Laten we het even over spoofing hebben. Als u woorden hoort als 'phishing', 'zakelijke e-mail compromitteren' of 'cybercriminaliteit', wat is dan het eerste dat er in u opkomt? De meeste mensen zouden denken aan iets in de trant van e-mailbeveiliging, en de kans is groot dat u dat ook deed. En dat klopt helemaal: elk van de termen die ik net noemde, is een vorm van cyberaanval, waarbij een crimineel social engineering en andere technieken gebruikt om toegang te krijgen tot gevoelige informatie en geld. Dat is natuurlijk een slechte zaak, en organisaties moeten er alles aan doen om zich daartegen te beschermen.

Maar er is nog een andere kant, een kant waar sommige organisaties gewoon geen rekening mee houden, en het is een kant die net zo belangrijk voor hen is. Bij phishing loopt u niet alleen een groter risico om gegevens en geld te verliezen, maar ook uw merk loopt een even grote kans om het onderspit te delven. Die kans is zelfs 63%: zo groot is de kans dat consumenten een merk niet meer kopen na slechts één onbevredigende ervaring.

Hoe schaden e-mailpirishingaanvallen uw merk?

Begrijpen hoe phishing de systemen van uw organisatie in gevaar kan brengen, is vrij eenvoudig. Maar de langetermijneffecten van een enkele cyberaanval? Niet zo gemakkelijk.

Bekijk het eens op deze manier. In de meeste gevallen zal een gebruiker die zijn e-mail controleert, waarschijnlijk klikken op een e-mail van een persoon of merk die hij kent en vertrouwt. Als de e-mail er realistisch genoeg uitziet, zouden ze niet eens het verschil merken tussen een neppe en een neppe. De e-mail kan zelfs een link bevatten die leidt naar een pagina die er precies zo uitziet als het inlogportaal van uw organisatie, waar ze hun gebruikersnaam en wachtwoord kunnen invoeren.

Later, als ze horen dat hun creditcardgegevens en adres zijn uitgelekt, kunnen ze zich nergens anders toe wenden dan tot uw organisatie. Het was tenslotte 'uw e-mail' die de ramp veroorzaakte, uw gebrek aan beveiliging. Wanneer uw eigen klanten het vertrouwen in uw merk en de geloofwaardigheid ervan volledig verliezen, kan dit enorme problemen veroorzaken voor de optiek van uw merk. U bent niet alleen het bedrijf dat werd gehackt, u bent ook het bedrijf dat toestond dat hun gegevens werden gestolen via een e-mail die u stuurde.

Het is niet moeilijk in te zien hoe dit op de lange termijn uw winstgevendheid ernstig kan schaden, vooral wanneer nieuwe, potentiële klanten worden afgeschrikt door het vooruitzicht het zoveelste slachtoffer van uw e-mails te worden. Cybercriminelen nemen het vertrouwen en de loyaliteit van uw klanten in uw merk en gebruiken dit actief tegen u. En dat is wat BEC (Business Email Compromise) zo veel meer maakt dan een technisch beveiligingsprobleem.

Wat zijn enkele van de ergst getroffen sectoren?

Farmaceutische bedrijven behoren tot de bedrijven die het vaakst het doelwit zijn van phishing en cyberaanvallen. Volgens een onderzoek onder Fortune 500 farmaceutische bedrijven kreeg elk bedrijf alleen al in de laatste 3 maanden van 2018 te maken met gemiddeld 71 e-mailfraudeaanvallen. Dat komt omdat farmaceutische bedrijven waardevolle intellectuele eigendom bezitten over nieuwe chemicaliën en farmaceutische producten. Als een aanvaller deze informatie kan stelen, kunnen ze deze op de zwarte markt verkopen voor een fikse winst.

Bouw- en vastgoedbedrijven liggen ook niet ver achter. Met name financiële dienstverleners en financiële instellingen hebben voortdurend te maken met de dreiging dat gevoelige gegevens of grote sommen geld van hen worden gestolen via zorgvuldig geplande aanvallen van zowel bedrijven als Vendor Email Compromise (VEC).

Al deze industrieën hebben er veel baat bij dat klanten hun merken vertrouwen, en hun relatie met de merken is rechtstreeks van invloed op hun zaken met de bedrijven. Als een consument het gevoel zou hebben dat het bedrijf niet in staat is zijn gegevens, geld of andere activa veilig te bewaren, zou dat schadelijk zijn voor het merk, en soms zelfs onherstelbaar.

Meer informatie over e-mailbeveiliging voor uw specifieke branche.

