Een impersonatie-aanval is een poging om ongeoorloofde toegang tot informatiesystemen te verkrijgen door zich voor te doen als geautoriseerde gebruikers.
Volgens Security Magazineis er een duizelingwekkende toename van 131% in Whaling en Executive Impersonations tussen Q1 2020 en Q1 2021, waarbij 55% van de cyberbeveiligingsprofessionals zegt dat een leidinggevende van hun bedrijf is nagebootst. Deze aanvallen hebben ondernemingen vorig jaar alleen al 1,8 miljard dollar aan verliezen gekost.
Het probleem is zo wijdverbreid dat 1 op de 3.226 e-mails die een leidinggevende ontvangt (eens in de 24 dagen) een poging tot imitatie is.
In dit artikel zetten we alles uiteen wat u moet weten over een impersonatieaanval, de soorten aanvallen, hoe u ze kunt detecteren en hoe u uw organisatie ertegen kunt verdedigen.
Wat is een imitatie aanval?
Een imitatieaanval is een vorm van social engineering waarbij een aanvaller zich voordoet als iemand anders of zich voordoet als een legitieme gebruiker (of groep gebruikers), om toegang te krijgen tot informatie waartoe hij niet gemachtigd is.
Bij dit type aanval gebruikt de aanvaller vaak social engineering-technieken om informatie over het systeem en/of het doelwit te verkrijgen, bijvoorbeeld door zich voor te doen als een lid van de IT-afdeling en om aanmeldingsgegevens te vragen.
Aanvallen door imitators kunnen persoonlijk, telefonisch of online plaatsvinden. En het kan rampzalig zijn als het niet wordt ontdekt.
Hoe wordt een imitatieaanval uitgevoerd?
Er is sprake van imitatie wanneer een kwaadwillende zich voordoet als een legitieme gebruiker of dienst om toegang te krijgen tot beschermde informatie. Aanvallen met imitatie zijn gemakkelijk uit te voeren en kunnen zeer schadelijk zijn, afhankelijk van het soort gegevens dat de aanvaller probeert te bemachtigen.
Het enige wat een aanvaller hoeft te doen, is genoeg informatie over een legitieme gebruiker of dienst verzamelen om anderen wijs te maken dat zij zijn wie zij zeggen dat zij zijn. De aanvaller zal dan proberen zijn doelwit (of doelwitten) gevoelige informatie te ontfutselen die anders door veiligheidsmaatregelen zou zijn beschermd.
In veel gevallen gebruiken aanvallers e-mail of andere vormen van communicatie om zich voor te doen als iemand anders. Ze sturen e-mails die doen alsof ze iemand anders zijn (bekend als spoofing), waaronder phishingmails met koppelingen die malware downloaden naar het systeem van een nietsvermoedende gebruiker.
Een andere methode die door aanvallers wordt gebruikt, staat bekend als "whaling"; hierbij wordt de identiteit van een manager of eigenaar gestolen en worden e-mails verzonden waarin werknemers worden opgedragen geld over te maken of andere gevoelige informatie te verstrekken. Omdat de e-mail afkomstig lijkt van iemand in een gezaghebbende positie, zullen veel werknemers de instructies zonder vragen op te volgen.
Hoe worden imitatie-aanvallen gepland?
Om een plan te maken voor een impersonatieaanval, moeten hackers eerst informatie verzamelen over hun doelwit. Ze zullen vaak gebruik maken van openbaar beschikbare informatie, zoals profielen op sociale media en de openbaar beschikbare informatie op de website van het bedrijf. De hackers kunnen deze informatie gebruiken om een realistische persona te creëren en beginnen te communiceren met werknemers van het doelbedrijf.
De hacker neemt contact op met de werknemers via methoden die in overeenstemming zijn met wat van deze persona wordt verwacht. De hacker kan werknemers e-mailen, sms'en of bellen met een vals zakelijk e-mailadres of telefoonnummer dat zo veel mogelijk overeenkomt met het werkelijke e-mailadres of telefoonnummer van het bedrijf - het verschil is er, maar het is bijna onzichtbaar voor het blote oog.
