Misleiding wint het van de wijsheid

Regelmatig geef ik presentaties, waarin ik aangeef waarom bewustwordingstrajecten vanuit IT vaak niet werken. Dat doe ik dan aan de hand van onderstaand filmpje. Dit is een fragment uit een video waarin Joey Salads een sociaal-experiment uitvoert op kinderen. Hij vraagt ouders hoe hun eigen kind zou reageren als hij ze benadert en vervolgens vraagt om met hem mee te gaan. Kortom, hoe reageert een kind op misleiding.

Hoe zouden jouw gebruikers reageren als ze worden benaderd door een onbekende man…, of hacker?

Onbekende man

In dit filmpje geeft de moeder aan dat ze elke dag tegen haar zoontje zegt dat hij niet met vreemde mensen mag praten en direct naar haar toe moet komen. De vraag is natuurlijk wat haar zoontje doet als hij in een dergelijke situatie komt. Hij doet precies het tegenovergestelde; hij praat wel tegen de vreemde man en gaat niet eerst naar zijn moeder toe, hij kijkt haar niet eens aan! Erger nog, het jongetje doet ook nog eens precies waarvoor zij hem juist probeert te behoeden; hij gaat mee met de onbekende man!

Stel jezelf, als IT-er, maar eens de vraag wat jouw “kinderen” doen ondanks dat jij ze dagelijks waarschuwt voor de gevolgen van het klikken op links en het openen van bijlagen. Ook van jouw “kinderen” zijn er waarschijnlijk nog veel die gewoon meegaan met die vreemde persoon en dus wel op een link klikken of toch die malafide bijlagen openen.

Zowel voor het kind als de computergebruiker is het de misleiding die het wint van de wijsheid. De misleiding werkt immers verblindend. Het kind denkt bij het zien van de puppy niet eens meer aan zijn moeder, en de gebruiker ziet geen phishing-kenmerken meer op het moment dat een e-mail hem of haar verrast, beangstigt of nieuwsgierig maakt.

Misleiding werkt verblindend

De phishing mail hiernaast is een goed voorbeeld van misleiding van de gebruiker. Wat de puppy is voor het jongetje, is de e-mail voor de gebruiker. Als ontvanger van de e-mail gaat alle aandacht uit naar het oranje vlak waarin het hoge bedrag staat. Dit zal een schrikreactie veroorzaken bij Ziggo-gebruikers. Doordat de knop “Factuur bekijken” er direct onder staat, hoeft een gebruiker ook niet verder te zoeken en zal geneigd zijn direct te klikken. De combinatie van het oranje vlak, het hoge bedrag en de directe beschikbaarheid van de knop, zorgt voor de ultieme misleiding. De gebruiker zal niet eens meer kijken naar andere phishing kenmerken zoals de afzender, de afwezigheid van een persoonlijke aanhef en de link die achter de knop zit. Kortom; Ziggo heeft de cybercriminelen een lief klein puppy gegeven waarmee misleiding een koud kunstje is.

Het wijzende vingertje

De wijzende vingertjes van bezorgde ouders en de verontruste IT-ers werken niet. We moeten een gebruiker dus niet alleen vertellen wat niet mag, maar vooral aangeven waarom hij of zij niet zomaar op links kan klikken of een bijlage kan openen.

Bij een goede bewustwordingscampagne is het dus zaak gebruikers niet terecht te wijzen, maar inzicht te geven in de gevaren die ze persoonlijk raken, hoe deze te herkennen zijn en welke stappen ze vervolgens kunnen nemen om te voorkomen dat ze slachtoffer worden.

Phishing, we leren het blijkbaar nooit!

Al twee jaar lang gebruiken cybercriminelen dezelfde phishing-e-mail.

Tijdens de verschillende trainingen en seminars die ik verzorg grijp ik regelmatig terug op een “oud” phishing-voorbeeld. Elke keer als ik de slide zie, denk ik “Het wordt tijd dat ik een actueler voorbeeld neem.” Maar dat blijkt niet nodig…

Voorbeeld PostNL phishing van Fox-IT

Het bovenstaande phishing-voorbeeld is gebaseerd op een blog van Fox-IT over een CryptoLocker variant die in oktober 2014 actief verspreid werd. Voor de verspreiding werd gebruik gemaakt van e-mails die afkomstig leken van PostNL.

Vandaag, 20 september 2016 ontving ik twee mails van PostNL omdat “een koerier had het pakket niet leveren aan uw adres…

Onderstaande mail ontving ik op een persoonlijk e-mail adres:

Persoonlijke PostNL malware mail 2016

De e-mail is gelijk aan de e-mail die 2 jaar geleden al vele slachtoffers maakte. Met exacte dezelfde “kromme” zinnen. Naast een andere verzender en andere links is er 1 belangrijk verschil; de aanhef is persoonlijk!