Hoe kunt u uw merk redden?

Marketing draait allemaal om het opbouwen van uw merkimago tot iets dat het publiek niet alleen zal onthouden, maar ook zal associëren met kwaliteit en betrouwbaarheid. En de eerste stap in die richting is het beveiligen van uw domein.

Cybercriminelen vervalsen het domein van uw organisatie en doen zich voor als uw merk, zodat het lijkt alsof de e-mail van u afkomstig is wanneer ze een nietsvermoedende gebruiker een e-mail sturen. In plaats van van gebruikers te verwachten dat ze kunnen zien welke e-mails echt zijn en welke niet (wat vaak bijna onmogelijk is, vooral voor leken), kunt u in plaats daarvan voorkomen dat deze e-mails in de inbox van gebruikers terechtkomen.

DMARC is een e-mail authenticatie protocol dat werkt als een gebruiksaanwijzing voor een ontvangende e-mail server. Telkens wanneer een e-mail van uw domein wordt verzonden, controleert de e-mailserver van de ontvanger uw DMARC records (gepubliceerd op uw DNS), en valideert de e-mail. Als de e-mail legitiem is, "passeert" het de DMARC verificatie, en wordt het afgeleverd in de inbox van de gebruiker.

Als de e-mail afkomstig is van een niet-geautoriseerde afzender, kan de e-mail, afhankelijk van uw DMARC-beleid, rechtstreeks naar spam worden gestuurd of zelfs volledig worden geblokkeerd.

Leer hier meer over hoe DMARC werkt.

DMARC kan alle spam e-mails die van uw domein afkomstig zijn bijna volledig elimineren, omdat in plaats van nep e-mails te blokkeren als ze uw domein verlaten, het in plaats daarvan controleert op echtheid als de e-mail aankomt op de server van de ontvanger.

Als u DMARC al hebt geïmplementeerd en op zoek bent naar manieren om uw merkbeveiliging nog verder te verbeteren, is er Brand Indicators for Message Identification (BIMI). Deze nieuwe standaard voor e-mailbeveiliging plaatst het logo van uw merk naast elke e-mail van uw domein die is geverifieerd door DMARC.

Als uw klanten nu een e-mail zien die u hebt verzonden, associëren ze uw logo met uw merk, waardoor ze uw merk beter onthouden. En als ze uw logo zien, zullen ze leren om alleen e-mails te vertrouwen die uw logo naast zich hebben.

Meer informatie over BIMI vindt u hier. 

Op het eerste gezicht lijkt de Office 365-suite van Microsoft erg... aantrekkelijk, toch? U krijgt niet alleen een hele reeks productiviteitsapps, cloudopslag en een e-mailservice, maar u bent ook beschermd tegen spam met Microsofts eigen oplossingen voor e-mailbeveiliging. Geen wonder dat het de meest gebruikte e-mailoplossing voor bedrijven is, met een marktaandeel van 54% en meer dan 155 miljoen actieve gebruikers. U bent waarschijnlijk ook een van hen.

Maar als een cyberbeveiligingsbedrijf een blog schrijft over Office 365, dan moet er wel iets meer aan de hand zijn, toch? Nou, ja. Dat is er ook. Dus laten we het eens hebben over wat er precies aan de hand is met de beveiligingsopties van Office 365, en waarom u dit echt moet weten.

Waar Microsoft Office 365 beveiliging goed in is

Voordat we het hebben over de problemen ermee, laten we dit eerst snel uit de weg ruimen: Microsoft Office 365 Advanced Threat Protection (wat een mondvol) is vrij effectief in basis e-mailbeveiliging. Het is in staat om spam e-mails, malware en virussen te stoppen van het maken van hun weg naar je inbox.

Dit is goed genoeg als je alleen op zoek bent naar wat basis anti-spam bescherming. Maar dat is het probleem: spam van een laag niveau zoals deze vormt meestal niet de grootste bedreiging. De meeste e-mailproviders bieden enige vorm van basisbescherming door e-mail van verdachte bronnen te blokkeren. De echte bedreiging - het soort dat uw organisatie geld, gegevens en merkintegriteit kan kosten - wordtgevormddoore-mails die zo zijn ontworpen dat u niet doorhebt dat ze nep zijn.

Dit is wanneer je in serieus cybercriminaliteit gebied komt.

Waar Microsoft Office 365 u niet tegen kan beschermen

De beveiligingsoplossing van Microsoft Office 365 werkt als een antispamfilter en gebruikt algoritmen om te bepalen of een e-mail lijkt op andere spam- of phishingmails. Maar wat gebeurt er als je wordt getroffen door een veel geavanceerdere aanval die gebruikmaakt van social engineering, of gericht is op een specifieke werknemer of groep werknemers?

