Twee vissers, Julius en Caesar gingen op een vroege maandagochtend op pad met hun visspullen. Ze zochten een rustig plekje uit aan het water, zetten hun tent op en dronken samen een kop koffie. De avond ervoor hadden ze samen besproken welk soort aas ze zouden gebruiken waardoor de vissen het makkelijkst zouden toehappen en zij hen alleen maar uit het water hoefden te hengelen. Zij kozen voor mais. Omdat zij beiden erg ervaren vissers waren hing er, 11 minuten nadat ze hun hengel uitgeworpen hadden, een prachtige karper aan de haak.
Twee phishers, Judas en Cain gingen op een vroege maandagochtend op pad met hun phishingtools. Ze zochten een plek op de bank, openden hun laptops en dronken samen een kop koffie. De avond ervoor hadden ze samen besproken welk soort aas ze zouden gebruiken waardoor de secretaresse van Elijah Malachi, de CEO van een bedrijf genaamd Sediment Services Corporation LLC, het makkelijkst zou toehappen en zij de informatie alleen maar boven water hoefden te hengelen. Zij kozen voor een e-mail. Omdat zij beiden erg ervaren phishers waren hing er, 11 minuten nadat ze hun hengel uitgeworpen hadden, een prachtige secretaresse aan de haak.
(zij maakten zich schuldig aan CEO-fraude, op de betekenis hiervan komen we later in dit blog terug).
We gaan het hebben over de meest eenvoudige en meest gebruikte vorm van online fraude maar tevens erg gevaarlijke cyberaanval genaamd ‘phishing’. Wat is dat nou eigenlijk precies? De (Engelstalige) definitie luidt als volgt:
‘Phishing is the fraudulent attempt to obtain sensitive information such as usernames, passwords and credit card details by disguising oneself as a trustworthy entity in an electronic communication.’ Dit kunnen we vertalen als:
‘Phishing is de (een) frauduleuze poging om, vermomd als een betrouwbare entiteit (partij) en middels een vorm van elektronische communicatie gevoelige informatie zoals gebruikersnamen, wachtwoorden en creditcardgegevens te verkrijgen’.
Anders gezegd is phishing het onder valse voorwendselen en door middel van misleiding ‘hengelen’ naar informatie, specifiek persoonlijke/vertrouwelijke gegevens. Het doelwit wordt als het ware verleid om deze informatie te geven aan een andere entiteit dan oorspronkelijk bedoeld en/of verondersteld. Eigenlijk wordt getracht de mens c.q. het menselijke brein te misleiden ook wel ‘human hacking’ of ‘social engineering’ genoemd. Zoals al eerder genoemd in ons vorige blog met betrekking tot Veiligheid en Internet Bewustzijn, is de zwakste schakel in beveiliging (bijna) altijd de mens! Hier de link naar dat artikel.
Het doel van phishing is dus het stelen van gevoelige, persoonlijke informatie en/of het installeren van kwaadaardige software op de computer of telefoon van het slachtoffer. Het uitvoeren van een phishingaanval is relatief eenvoudig en laagdrempelig omdat er geen (moeilijke) techniek bij is betrokken. Dat is wellicht de reden dat bijna 33 procent van alle datalekken wordt veroorzaakt door phishing met alle ernstige gevolgen van dien.
Oorsprong en gebruik van de term phishing
De term phishing is in het midden van de jaren ‘90 ontstaan en refereert naar fishing; vissen c.q. hengelen (naar informatie).
De (engelse) woorden ‘phishey’ en ‘phoney’ refereren respectievelijk naar iets dat niet helemaal kosjer is en iets dat vals of frauduleus is. Vissen met duistere intenties dus.
Ook zou de oorsprong van de term phishing kunnen liggen bij de eerste hackers uit de jaren 70, zogenaamde ‘phreaks’.
Dit is een samenvoegsel van ‘phone’ en ‘freak’ (Engelse woord voor buitenissig) Zij hackten onder andere telefoonsystemen om bijvoorbeeld gratis (internationaal) te kunnen bellen.
Maar het initiële gebruik van de term phishing wordt toegeschreven aan een beruchte hacker en spammer genaamd Khan C. Smith. Op 2 januari 1996 werd de term voor het eerst openbaar online aangetroffen in een Usenet nieuwsgroep welke ‘AOHell’ genaamd was. Dit was een verwijzing naar de eerste (Windows) applicatie, welke eigenlijk een toolkit (gereedschapskist) was, die het hacken van AOL accounts makkelijker maakte. AOL staat voor America Online en was destijds de grootste Internet provider van de Verenigde Staten. Een hacker genaamd ‘Da Chronic’ ontwikkelde in 1994 AOHell waarin ondere andere een functie zat voor het stelen van de wachtwoorden van AOL-gebruikers. Ook ‘hengelden’ de scammers naar wachtwoorden of financiële gegevens van nietsvermoedende gebruikers. Zij stuurden legitiem uitziende e-mails met een link naar een gespoofde (nagemaakte) website of een e-mail-attachment met daarin kwaadaardige software (malware) en/of code. Het woord ‘malware’ is een samenvoegsel van ‘malicious’ en ‘software’.
