Traditionele webbeveiliging is niet effectief tegen moderne phishing

We zien dat phishing de afgelopen jaren steeds verder is geëvolueerd. Beveiligingsmaatregelen die vroeger enigszins effectief waren tegen phishing, werken niet meer goed vanuit het oogpunt van e-mailbeveiliging of webbeveiliging. Moderne ‘phishing-kits’ bieden in feite phishing als een service voor aanvallers, met een kant-en-klare mogelijkheid om detectie te omzeilen.

Traditionele webbeveiliging heeft lang vertrouwd op het gebruik van URL-databases om de toegang tot kwaadaardige websites, waaronder phishingsites, te identificeren en te blokkeren. De manier waarop de kwaadaardige URL-databases werken, is dat de leveranciers webcrawlers hebben gebruikt om sites te scannen en vervolgens de phishingsites aan de database toe te voegen. De beheerders van de phishing-kit weten dit, en weten hoe ze de webcrawler kunnen omzeilen, zodat hun schadelijke adressen nooit in de database verschijnen.

Bij moderne phishingaanvallen wordt vaak geen malware gebruikt, die de gebruikelijke detectietechnologieën in werking zou stellen. Hedendaagse phishing is heimelijk en maakt gebruik van veel verschillende vertroebelingstechnieken om aan de traditionele scanning van webbeveiliging te ontsnappen

Waarom het moeilijk is om een ‘phish’ te vangen

Hoe kunnen phishing-aanvallen precies de veiligheidscontroles van traditionele databases voor webfiltering omzeilen? Hier volgen een paar voorbeelden:

• Verbergen van kwaadaardige inhoud door cloaking.
  Beveiligings-webcrawlers analyseren geen live webverkeer. In plaats daarvan worden ze gestuurd om een webpagina te analyseren vanaf IP-ruimten waarvan bekend is dat ze door beveiligingsleveranciers worden gebruikt. Omdat adverteerders dit weten, zijn phishing-kits ontworpen om hun kwaadaardige bedoelingen te verhullen door onschuldige inhoud of een lege pagina te verzenden als reactie op het scannen van beveiligingsleveranciers. Hierdoor wordt de URL-database zo verleid dat deze de phishingpagina als goedaardig classificeert en door de veiligheidscontroles heen laat gaan. Wanneer het doelwit de phishingpagina opent, wordt de ware inhoud onthuld, en kan het slachtoffers claimen.
• Aanvallen in meerdere stappen en CAPTCHA-uitdagingen.
  Phishing-aanvallen verbergen zich steeds vaker achter onschuldige stappen, zodat een eerste veiligheidsscan van de URL ze doorlaat. Een phishingpagina kan bijvoorbeeld achter een CAPTCHA-uitdaging worden geplaatst. Dit is bijzonder geniepig, omdat CAPTCHA-uitdagingen speciaal zijn ontworpen om geautomatiseerde bots (waaronder webcrawlers) ervan te weerhouden de inhoud erachter te openen. Wanneer een webcrawler de pagina scant, ziet hij alleen de CAPTCHA-uitdaging, die op zichzelf onschadelijk is, en categoriseert hij de achterliggende phishingpagina als goedaardig.
• Kortstondige en eenmalige links.
  Adverteerders verzinnen steeds nieuwe, nog nooit eerder vertoonde phishing-URL’s, omdat dit nu goedkoper en eenvoudiger is dan ooit tevoren. Een enkele phishingpagina kan slechts enkele uren of zelfs minuten worden gebruikt en vervolgens worden verbrand en naar een nieuwe URL worden overgeschakeld, zodat beveiligingsdatabases ze niet snel genoeg kunnen traceren om ze te blokkeren. Links voor eenmalig gebruik worden ook vaak gebruikt voor gerichte aanvallen.
• Aanvallen binnen aangetaste websites.
  Aanvallers weten dat legitieme websites in URL-databases als goedaardig worden geclassificeerd en worden doorgelaten zonder noodzakelijkerwijs opnieuw te worden gecontroleerd. Als een tegenstander een legitieme website weet te compromitteren, kan hij daar een phishingpagina opzetten en zo vermomd door de webbeveiliging sluipen. Dergelijke phishingpagina’s zijn bijzonder succesvol omdat ze ook eindgebruikers gemakkelijker om de tuin leiden, omdat die denken dat ze met een bekende website te maken hebben.

Traditionele webfiltering, e-mail en multifactorauthenticatie alleen zijn niet genoeg

Sommige organisaties hebben e-mailauthenticatie en multifactorauthenticatietechnologieën ingezet. Het probleem is dat niet alle phishing via e-mail plaatsvindt. Een phishing-aanval die afkomstig is van een kwaadaardige site die de gebruiker bezoekt, wordt niet beïnvloed omdat de organisatie van de gebruiker een e-mailverificatiesysteem heeft ingesteld. Phishing-links worden vaak geplaatst in documenten die worden gehost in SaaS-samenwerkingspakketten, als onderdeel van advertenties op webpagina’s en in toenemende mate in sms-berichten, waarbij alle op e-mail gebaseerde controles volledig worden omzeild.

Hoe verklein je het risico op phishing?

• Een beveiligingspakket voor phishing dat verder gaat dan e-mail.
  Erkennen dat phishing niet alleen een e-mailprobleem is, is essentieel. Het is belangrijk om een beveiligingspakket te hebben dat geavanceerde phishing- en invasieve phishing-aanvallen kan aanpakken. Het gebruik van een systeem dat is gebaseerd op URL-databases en webcrawlers zal niet werken. Wat nodig is, zijn technologieën zoals inline machine learning die de pagina-inhoud daadwerkelijk analyseren op het moment dat deze bij de eindgebruiker wordt afgeleverd, om ervoor te zorgen dat er geen phishing-risico is en patient zero wordt voorkomen.
• Opleiding.
  Technologie is belangrijk, maar het zou op dit moment niet controversieel moeten zijn om een soort trainingsprogramma voor werknemers te hebben om te leren over phishing-risico’s. Bij phishing-aanvallen van het social engineering-type gaat het niet om het uitbuiten van technologie; het gaat om het uitbuiten van mensen. Training kan helpen het beveiligingsbewustzijn te vergroten en werknemers deel te laten uitmaken van de oplossing van het probleem.
• Een volledige beveiligingslevenscyclusbenadering.
  Het verlagen van het risico op phishing is niet alleen een kwestie van het inzetten van een bepaalde technologie; het gaat om een volledige levenscyclusbenadering. Dat betekent dat de organisatie zowel proactieve als reactieve mogelijkheden moet hebben. De realiteit is dat, hoeveel u ook inzet of hoeveel u ook investeert in beveiliging, u ook moet plannen dat er iets doorheen komt. Wat gebeurt er als een medewerker wordt gephisht en een inlogcode wordt gestolen? Heeft de organisatie de mogelijkheid om kwaadwillige toegang te detecteren en er vervolgens op te reageren?

Het executive management moet samenwerken met de teams van de organisatie om ervoor te zorgen dat de technologie, de mensen en de processen aanwezig zijn om zoveel mogelijk inkomende phishing-aanvallen te helpen voorkomen. Phishing is een bedreiging met vele facetten, en het vereist een uitgebreide strategie om deze te verslaan. Uiteindelijk vereist het overwinnen van de uitdaging van phishing een geïntegreerd end-to-end proces, variërend van proactief tot reactief, want als u het een wel hebt en het ander niet, bent u niet echt voorbereid om de dreiging het hoofd te bieden.

Over de auteur: Mark van Leeuwen is Country Director Netherlands bij Palo Alto Networks.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.