Phishingtest voor ambtenaar

Ambtenaren die niet slagen voor een zogenaamde phishingtest, mogen niet met gevoelige data werken. Dat is de mening van Paul Beckman, Chief Information Security Officer (CISO) van het Amerikaanse ministerie van Binnenlandse Veiligheid. Wat houdt zo’n phishingtest in? En is zoiets niet ook wat voor Nederlandse bedrijven?

Bijna iedereen klikt

Tijdens een Hoffmann slagen we er in 80 tot 90 procent van de gevallen in om medewerkers op een phishingmail te laten reageren. Zowel bij de overheid als in het bedrijfsleven. Soms zijn medewerkers gewoon niet alert genoeg. Als het e-mailadres niet klopt, de ondertekening ‘vreemd’ is of als het gewoon een e-mail met een vreemd onderwerp is, moeten alle alarmbellen gaan rinkelen. Toch is dit niet altijd het probleem: sommige phishingmails lijken zó betrouwbaar! Wat doe je als organisatie dan?

Het gevaar van phishing

Een phishingmail is een e-mail waarmee cybercriminelen van de ontvanger vertrouwelijke informatie proberen te krijgen. Tegenwoordig lijken dit soort e-mails afkomstig vaan een betrouwbare instantie, waardoor de ontvanger het gevoel krijgt dat hij wel mee moet werken.

In phishingmails staat meestal een link. Als de medewerker op die linkt klikt, wordt er – zonder dat de medewerker dit door heeft – malware (kwaadaardige software) op zijn computer geïnstalleerd. Zeker als de ontvanger gebruikmaakt van verouderde software of browsers, is de kans dat de beveiligingssoftware de malware niet onderschept, zeer groot. Naast malware, zijn zeer echt ogende websites waarop naar inloggegevens wordt gevraagd, een groot probleem. Voor je het weet geef je je gebruiksnaam en wachtwoord op zo’n nepsite namelijk af aan een cybercrimineel. Cybercriminelen versturen trouwens niet alleen links. Ook Office-documenten die malware bevatten, worden steeds vaker verstuurd. Dat onschuldig ogende mailtje met aantekeningen kan dan behoorlijke problemen veroorzaken!

Via malware krijgen cybercriminelen namelijk toegang tot de ICT-infrastructuren van het bedrijf, doordat een verbinding wordt opgezet tussen de computer van de aanvaller en die van de e-mailontvanger. Op deze manier kunnen gevoelige klant- en bedrijfsinformatie gestolen worden. Als zulke gegevens op straat komen te liggen, kan dat leiden tot imagoschade en grote financiële verliezen voor de organisatie.

Phishingtests & online-security-training

Beckman vindt dat iemand die phishingtests niet haalt, geen top-secret-bevoegdheden binnen de overheid mag hebben. Volgens Beckman laat je dan duidelijk zien dat je niet verantwoordelijk (en kundig) genoeg bent om met die geclassificeerde informatie om te gaan. Beckman onderzoekt nu de vaardigheden van zijn medewerkers door af en toe zelf phishingmails te versturen. Er zijn natuurlijk ook andere  mogelijkheden om de alertheid van je medewerkers verhogen. Bijvoorbeeld door hen een online-security-training te laten volgen. Daarmee maak je medewerkers meer bewust van de gevaren. Ook leren ze hoe ze phishingberichten kunnen herkennen en wat ze moeten doen als ze twijfelen over de authenticiteit van een e-mail of zijn afzender. Uiteindelijk is het sluitstuk van een Pentest niet alleen een rapportage over de al dan niet aangetroffen technische kwetsbaarheden van een netwerk. Het is juist zo belangrijk dat de ervaringen uit die test benut worden om de alertheid van de medewerkers te verhogen.

Zeer goed lijkende e-mails

Persoonlijk vind ik de stelling dat mensen die in een phishingmail trappen niet kundig genoeg zijn, wel wat kort door de bocht. Het gaat in veel gevallen niet meer om een mail waarin staat dat ze een miljoen hebben geërfd van een oom in Nigeria. Die tijd hebben we wel achter ons gelaten. Een gerichte spearphishing aanval is in bepaalde gevallen ook daadwerkelijk niet, of zeer moeilijk, van echt te onderscheiden. Als de aanvaller vooronderzoek heeft gedaan, goede technische skills heeft én de Nederlandse taal goed machtig is, worden er vaak zeer echt lijkende phishingmails gemaakt. Tijdens een Hoffmann-Pentest zorgen we ervoor dat de ondertekening heel goed lijkt, het onderwerp relevant is en het afzenderadres ‘echt’ lijkt. Hierdoor gaan bij de meeste medewerkers geen alarmbellen rinkelen. De informatie die we hiervoor nodig hebben, is gewoon uit openbare bronnen te halen. Zo doen cybercriminelen dat ook.

Juiste opvolging

Niet alleen de phishingmails zijn een probleem. Bedrijven laten het na een incident meestal ook zelf afweten. Hoewel er vaak wel een waarschuwingsmail wordt verstuurd binnen de organisatie, waarin gezegd wordt dat de betreffende e-mail direct moet worden verwijderd, wordt er nooit aandacht besteed aan de inloggegevens. Het is belangrijk dat gebruikersnamen en wachtwoorden direct worden gewijzigd. En is er al op de e-mail geklikt? Dan is het belangrijk dat dit wordt gemeld. Er kan dan onderzoek worden gedaan naar de besmette systemen, waarbij wordt bekeken of er toch geen ongewenste verbindingen naar buiten openstaan.

Bron: Security.nl.