constant bezig met het bedenken van nieuwe en het verfijnen van oude methodes om deze beveiliging te omzeilen. Een van die methodes is “vertraagde phishing”.

Wat is vertraagde phishing?

Vertraagde phishing is een poging om een slachtoffer naar een schadelijke of valse site te lokken met gebruik van een techniek die bekend staat als Post-Delivery Weaponized URL. Zoals de naam al suggereert, vervangt deze techniek in feite online content door een schadelijke versie ná de levering van een e-mail die hiernaartoe linkt. In andere woorden: het potentiële slachtoffer ontvangt een e-mail met een link die ofwel nergens naartoe leidt of juist naar een legitieme site die al gecompromitteerd is maar die op dat moment nog geen schadelijke content bevat. Het resultaat hiervan is dat de e-mail zo door alle filters heen komt. De beschermingsalgoritmes vinden de URL in de tekst, scannen de gelinkte website, vinden hier niets gevaarlijks en laten het bericht dus door.

Op een bepaald moment na de levering van de e-mail (altijd nadat het bericht is afgeleverd en idealiter voordat het is gelezen), wijzigen de cybercriminelen de website waar het bericht naar linkt of activeren ze schadelijke content op een pagina die daarvoor nog onschuldig was. De list kan van alles zijn: van een nagebootste bankwebsite tot een browser-exploit die poogt om malware op de computer van het slachtoffer te krijgen. Maar in 80% van de gevallen is het een phishing-site.

Hoe worden de anti-phishing-algoritmes voor de gek gehouden?

Cybercriminelen gebruiken een van deze drie methodes om hun berichten langs de filters te krijgen:

  • Gebruik van een simpele link. In dit type aanval beheren de daders de doelwebsite, die ze ofwel zelf helemaal hebben gecreëerd of gehackt en gekaapt hebben. Cybercriminelen geven de voorkeur aan die laatste optie. Deze websites hebben vaak een positieve reputatie en daar houden beveiligingsalgoritmes van. Op het moment van de levering leidt de link ofwel naar een betekenisloze site, of (en dit is gebruikelijker) naar een pagina met een 404-foutmelding.
  • De wisseltruc met de korte link. Er zijn tal van online tools waarmee een lange URL in een korte kan worden omgezet. Korte links maken het leven van gebruikers gemakkelijker. In werkelijkheid breidt een korte, eenvoudig te onthouden link zich uit tot een langere. In andere woorden: er wordt een eenvoudige doorverwijzing geactiveerd. Bij sommige diensten kunt u verborgen content verbergen achter een korte link. Dit is een achterdeurtje waar aanvallers gretig gebruik van maken. Op het moment van levering van het bericht verwijst de URL naar een legitieme website, maar na een tijdje wordt die veranderd in een schadelijke site.
  • Bericht met een gerandomiseerde en korte link. Sommige tools voor het inkorten van links staan probabilistische doorverwijzing toe. Dit wil zeggen dat de link een kans van 50% heeft om naar google.com door te verwijzen en een kans van 50% om een phishing-website te openen. De mogelijkheid van een doorverwijzing naar een legitieme site kan crawlers (programma’s voor automatische informatieverzameling) blijkbaar in verwarring brengen.

Wanneer worden de links schadelijk?

Aanvallers werken normaal gesproken met de aanname dat hun slachtoffer een normale werknemer is die ’s nachts slaapt. Daarom worden vertraagde phishing-berichten na middernacht verzonden (in de tijdzone van het slachtoffer), en worden ze een paar uur later pas schadelijk. Als we naar de statistieken van antiphishing-triggers kijken, zien we een piek rond 07.00-10.00 uur, als gebruikers na een stevige bak koffie op links klikken die in eerste instantie onschadelijk waren, maar tegen die tijd niet meer.

Negeer ook spear-phishing niet. Als cybercriminelen een specifiek persoon vinden om aan te vallen, kunnen ze de dagelijkse routine van hun slachtoffer bestuderen en de schadelijke link activeren afhankelijk van het moment waarop die persoon zijn of haar e-mail checkt.

Hoe detecteert u vertraagde phishing?

Idealiter voorkomen we dat de phishing-link bij de gebruiker terechtkomt, dus het opnieuw scannen van de inbox lijkt de beste strategie te zijn. In veel gevallen is dat te doen: als uw organisatie bijvoorbeeld een Microsoft Exchange-mailserver gebruikt.

Sinds september dit jaar ondersteunt Kaspersky Security for Microsoft Exchange Server mailserver-integratie via de native API, die het opnieuw scannen van berichten die al in de inbox zitten toestaat. Een goed ingestelde scantijd verzekert de detectie van vertraagde phishing-pogingen zonder extra belasting op de server te veroorzaken tijdens het spitsuur voor e-mail.

Met onze oplossing kunt u daarnaast interne mail monitoren (die niet langs de mailbeveiligingsgateway gaat en dus niet wordt opgemerkt door filters en scanners), en ook nog eens complexere content-filterregels instellen. In bijzonder gevaarlijke gevallen van business email compromise (BEC) waarbij hackers toegang verkrijgen tot een zakelijk mailaccount, wordt de mogelijkheid om de inhoud van mailboxen te scannen en interne correspondentie te controleren nog belangrijker.

Kaspersky Security for Microsoft Exchange Server zit in onze oplossingen Kaspersky Security for Mail Servers en Kaspersky Total Security for Business.

Tips