Uiteraard is een persoonlijke aanhef geen enkele garantie voor de betrouwbaarheid van de e-mail. Zeker niet omdat de e-mail vele andere phishing-kenmerken bevat; slechte grammatica, onbetrouwbare links, onbetrouwbare afzender en onverwachts ontvangen, althans voor mij. Ik verwachte immers geen pakket via PostNL. Maar ook zachte kenmerken als het wekken van nieuwsgierigheid (wat zou het zijn…) en het aanjagen van angst (als ik het pakket niet ontvang moet ik betalen…brrr) zijn aanwezig.

Een tweede e-mail werd ontvangen via een algemeen e-mailadres:

postnl-phishing-2016

Deze is 1-op-1 hetzelfde als 2 jaar geleden… waarschijnlijk zijn er, ondanks alle waarschuwingen de afgelopen jaren nog steeds mensen die hierin trappen.

Het artikel “School medewerkers in veelgebruikte cyberaanval-methodes” bevestigt ook dat de aanvalsmethodes van cybercriminelen al tientallen jaren hetzelfde zijn, omdat er nog steeds gebruikers zijn die zich niet bewust zijn van de onbetrouwbaarheid van e-mail.

Phishing is bijna zo oud als de weg naar Rome.

Uw factuur wacht op betaling

Phishing of slechte marketing?

Een van de eenvoudigst te herkennen kenmerken van phishing is wel de onpersoonlijke aanhef. Zeker wanneer phishing in grote aantallen verstuurd worden maken cybercriminelen vaak gebruik van “Beste” of “Geachte klant”. Voor mij vallen e-mailberichten met een dergelijke onpersoonlijke aanhef direct in de categorie “slechte marketing” of “phishing”. Let er maar eens op in je eigen mailbox 😉

Maar wat als cybercriminelen nu eens een persoonlijke aanhef gebruiken? Dan voldoet het bericht niet meer aan dit makkelijke te herkennen kenmerk. Sterker nog, het maakt het bericht direct veel “geloofwaardiger” voor veel gebruikers.

Phishingmails met LinkedIn-gegevens

Onderstaand bericht is vandaag (dinsdag 7 juni 2016) door vele internetters ontvangen, zo ook door mijn collega Pieter Remers.

Voorbeeld van een phishing e-mail
Het onderwerp “De Gesprekspartners Uw factuur wacht op betaling (019-343647)” trekt al gelijk Pieter’s aandacht en alarmbel 1 gaat af. Wij zijn namelijk altijd netjes op tijd met betalen van facturen.

Phishing of slechte marketing?

De e-mail begint met “Geachte Pieter Remers”… Hebben we dan toch een rekening vergeten te betalen? Vervolgens: “EigenaarAdviseurTrainerCommercieel directeur, De Gesprekspartners”. Hmmm dat is een rare zin zonder spaties en ook een herkenbare zin:

Uw-factuur-functie-Pieter-Remers

Het is de titel van zijn huidige functie van zijn LinkedIn profiel aangevuld met de bedrijfsnaam. De aanvaller wil hiermee de betrouwbaarheid van de mail verhogen, maar het tegendeel is waar, toch? Het is toch raar dat die regel met jouw functie en je bedrijfsnaam daar staat? Alarm bel 2; phishing of slechte marketing?

Malafide

Verder lezen maar. “Deze e-mail betreft de factuur met nummer 016683600. De factuur staat open sinds 9 Juni 16.” De factuur staat open sinds 9 juni 2016 en we ontvangen de mail nu al, op de zevende juni?

OK, duidelijk een malafide mail die direct de prullenbak in kan.

Analyse van de aanval

De mail is in meerdere varianten verstuurd waarbij het onderwerp verwijst naar het bedrijf en het feit dat het een factuur betreft.

Bedrijfsnaam – De nota is onbetaald gebleven
Bedrijfsnaam – Uw laatste factuur wacht op betaling
Bedrijfsnaam: De nota is nog niet betaald
Bedrijfsnaam Uw factuur wacht op betaling

Vaak gevolgd door een willekeurig factuur nummer.

Het bericht zelf begint altijd met:

Geachte Voornaam Achternaam,
Huidige functie, Bedrijfsnaam

De bijlage is een Microsoft Word document met een naam die alsvolgt is opgebouwd

Bedrijfsnaam-Voornaam-Achternaam.doc

Wanneer je de bijlage opent (don’t try this at home!) is de inhoud onleesbaar.

Uw-factuur-waarschuwing

 

Hiermee wil de aanvaller bereiken dat je de macro-beveiliging uitschakelt om zo de tekst alsnog te lezen. Wanneer je dat doet wordt de Zeus Panda-malware geïnstalleerd op jouw computer.