Dit zijn geen gewone spamberichten die naar tienduizenden mensen tegelijk worden gestuurd. Business Email Compromise (BEC) en Vendor Email Compromise (VEC) zijn voorbeelden van hoe aanvallers zorgvuldig een doelwit uitkiezen, meer informatie over de organisatie te weten komen door hun e-mails te bespioneren, en op een strategisch punt een valse factuur of verzoek via e-mail versturen, met de vraag geld over te maken of gegevens te delen.

Bij deze tactiek, die algemeen bekend staat als spear-phishing, lijkt het alsof de e-mail afkomstig is van iemand binnen uw eigen organisatie, of van een vertrouwde partner of leverancier. Zelfs bij zorgvuldige inspectie kunnen deze e-mails er zeer realistisch uitzien en zijn ze bijna onmogelijk te detecteren, zelfs voor doorgewinterde cyberbeveiligingsdeskundigen.

Als een aanvaller zich voordoet als uw baas of de CEO van uw organisatie en u een e-mail stuurt, is het onwaarschijnlijk dat u zult controleren of de e-mail er echt uitziet of niet. Dit is precies wat BEC- en CEO-fraude zo gevaarlijk maakt. Office 365 zal u niet tegen dit soort aanvallen kunnen beschermen, omdat deze schijnbaar van een echt persoon afkomstig zijn, en de algoritmen zullen het niet als een spam-e-mail beschouwen.

Hoe kunt u Office 365 beveiligen tegen BEC en Spear Phishing?

Domain-based Message Authentication, Reporting & Conformance, of DMARC, is een e-mailbeveiligingsprotocol dat gebruik maakt van informatie die door de domeineigenaar wordt verstrekt om ontvangers te beschermen tegen spoofed e-mail. Wanneer u DMARC op het domein van uw organisatie implementeert, zullen ontvangende servers elke e-mail die van uw domein komt, controleren aan de hand van de DNS-records die u hebt gepubliceerd.

Maar als Office 365 ATP gerichte spoofing-aanvallen niet kan voorkomen, hoe doet DMARC dat dan wel?

Nou, DMARC werkt heel anders dan een anti-spam filter. Terwijl spamfilters inkomende e-mail controleren die uw inbox binnenkomt, verifieert DMARC uitgaande e-mail die door het domein van uw organisatie wordt verzonden. Dit betekent dat als iemand zich probeert voor te doen als uw organisatie en u phishing-e-mails stuurt, die e-mails, zolang u DMARC toepast, in de spammap worden gedumpt of helemaal worden geblokkeerd.

En begrijp dit - het betekent ook dat als een cybercrimineel uw vertrouwde merk zou gebruiken om phishing e-mails te versturen, zelfs uw klanten daar niet mee te maken zouden krijgen. DMARC helpt ook uw bedrijf te beschermen.

Maar er is meer: Office 365 geeft uw organisatie eigenlijk geen zicht op een phishing-aanval, het blokkeert alleen spam e-mail. Maar als u uw domein goed wilt beveiligen, moet u precies weten wie of wat zich voordoet als uw merk, en onmiddellijk actie ondernemen. DMARC levert deze gegevens, inclusief de IP-adressen van misbruik verzendende bronnen, evenals het aantal e-mails dat zij verzenden. PowerDMARC tilt dit naar een hoger niveau met geavanceerde DMARC-analyses direct op uw dashboard.

Meer informatie over wat PowerDMARC voor uw merk kan doen.

 

Weet u wat de ergste vorm van phishing is? Het soort dat u niet zomaar kunt negeren: zoals CEO Fraud. E-mails die zogenaamd van de overheid komen, waarin u wordt verteld dat u die belastingbetaling moet doen of dat u anders juridische stappen riskeert. E-mails die eruit zien alsof ze van uw school of universiteit komen, waarin u wordt gevraagd dat ene collegegeld te betalen dat u bent misgelopen. Of zelfs een bericht van je baas of CEO, waarin hij je vraagt om "als gunst" wat geld over te maken.

Het probleem met dit soort e-mails is dat ze zich voordoen als een autoriteitsfiguur, of dat nu de regering, het bestuur van je universiteit of je baas op het werk is. Dat zijn belangrijke mensen, en het negeren van hun berichten zal vrijwel zeker ernstige gevolgen hebben. Je bent dus gedwongen ernaar te kijken, en als het overtuigend genoeg lijkt, zou je er wel eens in kunnen trappen.