NB: Khan C. Smith creëerde rond het jaar 2000 ook het eerste botnet; ‘spammy email botnet’.
Het woord ‘botnet’ is een samenvoegsel van de woorden ‘robot’ en ‘netwerk’. Cybercriminelen gebruiken speciale trojans (malware) om de beveiliging van de computers van meerdere gebruikers te hacken, de controle over elke computer over te nemen en alle geïnfecteerde machines op te nemen in een netwerk van ‘bots’ die de cybercrimineel op afstand kan aansturen. Een recent voorbeeld hiervan is het zogenaamde ‘Mozi’ botnet.
Soorten phishing
Er is op de eerste plaats een belangrijk onderscheid te maken tussen bulk phishing, hierbij worden verschillende (soorten) doelwitten op grote schaal aangevallen en spear phishing welke gericht is op een specifiek, individueel doelwit.
Bulk phishing wordt ook wel ‘deceptive phishing’ genoemd en is de meest voorkomende vorm van phishing. Hierbij wordt een bericht verstuurd naar de doelwitten, door een, zo op het eerste oog, betrouwbare afzender (bv een bank of overheidsinstantie). Deze berichten worden, zoals de naam al doet vermoeden, in bulk gestuurd. In dit bericht kan verzocht worden om:
– een betaling te verrichten;
– account informatie te controleren;
– het opnieuw invoeren van inloggegevens of wachtwoorden;
– het verzoek om een wachtwoord te wijzigen;
– in te loggen op een (nep) website;
Spear phishing
Zoals genoemd is spear phishing een gerichte vorm van phishing op een specifiek, individueel, doelwit. De cybercrimineel heeft meestal al enige informatie over het doelwit verzameld voordat hij de aanval inzet. Als u zich realiseert hoeveel persoonlijke gegevens er tegenwoordig op het internet over u gevonden kunnen worden (met name social media is een waardevolle bron) dan begrijpt u dat het niet zo moeilijk is voor een kwaadaardige partij om zich voor te doen als een vertrouwde partij. Deze informatie kan online vergaard worden middels OSINT (Open Source Intelligence) maar ook uit een eerdere phishing poging, een gehackt account, of op een andere plek waar persoonlijke informatie achterhaald kan worden.
Het specifieke doelwit bij spear phishing kan een persoon, organisatie, bedrijf of de (semi)-overheid zijn. De aanval richt zich op hen (medewerkers) die toegang hebben tot gevoelige informatie of de mogelijkheid hebben om (grote) geldbedragen over te maken.
Ook kan een zogenaamde statelijke actor een werknemer die voor een andere overheidsinstelling werkt, of een overheidsambtenaar, aanvallen om staatsgeheimen te stelen. Deze aanvallen worden uitgevoerd door of met medeweten van een ander land en zijn derhalve erg gevaarlijk. Achtenzeventig procent van cyberspionage-incidenten wordt veroorzaakt door phishing.
Een voorbeeld van spear phishing is CEO-fraude, ook wel ‘whaling’ genoemd, de cybercriminelen Judas en Cain uit ons voorbeeld maakten zich hier aan schuldig. Bij deze spear phishing e-mail aanval doet de aanvaller zich voor als een hooggeplaatst persoon zoals de, nietsvermoedende, CEO of CFO van een bedrijf. Het doel hiervan is bijna altijd om het doelwit (een medewerker binnen hetzelfde of ander bedrijf) te verleiden (grote) geldbedragen over te maken naar een bankrekening van de aanvaller, of om gevoelige/vertrouwelijke informatie (bv HR gegevens) te versturen. In deze e-mail wordt de ontvanger daarvan heel erg belangrijk gemaakt; de vertrouwelijkheid en de gezagsverhouding worden extra benadrukt en er wordt verzocht om geheimhouding.
Vaak wordt er eerst een ‘voor-aanval’ uitgevoerd door middel van reconnaissance (verkenning) met behulp van OSINT en social engineering technieken. Hierna wordt de gevonden informatie gecorreleerd en kan er een profiel opgesteld worden van het doelwit en voor hem een ‘op maat gemaakte’ aanval ontworpen worden. Vervolgens wordt deze email verstuurd met alle mogelijke ernstige gevolgen van dien.