Klik hier voor meer tips over veilig e-mailen.

 

Jouw identiteit kan heel eenvoudig worden overgenomen

Zou je in paniek raken, als internetoplichters je leven over zouden nemen? In dit filmpje wordt een echt slachtoffer getest. Hij krijgt de schrik van z’n leven, wanneer geleidelijk aan zijn identiteit wordt overgenomen door iemand anders. Hij flipt compleet op het moment dat hij hier achter komt! Dit filmpje is een waarschuwing en moet mensen aansporen waakzamer om te gaan met hun persoonlijke gegevens en deze vooral niet te delen via telefoon en e-mail. Tips voor veilig internetbankieren bekijk je hier.

De Nigeriaanse Notaris: Een duur sprookje

Te mooi om waar te zijn!

Ik heb een e-mail ontvangen van een notaris uit Nigeria. Hij wist mij te melden dat ik over een tijdje een enorme som geld kan verwachten! Wauw!!! Al jaren doe ik mee aan de Staatsloterij, maar win nooit iets… En nu dit! Er zijn nog wel wat administratieve handelingen voordat ik me kan opgeven voor de “Dagobert Duck Taks”, maar dat is slechts een formaliteit.

Nigeriaanse oplichters

Nigeriaanse oplichting, een vorm van fraude die wereldwijd vooral wordt aangeduid als de 419-scam. 4.1.9 is een artikel in het Nigeriaanse wetboek van strafrechten. Dit artikel behandelt “het verkrijgen van bezit door middel van oplichting”. Doordat deze oplichtingspraktijken veelal vanuit Nigeria worden gestart is het niet vreemd dat we spreken van Nigeriaanse oplichters. Maar ook niet-Nigerianen, zoals Russische en Oekraïense bendes, staan bekend om het plegen van deze fraude.

De oplichters beloven hun slachtoffers gouden bergen, maar er moeten wel eerst een aantal kleine onkosten worden betaald. En ja, ik hoor je denken: “Daar trap je toch niet in?”. Helaas. Er zijn zelfs mensen die meerdere keren in deze val trappen. De fraudeurs beschikken namelijk over bepaalde “sucker lists”. Lijsten van mensen die eenvoudig te besodemieteren zijn.

Nigeriaanse scamZo gaan ze te werk

Je krijgt een persoonlijke mail van een Nigeriaanse notaris of advocaat met de belofte dat je beschikking hebt over een grote som geld. Deze “persoonlijke” mail wordt overigens, zonder dat jij het weet, ook naar duizenden andere personen gestuurd. Er zijn tegenwoordig niet veel mensen die nog in deze val trappen dus heeft het verzenden van een paar e-mailtjes weinig zin. Wanneer ze duizenden of zelfs miljoenen mails tegelijk versturen is de kans groter dat onze “Nigeriaanse vriend” beet heeft.

Uiteraard wordt er gewacht tot iemand antwoord geeft op dit geweldige nieuws. Dan heeft de fraudeur beet. Hij zal je het verzoek sturen om eerst wat kosten te betalen, zodat hij je daarna echt rijk kan maken. Eenmalig een bedrag overmaken van zo’n kleine € 1.000,- dat stelt niets voor? Zeker niet als je je bedenkt dat je vervolgens in alle weelde te kunnen leven.

Oeps! Je nieuwe beste vriend van het Afrikaanse continent heeft een foutje gemaakt… Het blijkt dat de kosten iets hoger uitvallen en vraagt je nogmaals bij te springen. Je komt eindelijk een beetje tot bezinnen, want je vertrouwt het niet helemaal. Je vraagt hem om bewijs te overleggen.

Natuurlijk, heel begrijpelijk en geen enkel probleem! De notaris belooft je een cheque toe te sturen, voordat je het geld overmaakt. En ja hoor, daar is ie dan… een cheque van maar liefst € 12.000,- ! En warempel, het geld wordt op je rekening bijgeschreven! Geen enkel probleem dus om de extra kosten van € 8.000,- over te maken.

Dan blijft het stil… Je stuurt enkele e-mails met de vraag hoe het ervoor staat, maar de communicatie lijkt dood. En dan… Dan belt de bank;  de cheque blijkt ongedekt en zij zullen de gestorte € 12.000,- weer terugvorderen.

Een simpele rekensom leert ons, dat het geschetste verhaal van hierboven je € 9.000,- heeft gekost! Deze ‘onkosten’-truc wordt net zo vaak herhaald totdat het slachtoffer afhaakt. Dan zijn de oplichters natuurlijk spoorloos verdwenen.

De Fraudehelpdesk schat dat de gemiddelde schade in Nederland op ongeveer €  42.000,- per slachtoffer ligt. Volgens het KLPD bedraagt de totale schade in Nederland ongeveer 60 miljoen euro per jaar. Onderzoek KLPD

Hoe herken je een 419-val?

