Een kwart van de medewerkers klikt op phishing-mails, blijkt uit onderzoek door het Red Team van F-Secure. Dit komt omdat bedrijven voor hun veiligheid te veel vertrouwen op technologie.
Aanvallers azen op bedrijven die zich ten onrechte veilig wanen. Zij vertrouwen te veel op technologie om hun netwerken te beveiligen, waarschuwt een woordvoerder van F-Secure’s Red Team. Dit is een groep digitale veiligheidsexperts die organisaties ethisch hacken om de zwakke en sterke plekken in hun beveiliging boven water te halen.
“Alleen technologie gebruiken om menselijke problemen op te lossen werkt gewoon niet”, zegt Tom Van de Wiele, Principal Security Consultant bij F-Secure. “Iedereen die zegt dat hun technologie dat wel kan, verkoopt een broodje aap. In de echte wereld verdienen criminelen hun geld met vakkundig samengestelde trucjes. Zij gebruiken social engineering om het vertrouwen van mensen te winnen. Wanneer je werknemers in de waan laat dat de nieuwste beveiligingstechnologie alles onder controle heeft, geef je hen onterecht het gevoel dat ze veilig zijn. En dat is precies waar aanvallers op hopen.”
Ben ff phissen
Phishing is een goed voorbeeld waar klakkeloos vertrouwen op technologie spaak loopt. PwC’s rapport ‘Global State of Information Security Survey 2017’ noemt phishing de belangrijkste aanjager van digitale aanvallen op financiële instellingen in 2016. En dat wordt alleen maar erger, zeker nu phishing als kant-en-klare dienst wordt aangeboden op de duistere kant van het internet.
“Het is onvoorstelbaar waar mensen op klikken tijdens het werk. Niet omdat ze dom zijn, maar omdat ze niet verwachten belazerd te worden op het werk. Daardoor zijn ze niet alert”, zegt Van de Wiele. Gesimuleerde phishing-aanvallen door F-Secure’s Red Team bleken inderdaad zeer succesvol. In een recente test stuurden Red Teamleden een nep LinkedIn-bericht naar medewerkers van de organisatie van de opdrachtgever om te zien hoeveel mensen erop zouden klikken. 52 procent ging voor de bijl. In een andere test verstuurden het Red Team een e-mail met een link naar een nep-portal waar medewerkers moesten inloggen met hun werkgegevens. 26 procent klikte op de link en 13 procent vulde zelfs hun inlog-gegevens in.
Alles kan kapot
De Red Team-testen van Van de Wiele en zijn collega’s zijn ontwikkeld om aan te tonen wat organisaties goed en fout doen in hun beveiliging. Zij worden uitgedaagd om aanvallen te detecteren en de schade te beperken; te reageren op digitale pogingen tot diefstal van financiële data en intellectueel eigendom of de controle te behouden over cruciale onderdelen van hun eigen IT-infrastructuur. Volgens Van de Wiele geven de resultaten bedrijven vaak een akelig inzicht in hun eigen kwetsbaarheid. “De vermeende veiligheid komt maar zelden overeen met de daadwerkelijke veiligheid,” zegt hij.
De testen gaan verder dan het opsporen van de zwakke digitale plekken, ook de fysieke wereld komt aan bod. “Men is altijd verbaasd wanneer we toegang hebben gekregen tot offline-servers. De meeste CISO’s zijn onvoorbereid op fysieke aanvallen: echte mensen die het bedrijf binnendringen. Dat is overigens veel makkelijker dan men denkt. Het enige dat je nodig hebt is een veiligheidsvestje en een papiertje met een werkopdracht. Veiligheidsvestjes werken beter dan de onzichtbaarheidsmantel van Harry Potter: trek ze aan en iedereen laat je door zonder vragen te stellen.”
Red Team-testen doen het volgende voor bedrijven:
• Zorgen dat veiligheidscontroles werken en doen wat ze moeten doen.
• Het rendement meten van investeringen in digitale veiligheid.
• Bepalen hoe goed kritieke gegevens en intellectueel eigendom zijn beschermd.
• Vaststellen of beveiligingsprocessen bijgewerkt moeten worden of dat meer training nodig is.
• Vergroten van bewustzijn over de staat van de IT-beveiliging op relevante afdelingen.
• Zorgen dat het monitoren van securitylevels werkt zoals moet.
• Verdedigingscapaciteit testen in geval van een aanval.
*Bron: http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/financial-services-industry.html
**Bron: http://www.theregister.co.uk/2016/12/07/phishing_as_a_service/