Maar laten we eens kijken naar CEO fraude. Wat is het precies? Kan het u overkomen? En als dat zo is, wat moet u dan doen om het te stoppen?

Je bent niet immuun voor CEO fraude

Een oplichterij van 2,3 miljard dollar per jaar, dat is wat het is. U vraagt zich misschien af: "Hoe kunnen bedrijven zoveel geld verliezen aan een eenvoudige e-mailzwendel?" Maar je zou verbaasd zijn hoe overtuigend CEO-fraude e-mails kunnen zijn.

In 2016 verloor Mattel bijna 3 miljoen dollar door een phishingaanval toen een financieel directeur een e-mail van de CEO ontving met de opdracht een betaling te sturen naar een van hun leveranciers in China. Maar pas nadat ze later bij de CEO navraag had gedaan, besefte ze dat hij de e-mail helemaal nooit had verstuurd. Gelukkig werkte het bedrijf samen met de rechtshandhavingsinstanties in China en de VS om hun geld een paar dagen later terug te krijgen, maar dat gebeurt bijna nooit bij dit soort aanvallen.

Mensen hebben de neiging te geloven dat deze oplichting hen niet zal overkomen... tot het hen overkomt. En dat is hun grootste fout: zich niet voorbereiden op CEO-fraude.

Phishing-zwendel kan uw organisatie niet alleen miljoenen euro's kosten, het kan ook een blijvende impact hebben op de reputatie en geloofwaardigheid van uw merk. U loopt het risico te worden gezien als het bedrijf dat geld heeft verloren aan een e-mailzwendel en het vertrouwen te verliezen van uw klanten wier gevoelige persoonlijke gegevens u bewaart.

In plaats van achteraf de schade proberen te beperken, is het veel zinvoller om uw e-mailkanalen te beveiligen tegen spear-phishingpraktijken zoals deze. Hier zijn enkele van de beste manieren waarop u ervoor kunt zorgen dat uw organisatie geen statistiek wordt in het rapport van de FBI over BEC.

Hoe CEO-fraude te voorkomen: 6 eenvoudige stappen

  1. Uw personeel voorlichten over veiligheid
    Dit is absoluut essentieel. Uw personeel, en vooral de financiële medewerkers, moeten begrijpen hoe Business Email Compromise werkt. En dan bedoelen we niet alleen een saaie twee uur durende presentatie over het niet opschrijven van uw wachtwoord op een post-it briefje. U moet ze leren hoe ze moeten uitkijken naar verdachte tekenen dat een e-mail nep is, hoe ze moeten uitkijken naar vervalste e-mailadressen en abnormale verzoeken die andere personeelsleden via e-mail lijken te doen.
  2. Let op tekenen van spoofing
    Oplichters gebruiken allerlei tactieken om u zover te krijgen dat u hun verzoeken inwilligt. Dit kan gaan van dringende verzoeken/instructies om geld over te maken als een manier om u snel en zonder na te denken te laten handelen, of zelfs het vragen om toegang tot vertrouwelijke informatie voor een 'geheim project' dat de hogere bazen nog niet met u willen delen. Dit zijn ernstige rode vlaggen, en u moet dubbel en driedubbel controleren voordat u enige actie onderneemt.
  3. Bescherm uzelf met DMARC
    De eenvoudigste manier om phishing te voorkomen is om de e-mail in de eerste plaats niet te ontvangen. DMARC is een e-mailverificatieprotocol dat e-mails verifieert die van uw domein afkomstig zijn voordat ze worden afgeleverd. Wanneer u DMARC op uw domein afdwingt, wordt elke aanvaller die zich voordoet als iemand van uw eigen organisatie gedetecteerd als een onbevoegde afzender, en wordt hun e-mail uit uw inbox geblokkeerd. U heeft helemaal geen last van spoofed emails.
  4. Krijg uitdrukkelijke toestemming voor overschrijvingen
    Dit is een van de gemakkelijkste en eenvoudigste manieren om te voorkomen dat geld naar de verkeerde personen wordt overgemaakt. Maak het verplicht om expliciete toestemming te vragen aan de persoon die om geld vraagt, via een ander kanaal dan e-mail, voordat u een transactie uitvoert. Maak voor grotere overschrijvingen een mondelinge bevestiging verplicht.
  5. E-mails met gelijksoortige extensies markeren
    De FBI raadt uw organisatie aan systeemregels op te stellen die automatisch e-mails markeren die extensies gebruiken die te veel lijken op uw eigen extensies. Als uw bedrijf bijvoorbeeld '123-business.com' gebruikt, zou het systeem e-mails met extensies als '123_business.com' kunnen detecteren en markeren.
  6. Koop gelijkaardige domeinnamen
    Aanvallers gebruiken vaak domeinnamen die er hetzelfde uitzien om phishing-e-mails te versturen. Als uw organisatie bijvoorbeeld een kleine letter 'i' in haar naam heeft, gebruiken ze misschien een hoofdletter 'I', of vervangen ze de letter 'E' door het cijfer '3'. Als u dit doet, verlaagt u de kans dat iemand u e-mails stuurt met een domeinnaam die er sterk op lijkt.