CEO-fraude is een serieuze dreiging voor bedrijven en (semi) overheidsinstanties, het is belangrijk om u hier tegen te wapenen.
Hermes Recherche kan u daarbij van dienst zijn door middel van, onder andere, het uitvoeren van een Digital Footprintcheck.
Clone phishing
Hierbij maken cybercriminelen een kopie of een zogenaamde ‘clone’ van voorgaande, wel legitieme, verstuurde e-mails waar een linkje bijgevoegd was. Dit linkje wordt vervangen door een nieuwe waar kwaadaardige software/code in verstopt zit.
419/ Nigeriaanse scams
Deze vorm van phishing bestaat het langst en is ontstaan in Nigeria. Het getal 419 refereert naar het Nigeriaanse Wetboek van Strafrecht welke verhandelt over fraude, boetes en straffen voor fraude. Bij deze vorm van online fraude vertelt de scammer u een uitgebreid en zielig verhaal over bijvoorbeeld een grote hoeveelheid geld die op een bevroren bankrekening staat vanwege een staatsgreep of burgeroorlog. Vaak betreft het een land dat op dat moment in het nieuws is. Of hij vertelt u over een grote erfenis die ‘moeilijk toegankelijk’ is vanwege overheidsbeperkingen of belastingen in zijn land. De oplichter zal u dan een grote som geld aanbieden om hem te helpen zijn persoonlijke fortuin uit het land over te dragen.
Hij kan u vragen om uw bankrekeningnummer en hem zodoende te helpen het geld over te boeken. Later wordt dan al het geld van uw rekening gestolen. Daarnaast kan hij u vragen om gemaakte kosten of belastingen te betalen om op die wijze het geld uit het land te helpen vrijgeven of over te maken via zijn bank. Dit kan in beginsel om hele kleine bedragen gaan. Wanneer aan dat verzoek gehoor wordt gegeven zal de oplichter zeggen dat hij nieuwe kosten heeft gemaakt welke eerst nog betaald moeten worden. Pas daarna zal u uw ‘beloning’ ontvangen.
Vishing (voice phishing)
Vishing is een aanvalsvorm waarbij getracht wordt u te verleiden om via de telefoon gevoelige, persoonlijke informatie door te geven. Dit klinkt wellicht simpel maar deze aanvallen kunnen erg professioneel in elkaar zitten. Er wordt bijvoorbeeld gebruik gemaakt van geautomatiseerde stemsimulatietechnologie, of de oplichter gebruikt persoonlijke informatie over u welke uit eerdere cyberaanvallen is verkregen. Hiermee stelt hij u op uw gemak en wint zodoende uw vertrouwen.
Smishing (sms phishing)
Bij smishing wordt getracht u te verleiden om via een tekst- of sms bericht gevoelige, persoonlijke informatie door te geven. Middels het versturen van een sms waarin meestal een link zit naar een nep website welke bijna identiek is aan de legitieme website, proberen cybercriminelen u te misleiden. Daarnaast wordt smishing ook gebruikt om, via links of bijlagen die informatie kunnen stelen en andere kwaadaardige taken kunnen uitvoeren, malware en spyware te verspreiden.
Kenmerken van een phishing bericht
– de tekst in het bericht claimt een bepaalde urgentie, waarschuwing of dreiging; er moet per direct een nieuw wachtwoord ingesteld worden, boete betaald worden etc.;
– er wordt gevraagd om geld over te maken voor onkosten of vergoedingen;
– er wordt gevraagd om het verstrekken van gevoelige informatie, hiermee moet u altijd voorzichtig zijn, ongeacht de afzender van het bericht;
– de tekst in het bericht bevat spellings- en grammatica fouten; een bonafide bedrijf of overheidsinstantie zal nooit op een dergelijke manier communiceren;
– de URL is niet identiek aan de originele c.q. legitieme URL en oogt frauduleus;
– onverwachte of ongewone links/ attachments, deze kunnen malware, ransomware of een andere online dreiging bevatten;
Via welke apparaten
– desktop;
– laptop;
– tablet;
– (mobiele) telefoon;
Op welke wijze
– e-mail;
– chatbericht (bv via Whatsapp);
– sms-bericht;
– telefoontje;
Ook via social media sites als Facebook, Instagram, Twitter en Linkedin worden er phishingaanvallen uitgevoerd!