Dit geeft de werknemer het gevoel dat hij in contact staat met een bekend persoon in zijn organisatie.
| Hier is een voorbeeld van e-mail impersonatie:
accessorystore@mnmail.com accessarystore@mnmail.com Zoals u hierboven kunt zien, zijn de verschillen tussen de twee e-mails subtiel en gemakkelijk te missen, vooral als u honderden e-mails per dag krijgt. |
Zodra de hacker het vertrouwen van de werknemer heeft gewonnen, zal hij hem een e-mail sturen die afkomstig lijkt te zijn van een authentieke bedrijfsbron. Deze e-mails bevatten vaak koppelingen naar websites die om persoonlijke informatie vragen of de werknemer vragen actie te ondernemen (bijvoorbeeld bestanden downloaden). Deze websites en bestanden zijn geïnfecteerd met malware waarmee hackers toegang kunnen krijgen tot gegevens, persoonlijke informatie kunnen stelen of andere cyberaanvallen kunnen uitvoeren op het netwerk van het bedrijf.
Dergelijke vervalste afzenderadressen worden geweigerd door een strikt DMARC-beleiddie u kunt gebruiken voor uw e-mails om beschermd te blijven tegen impersonatieaanvallen.
Een aantal veel voorkomende imitatie aanvalstactieken
Er zijn verschillende manieren waarop aanvallers kunnen proberen zich voor te doen als u of iemand die u kent. Hier zijn enkele veel voorkomende tactieken:
1. Gratis e-mail account aanval
De aanvaller gebruikt een gratis e-maildienst om berichten te versturen vanaf een e-mailadres dat lijkt op het adres dat door het doelwit wordt gebruikt. Deze tactiek kan worden gebruikt om mensen over te halen een schadelijke website te bezoeken, malware te downloaden of informatie te verstrekken zoals wachtwoorden of creditcardnummers.
2. Nicht Domein aanval
Bij de Cousin Domain-aanval maakt de aanvaller een website die er bijna identiek uitziet als de website van uw bank, maar die eindigt op bijvoorbeeld .com in plaats van .org of .net. Vervolgens stuurt hij e-mails vanaf deze nepsite: als mensen op de links in die e-mails klikken, komen ze op de nepsite terecht in plaats van op de site van hun echte bank.
3. Valse Envelop Afzender Aanval
De aanvaller creëert een e-mail met een afzenderadres dat afkomstig lijkt te zijn van een bekend bedrijf, zoals "payments@apple.com". Omdat dit adres er legitiem uitziet, omzeilt het de filters van de meeste mailservers. De aanvaller richt zich vervolgens met zijn bericht op de slachtoffers en verleidt hen ertoe op koppelingen te klikken of bijlagen te openen waarmee malware hun computers kan infecteren.
4. Valse header-verstuurder aanval
Een header-afzenderaanval is een vorm van e-mail-spoofing die kan worden gebruikt om mensen te laten geloven dat een bericht door iemand anders dan de werkelijke bron is verzonden. Bij dit soort aanval wordt het veld "afzender" in de header van een e-mailbericht zodanig gewijzigd dat het een ander adres bevat dan het adres dat het bericht daadwerkelijk heeft verzonden. Dit kan worden gedaan door de velden "Van:" of "Return-Path:" te wijzigen, of beide. Het doel van deze aanvallen is het te laten lijken alsof een e-mail door iemand anders is verzonden - bijvoorbeeld een zakenrelatie of vriend - zodat de ontvangers berichten openen van iemand die ze kennen.
5. Gecompromitteerde e-mail account aanval
Bij deze aanval krijgt een aanvaller toegang tot een legitieme e-mailaccount en gebruikt hij die account om e-mails en berichten naar andere personen in de organisatie te sturen. De aanvaller kan beweren dat hij een werknemer is met speciale kennis of bevoegdheden, of hij kan zich voordoen als een andere persoon met speciale kennis of bevoegdheden.
6. CEO Fraude Aanval
Bij deze aanval doen aanvallers zich voor als de CEO van een bedrijf en proberen zij werknemers of klanten ervan te overtuigen dat zij toegang moeten krijgen tot gevoelige informatie. De aanvaller maakt vaak gebruik van social engineering-technieken, zoals phishing-e-mails of telefoongesprekken waarbij het lijkt alsof hij vanuit de IT-afdeling van uw bedrijf belt. Ze gebruiken vaak taal die specifiek is voor uw branche of bedrijf om legitiem en betrouwbaar over te komen terwijl ze om gevoelige informatie vragen zoals wachtwoorden of creditcardnummers.
7. Man-in-the-Middle (MITM)-aanval
Bij dit soort aanval onderschept de aanvaller uw communicatie met een legitieme dienst en stuurt deze vervolgens door naar de legitieme dienst alsof ze van u afkomstig zijn. Op deze manier kan de aanvaller uw communicatie afluisteren, wijzigen of helemaal verhinderen dat deze plaatsvindt.
Hoe herken je een imitatieaanval?