 

Als DMARC dienstverlener, krijgen we deze vraag vaak gesteld: "Als DMARC gewoon SPF en DKIM authenticatie gebruikt, waarom zouden we ons dan druk maken om DMARC? Is dat niet gewoon overbodig?"

Aan de oppervlakte lijkt het misschien weinig verschil te maken, maar de realiteit is heel anders. DMARC is niet zomaar een combinatie van SPF en DKIM technologieën, het is een geheel nieuw protocol op zich. Het heeft verschillende kenmerken die het tot een van de meest geavanceerde e-mail authenticatie standaarden ter wereld maken, en een absolute noodzaak voor bedrijven.

Maar wacht eens even. We hebben nog geen antwoord gegeven op de vraag waarom je DMARC nodig hebt. Wat heeft het te bieden dat SPF en DKIM niet hebben? Nou, dat is een nogal lang antwoord; te lang voor slechts één blog post. Dus laten we het opsplitsen en het eerst over SPF hebben. Voor het geval u er niet mee bekend bent, hier een korte introductie.

Wat is SPF?

SPF, of Sender Policy Framework, is een e-mail authenticatieprotocol dat de e-mailontvanger beschermt tegen gespoofde e-mails. Het is in wezen een lijst van alle IP-adressen die toestemming hebben om e-mail te verzenden via uw kanalen (de eigenaar van het domein). Wanneer de ontvangende server een bericht van uw domein ziet, controleert hij uw SPF-record dat in uw DNS is gepubliceerd. Als het IP-adres van de afzender in deze 'lijst' staat, wordt de e-mail afgeleverd. Zo niet, dan weigert de server de e-mail.

Zoals u ziet, houdt SPF heel goed een heleboel ongewenste e-mails buiten die uw apparaat zouden kunnen beschadigen of de beveiligingssystemen van uw organisatie in gevaar zouden kunnen brengen. Maar SPF is lang niet zo goed als sommige mensen misschien denken. Dat komt omdat het een aantal zeer grote nadelen heeft. Laten we een paar van deze problemen eens bespreken.

Beperkingen van SPF

SPF records zijn niet van toepassing op het Van adres

E-mails hebben meerdere adressen om hun afzender te identificeren: het Van-adres dat u normaal ziet, en het Return Path-adres dat verborgen is en één of twee klikken vereist om het te zien. Als SPF is ingeschakeld, kijkt de ontvangende e-mailserver naar het Return Path en controleert de SPF records van het domein van dat adres.

Het probleem is dat aanvallers hier misbruik van kunnen maken door een vals domein te gebruiken in hun Return Path adres en een legitiem (of legitiem uitziend) e-mailadres in het From gedeelte. Zelfs als de ontvanger de e-mail-ID van de afzender controleert, ziet hij eerst het Van-adres en neemt hij meestal niet de moeite om het Return Path te controleren. De meeste mensen weten niet eens dat er zoiets bestaat als een Return Path-adres.

SPF kan vrij gemakkelijk worden omzeild door deze eenvoudige truc toe te passen, en zelfs domeinen die met SPF zijn beveiligd, worden hierdoor grotendeels kwetsbaar.

SPF records hebben een DNS lookup limiet

SPF records bevatten een lijst van alle IP-adressen die door de eigenaar van het domein gemachtigd zijn om e-mails te verzenden. Zij hebben echter een belangrijk nadeel. De ontvangende server moet het record controleren om te zien of de afzender gemachtigd is, en om de belasting van de server te verminderen, hebben SPF records een limiet van 10 DNS lookups.

Dit betekent dat als uw organisatie gebruik maakt van meerdere derde partijen die emails versturen via uw domein, het SPF record uiteindelijk die limiet kan overschrijden. Tenzij goed geoptimaliseerd (wat niet eenvoudig is om zelf te doen), zullen SPF records een zeer beperkende limiet hebben. Wanneer u deze limiet overschrijdt, wordt de SPF implementatie als ongeldig beschouwd en zal uw e-mail SPF niet halen. Dit kan schadelijk zijn voor de afleveringspercentages van uw e-mail.