Waarvoor wordt de verkregen informatie gebruikt
– voor het verkopen van deze, persoonlijke informatie, op het darkweb;
– voor het stelen van een identiteit (identiteitsfraude);
– voor het stelen van bank -of andere (social media) accounts;
– voor het stelen van staatsgeheimen;
Consequenties van een phishingaanval
– financiële schade, dit kan in de miljoenen lopen;
– persoonlijke en bedrijfsmatige schade:
* imagoschade
* (persoonlijke) veiligheid die in het gedrang komt
* psychologische schade
– nieuwe cyberaanvallen;
Hoe kunt u zichzelf wapenen tegen phishing?
– klik nooit op onbekende linkjes! (in e-mail, sms of chatberichten);
– neem geen telefoontjes van onbekende of afgeschermde nummers aan;
– open nooit e-mails van onbekende afzenders;
– voer nooit zomaar persoonlijke informatie, zoals naam, BSN, bank/creditcardgegevens, in (met name pop-up schermen);
– verifieer eerst altijd of een website veilig is en check of de URL start met ‘https’ in plaat van ‘http’ (de ‘s’ staat voor ‘secure’);
– Google de tekst/ inhoud van de e-mail en kijk of deze een hit geeft in relatie tot phishing;
– gebruik een goede virusscanner;
– gebruik eventueel een speciale anti-phishing toolbar;
– luister naar uw intuïtie, dat onderbuikgevoel klopt altijd, vertrouw daarop!
– ga met uw muis (of vinger) over de link en bekijk de URL, kijk vooral naar (spellings) fouten in de domeinnnaam;
– als iets te mooi klinkt om waar te zijn dan is dat vaak ook zo!
– vermijd het gebruik van openbare, publieke wifi, wanneer u dit toch doet, verbind dan alleen via een VPN (virtual private network);
– wees in zijn algemeenheid altijd alert op verdachte e-mails en/of sms-chat berichten -en telefoontjes;
Ter afsluiting volgt hier een voorbeeld van een hele bekende, geslaagde phishingaanval.
Deze vond plaats in 2016 en was gericht op de Democratic National Committee en indirect op Hillary Clinton.
Het Gmail account van haar campagnemanager; John Podesta, werd gehackt, op een eigenlijk heel erg simpele manier. Hij ontving een e-mail van Google waarin stond dat zijn Gmail wachtwoord was gekraakt c.q. misbruikt en hij werd verzocht direct een nieuw wachtwoord in te stellen. Deze e-mail bevatte een link die leidde naar een kwaadaardige site waar vervolgens zijn inloggegevens -en wachtwoord informatie werd gestolen. Volgens de media werd deze aanval uitgevoerd door een statelijke actor, een zogenaamde APT (Advanced Persistent Threat) Group. In dit geval ging het om APT 28, ook wel Fancy Bear, Sofacy Group, Pawn Storm, Hades, Tsar Team, STRONTIUM (en nog een aantal namen meer) genoemd, uit Rusland. Door middel van deze aanval was er inzage in de mailwisseling tussen John Podesta en Hillary Clinton. Deze bewuste e-mails zijn later gelekt door ‘Wikileaks’.
Enige tijd later verschenen er berichten in de media over een hacker genaamd ‘Guccifer 2.0’ (afkorting van Gucci and Lucifer), zijn echte naam is Marcel Lazăr Lehel, afkomstig uit Rahad, Roemenië. Hij claimde de hack te hebben gepleegd nadat hij eerst, in 2013, het AOL account van een vertrouweling van Hillary Clinton; Sidney Blumenthal had gehackt. Door middel van intensief OSINT (reconnaissance) onderzoek was hij in staat om zijn veiligheidsvraag te raden. Hierdoor kreeg hij toegang tot het account, kon daar even verblijven, verzamelde informatie en bewoog zich verder naar de server van Hillary Clinton. Er gaan geruchten dat Guccifer 2.0 werkt voor de GRU (G.U.), de Russische militaire inlichtingendienst.
Er is daarnaast nog een andere, interessante lezing. De voormalig technisch directeur van de NSA, William“Bill¨Binney, claimt dat ‘Russia-gate’ gefabriceerd en geregisseerd is door de CIA. Dit baseert hij op de door hem en andere onafhankelijke onderzoekers forensisch geanalyseerde data, welke door Guccifer werd vrijgegeven. Aan de hand daarvan concludeerden zij dat de informatie alleen verkregen had kunnen worden door een (menselijk) lek binnen de partij.
Tot zover dit artikel over phishing. Mocht u nog vragen hebben neem dan gerust contact met ons op via 06-39893068 of info@recherchebureauhermes.nl voor een vrijblijvend gesprek.
©Hermes Recherche 2020