Een gevoel van urgentie:De aanvaller kan er bij de ontvanger op aandringen om onmiddellijk te handelen (zoals het initiëren van een onmiddellijke overschrijving, anders wordt hun rekening permanent geblokkeerd) door een dringende toon te gebruiken in hun e-mails. Dit zet slachtoffers onder druk om actie te ondernemen zonder na te denken.
Vertrouwelijkheid: De aanvaller kan aangeven dat de informatie waar hij om vraagt privé moet worden gehouden, waarmee hij impliceert dat openbaarmaking ervan ernstige gevolgen kan hebben.
Verzoek om gevoelige informatie te delen: De aanvaller kan u vragen om informatie die alleen uw bank zou weten, zoals uw rekeningnummer of wachtwoord. Hij kan u ook vragen om uw bedrijfsgegevens te verstrekken, die privégegevens zijn waartoe alleen u toegang hebt. Op die manier kunnen ze toegang krijgen tot de databases van uw bedrijf en gevoelige informatie lekken.
Gewijzigde e-mailadressen: Als u bijvoorbeeld een e-mail ontvangt van iemand die zich voordoet als iemand van "Amazon" en u vraagt in te loggen en uw accountgegevens bij te werken, maar het e-mailadres is in werkelijkheid "amaz0n@gmail.com", dan kan het gaan om een imitatieaanval.
Slecht geschreven e-mails: Phishing-e-mails zijn slecht geschreven, vaak met spel- en grammaticafouten, omdat ze meestal massaal worden gegenereerd.
Aanwezigheid van kwaadaardige koppelingen of bijlagen: Kwaadaardige links en bijlagen zijn een veel voorkomende manier om een impersonatie-aanval uit te voeren. Dit soort aanvallen kan worden herkend aan de aanwezigheid van:
- Links die openen in een nieuw tabblad in plaats van in het huidige tabblad.
- Bijlagen met vreemde titels of bestandsextensies (zoals "attachment" of ".zip").
- Bijlagen die een uitvoerbaar bestand bevatten (zoals .exe).
Beschermd blijven tegen imitatie
1. Bedrijven moeten zich ervan bewust zijn dat een cyberveiligheidsopleiding van essentieel belang is om zich tegen dit soort aanvallen te beschermen. De opleiding moet het volgende omvatten:
- Hoe aanvallers zich kunnen voordoen als gebruikers en toegang kunnen krijgen tot systemen
- Hoe herkent u de signalen dat iemand zich als u voordoet, zodat u actie kunt ondernemen voordat er schade wordt aangericht?
- Hoe preventieve controles, zoals twee-factor authenticatie, pogingen tot ongeoorloofde toegang door iemand die zich als u voordoet, kunnen helpen voorkomen
2. Het e-maildomein van het bedrijf moet ook worden beschermd tegen impersonatieaanvallen. Dit betekent dat er een strikt beleid moet zijn voor het registreren van nieuwe domeinen en accounts binnen uw organisatie, en dat moet worden bijgehouden wie toegang heeft tot elk domein, zodat ze indien nodig kunnen worden verwijderd.
3. Wanneer u een e-mailaccount voor uw bedrijf aanmaakt, zorg er dan voor dat het een domein gebruikt dat specifiek is voor uw bedrijf. Gebruik geen "@gmail" of "@yahoo" omdat die domeinen te algemeen zijn en door iedereen kunnen worden gebruikt die zich als u wil voordoen. Gebruik in plaats daarvan iets als "@uwbedrijfsnaamhier.com" met uw bedrijfsnaam in plaats van "uwbedrijfsnaamhier". Op die manier, als iemand probeert zich voor te doen als u door een e-mail te sturen vanaf een ander e-mail adres, zal niemand hem geloven omdat ze weten welke domeinnaam bij uw bedrijf hoort.
4. Bedrijven moeten overwegen oplossingen voor e-mailbeveiliging te implementeren, zoals een DMARC-analysator die door middel van verificatie blokkeren dat geïmiteerde domeinen e-mails met verdachte bijlagen of koppelingen (zoals phishingmails) afleveren.
Wilt u 24/7 bescherming tegen impersonatie? PowerDMARC is een leverancier van e-mail authenticatie-oplossingen - die diensten levert die bedrijven in staat stellen hun e-mailcommunicatie te beveiligen. Wij helpen u de reputatie van uw domein te beheren door ervoor te zorgen dat alleen e-mails van geautoriseerde afzenders via beveiligde gateways worden afgeleverd, terwijl het ook wordt beschermd tegen spoofing door cybercriminelen en phishers.