 

SPF werkt niet altijd wanneer de e-mail wordt doorgestuurd

SPF heeft nog een kritisch foutpunt dat de bezorgbaarheid van uw e-mail kan schaden. Wanneer u SPF op uw domein hebt geïmplementeerd en iemand stuurt uw e-mail door, kan de doorgestuurde e-mail worden geweigerd vanwege uw SPF-beleid.

Dat komt omdat het doorgestuurde bericht de ontvanger van de e-mail heeft veranderd, maar het adres van de e-mailafzender blijft hetzelfde. Dit wordt een probleem omdat het bericht het Van-adres van de oorspronkelijke afzender bevat, maar de ontvangende server een ander IP ziet. Het IP-adres van de doorsturende e-mailserver is niet opgenomen in het SPF-record van het domein van de oorspronkelijke afzender. Dit kan ertoe leiden dat de e-mail door de ontvangende server wordt geweigerd.

Hoe lost DMARC deze problemen op?

DMARC gebruikt een combinatie van SPF en DKIM om e-mail te authenticeren. Een e-mail moet of SPF of DKIM passeren om DMARC te passeren en succesvol te worden afgeleverd. En het voegt ook een belangrijke functie toe die het veel effectiever maakt dan SPF of DKIM alleen: Rapportage.

Met DMARC-rapportage krijgt u dagelijks feedback over de status van uw e-mailkanalen. Dit omvat informatie over uw DMARC afstemming, gegevens over e-mails die niet geauthenticeerd zijn, en details over mogelijke spoofing pogingen.

Als u zich afvraagt wat u kunt doen om niet gespooft te worden, bekijk dan onze handige gids met de top 5 manieren om e-mail spoofing te vermijden.

Als het gaat om cybercriminaliteit en veiligheidsbedreigingen, is Vendor Email Compromise (VEC) de grote vader van de e-mailfraude. Het is het type aanval waar de meeste organisaties het minst op voorbereid zijn en waar ze het meest mee te maken krijgen. In de afgelopen drie jaar heeft VEC organisaties meer dan 26 miljard dollar gekost. En het kan schokkend eenvoudig zijn om het uit te voeren.

Bij BEC-aanvallen, vergelijkbaar met VEC, doet de aanvaller zich voor als een hoger kaderlid van de organisatie en verstuurt hij e-mails naar een pas aangeworven werknemer, vaak op de financiële afdeling. Hij vraagt om geld over te maken of valse facturen te betalen, wat, als het goed genoeg wordt uitgevoerd, een minder ervaren medewerker kan overhalen de transactie te initiëren.

U begrijpt waarom BEC zo'n groot probleem is bij grote organisaties. Het is moeilijk om de activiteiten van al uw werknemers in de gaten te houden, en de minder ervaren werknemers trappen gemakkelijker in een e-mail die van hun baas of CFO afkomstig lijkt te zijn. Toen organisaties ons vroegen wat de gevaarlijkste cyberaanval was waarvoor ze moesten oppassen, was ons antwoord altijd BEC.

Dat wil zeggen, tot Silent Starling.

Georganiseerd Cybercriminaliteit Syndicaat

De zogenaamde Silent Starling is een groep Nigeriaanse cybercriminelen met een geschiedenis in oplichting en fraude die al teruggaat tot 2015. In juli 2019 gingen ze in zee met een grote organisatie, waarbij ze zich voordeden als de CEO van een van hun zakenpartners. In de e-mail werd gevraagd om een plotselinge, last minute wijziging in bankgegevens, met het verzoek om een dringende overschrijving.

Gelukkig ontdekten zij dat de e-mail vals was voordat er een transactie plaatsvond, maar in het daaropvolgende onderzoek kwamen de verontrustende details van de methoden van de groep aan het licht.

Bij wat nu Vendor Email Compromise (VEC) wordt genoemd, voeren de aanvallers een aanzienlijk uitgebreidere en beter georganiseerde aanval uit dan bij conventionele BEC. De aanval bestaat uit drie afzonderlijke, ingewikkeld geplande fasen die veel meer inspanning lijken te vergen dan wat de meeste BEC-aanvallen gewoonlijk vereisen. Het werkt als volgt.

VEC: Hoe een bedrijf oplichten in 3 stappen

Stap 1: Inwerken

De aanvallers krijgen eerst toegang tot de e-mailaccount van een of meer personen bij de organisatie. Dit is een zorgvuldig georkestreerd proces: ze zoeken uit welke bedrijven geen DMARC-geauthenticeerde domeinen hebben. Dit zijn gemakkelijke doelwitten om te spoofen. Aanvallers krijgen toegang door werknemers een phishing-e-mail te sturen die eruitziet als een aanmeldingspagina en stelen hun aanmeldingsgegevens. Nu hebben ze volledige toegang tot het reilen en zeilen van de organisatie.

Stap 2: Verzamelen van informatie

Deze tweede stap is een soort uitkijkfase. De criminelen kunnen nu vertrouwelijke e-mails lezen, en gebruiken dit om een oogje in het zeil te houden voor werknemers die betrokken zijn bij het verwerken van betalingen en transacties. De aanvallers identificeren de grootste zakenpartners en verkopers van de doelorganisatie. Ze verzamelen informatie over de interne werking van de organisatie - zaken als factureringspraktijken, betalingsvoorwaarden, en zelfs hoe officiële documenten en facturen eruit zien.

Stap 3: Actie ondernemen

Met al deze verzamelde informatie creëren de oplichters een uiterst realistische e-mail en wachten zij op de juiste gelegenheid om deze te verzenden (meestal vlak voordat een transactie op het punt staat plaats te vinden). De e-mail is gericht aan de juiste persoon op het juiste moment, en komt via een echte bedrijfsaccount, waardoor hij bijna onmogelijk te identificeren is.

Door deze 3 stappen perfect te coördineren, slaagde Silent Starling erin om de beveiligingssystemen van hun doelwit te compromitteren en bijna tienduizenden dollars te stelen. Zij waren een van de eersten die zo'n uitgebreide cyberaanval probeerden uit te voeren, en helaas zullen zij zeker niet de laatsten zijn.

Ik wil geen slachtoffer worden van VEC. Wat moet ik doen?

Het echt enge van VEC is dat zelfs als u het hebt kunnen ontdekken voordat de oplichters geld konden stelen, dit niet betekent dat er geen schade is aangericht. De aanvallers hebben nog steeds volledige toegang gekregen tot uw e-mailaccounts en interne communicatie en hebben een gedetailleerd inzicht gekregen in de financiën, factureringssystemen en andere interne processen van uw bedrijf. Informatie, vooral gevoelige informatie zoals deze, laat uw organisatie volledig blootgesteld, en de aanvaller kan altijd een andere zwendel proberen.

Wat kunt u ertegen doen? Hoe moet je voorkomen dat een VEC-aanval jou overkomt?

1. Bescherm uw e-mailkanalen

Een van de meest effectieve manieren om e-mailfraude te stoppen, is om de aanvallers niet eens te laten beginnen met stap 1 van het VEC-proces. U kunt voorkomen dat cybercriminelen de eerste toegang krijgen door eenvoudigweg de phishing-e-mails te blokkeren die ze gebruiken om uw aanmeldingsgegevens te stelen.

Met het PowerDMARC-platform kunt u DMARC-verificatie gebruiken om aanvallers ervan te weerhouden zich voor te doen als uw merk en phishing-e-mails te sturen naar uw eigen medewerkers of zakenpartners. Het laat u zien wat er allemaal gebeurt in uw e-mailkanalen en waarschuwt u direct als er iets misgaat.

2. Leid uw personeel op

Een van de grootste fouten die zelfs grotere organisaties maken, is dat ze niet wat meer tijd en moeite investeren in het opleiden van hun personeel met achtergrondkennis over veelvoorkomende onlinezwendel, hoe het werkt en waar ze op moeten letten.

Het kan erg moeilijk zijn om het verschil te zien tussen een echte e-mail en een goed opgestelde nepmail, maar er zijn vaak veel verklikkerlampjes die zelfs iemand die niet goed is opgeleid in cyberbeveiliging kan herkennen.

3. Beleid vaststellen voor zaken via e-mail

Veel bedrijven nemen e-mail gewoon voor lief, zonder echt na te denken over de inherente risico's van een open, ongemodereerd communicatiekanaal. In plaats van elke correspondentie impliciet te vertrouwen, moet men ervan uitgaan dat de persoon aan de andere kant niet is wie hij beweert te zijn.

Als u een transactie moet voltooien of vertrouwelijke informatie met hen moet delen, kunt u een secundair verificatieproces gebruiken. Dit kan gaan van het bellen van de partner om te bevestigen, tot het laten autoriseren van de transactie door een andere persoon.

Aanvallers vinden steeds nieuwe manieren om zakelijke e-mailkanalen te compromitteren. U kunt het zich niet veroorloven onvoorbereid te zijn.

 

DMARC mythes ontkrachten

Voor veel mensen is het niet meteen duidelijk wat DMARC doet of hoe het domain spoofing, impersonation en fraude voorkomt. Dit kan leiden tot ernstige misvattingen over DMARC, hoe e-mail authenticatie werkt, en waarom het goed voor je is. Maar hoe weet je wat goed is en wat fout? En hoe kun je er zeker van zijn dat je het correct implementeert? 

PowerDMARC is hier om u te helpen! Om u te helpen DMARC beter te begrijpen, hebben we deze lijst samengesteld met de top 6 meest voorkomende misvattingen over DMARC.

Misvattingen over DMARC

1. DMARC is hetzelfde als een spamfilter

Dit is een van de meest voorkomende dingen die mensen verkeerd zien over DMARC. Spamfilters blokkeren inkomende emails die in uw inbox terecht komen. Dit kunnen verdachte emails zijn, verzonden vanaf eender welk domein, niet alleen dat van u. DMARC daarentegen vertelt ontvangende e-mailservers hoe ze moeten omgaan met uitgaande e-mails die vanaf uw domein zijn verzonden. Spamfilters zoals Microsoft Office 365 ATP bieden geen bescherming tegen dergelijke cyberaanvallen. Als uw domein DMARC-verplicht is en de e-mail de verificatie niet doorstaat, weigert de ontvangende server de e-mail.

2. Zodra je DMARC hebt ingesteld, is je e-mail voor altijd veilig

DMARC is een van de meest geavanceerde e-mailverificatieprotocollen die er zijn, maar dat betekent niet dat het volledig zelfvoorzienend is. U moet regelmatig uw DMARC rapporten controleren om er zeker van te zijn dat e-mails van geautoriseerde bronnen niet worden geweigerd. Nog belangrijker is het om te controleren of onbevoegde afzenders misbruik maken van uw domein. Als u een IP-adres ziet dat herhaaldelijk probeert uw e-mail te spoofen, moet u onmiddellijk actie ondernemen en hen op de zwarte lijst laten plaatsen of laten verwijderen.

3. DMARC zal mijn e-mail deliverability verminderen

Wanneer je DMARC instelt, is het belangrijk om je beleid eerst op p=none te zetten. Dit betekent dat al je emails nog steeds worden afgeleverd, maar dat je DMARC rapporten ontvangt over of ze geslaagd of niet geslaagd zijn voor authenticatie. Als je tijdens deze controleperiode ziet dat je eigen e-mails DMARC niet halen, kun je actie ondernemen om de problemen op te lossen. Zodra al uw geauthoriseerde emails correct gevalideerd worden, kunt u DMARC afdwingen met een policy van p=quarantine of p=reject.

4. Ik hoef DMARC niet af te dwingen (p=none is genoeg)

Wanneer je DMARC instelt zonder het af te dwingen (policy van p=none), worden alle emails van je domein-ook diegene die DMARC niet halen-afgeleverd. U zult DMARC rapporten ontvangen maar uw domein niet beschermen tegen pogingen tot spoofing. Na de initiële controle periode (hierboven uitgelegd), is het absoluut noodzakelijk om je policy op p=quarantine of p=reject te zetten en DMARC af te dwingen.

5. Alleen grote merken hebben DMARC nodig

Veel kleinere organisaties denken dat alleen de grootste, meest herkenbare merken DMARC bescherming nodig hebben. In werkelijkheid zullen cybercriminelen elk bedrijfsdomein gebruiken om een spoofingaanval uit te voeren. Veel kleinere bedrijven hebben meestal geen speciale cyberbeveiligingsteams, waardoor het voor aanvallers nog gemakkelijker is om kleine en middelgrote organisaties aan te vallen. Onthoud dat elke organisatie die een domeinnaam heeft, DMARC-bescherming nodig heeft!

6. DMARC rapporten zijn gemakkelijk te lezen

We zien dat veel organisaties DMARC implementeren en de rapporten naar hun eigen e-mail inboxen laten sturen. Het probleem hierbij is dat DMARC-rapporten in een XML-bestandsformaat worden geleverd, dat erg moeilijk te lezen kan zijn als u er niet bekend mee bent. Het gebruik van een speciaal DMARC-platform kan niet alleen uw installatieproces veel eenvoudiger maken, maar PowerDMARC kan uw complexe XML-bestanden omzetten in gemakkelijk leesbare rapporten met grafieken, diagrammen en diepgaande statistieken.