  • Het betreft altijd een grote som geld, maar er moeten eerst enkele onkosten betaald worden;
  • Het e-mailadres is in 9 van de 10 gevallen een @yahoo.com (of een vergelijkbaar account);
  • De communicatie gebeurt over het algemeen in het Engels;
  • Banken als Western Union worden gebruikt voor de transacties;
  • Last but not least: Vraag jezelf af waarom de briefschrijver bij jou komt?

Als iets te mooi lijkt om waar te zijn, dan is dat ook zo!

Slachtoffer nigeriaanse oplichting

Offer jij je privacy op voor een felicitatie?

Hoeveel is een felicitatie waard?

Op het moment dat je jarig bent stromen de felicitaties binnen; Via SMS, WhatsApp, Facebook, Twitter en misschien zelfs via LinkedIn. Ze komen van iedereen die maar op een of andere manier met jouw verbonden is. Je echte vrienden feliciteren je gewoon face-to-face of via een telefoongesprek.

Birthday Wish Video For You

Uiteraard is de ene persoon meer creatief dan de andere. Van uitgebreide felicitaties tot foto’s en zelfs filmpjes. Van deze laatste ontving ik er ook een in mijn mailbox, tenminste dat zou je denken:

MyFriendlyGift Facebook scam e-mail

Wat natuurlijk opvalt is dat de e-mail Engelstalig is, deze geen persoonlijke aanhef heeft, er geen bekende afzender wordt vernoemd en dat ik wordt gevraagd om op een link te klikken. Kortom, er staan genoeg phishing kenmerken in om deze e-mail direct weg te gooien. Wanneer je toch klikt op de link (don’t try this at home), kom je op de volgende pagina:

MyFriendlyGift Facebook scam landing page

Hier valt eveneens op dat ook hier geen persoonlijke aanhef staat. Ondanks dat mijn foto wordt getoond had een “goede en betrouwbare” dienst toch op zijn minst ook mijn naam getoond in combinatie met de naam van de verzender. Ook hier gaan bij mij alarmbellen af.

Mijn privacy, jouw privacy

Op de pagina twee opties View Messages en Go to Inbox. Wanneer je met de muis op de knoppen gaat staan (zonder te klikken) dan zie je dat beide knoppen naar eenzelfde URL verwijzen ondanks dat je toch twee verschillende pagina’s zou verwachten. Wederom alarmbellen. Ondanks alles klik ik toch om te laten zien waar je uiteindelijk naar toe wordt geleid:

MyFriendlyGift Facebook scam privacy bericht

Voor het tonen van een felicitatie video waarvan je niet eens weet waar die vandaan komt en waarbij al verschillende alarmbellen bij je af (hadden moeten) gaan, wordt er wel erg veel van je gevraagd! In dit geval geef je niet alleen je eigen privacy weg, maar ook die van je vrienden. Ook informatie van je vrienden wordt namelijk beschikbaar gesteld via jouw Facebook-account aan deze website.

De domeinnaam MyFriendlyGift.com

Voor de meer technische lezers enige informatie over de domeinnaam waarnaar verwezen wordt. Via de website URLVoid zien we wat Web of Trust (WOT) deze website als onbetrouwbaar classificeert.

MyFriendlyGift Facebook scam URLVoid resultaten

Bij Web of Trust wordt de website naast Spam ook als Privacy risk gemarkeerd. Dat wordt ook wel bevestigd door de hoeveelheid informatie waartoe de website toegang wil hebben.

MyFriendlyGift Facebook scam Web of Trust (MyWOT) resultaten

Verdere analyse laat verder ook zien dat de WhoIs informatie wordt afgeschermd door WhoIsGuard. De informatie over de eigenaar van het domein wordt hiermee afgeschermd om te voorkomen dat de eigenaar spam ontvang (volgens de beschrijving van WhoIsGuard zelf) of om te verdoezelen dat er een onbetrouwbare eigenaar achter schuil gaat….

Laat de nieuwsgierigheid niet winnen

Het belangrijkste advies: Laat je nieuwsgierigheid het niet winnen van je oplettendheid. Door de phishing kenmerken te controleren kun je al direct zien dat dit een onbetrouwbaar bericht is en je het beter direct kunt verwijderen.

WK Voetbal is voor iedereen interessant

Ook cybercriminelen profiteren van het WK Voetbal

Nu het wereldkampioenschap voetbal in volle gang is, probeert iedereen hiervan mee te profiteren. Ook de mensen met minder goede bedoelingen zijn actief met het WK in Brazilië bezig.

Misleiden

Logo WK Voetbal 2014 in Brazilë Alles rond het WK trekt natuurlijk veel aandacht, dus als je snel veel aandacht wilt hebben moet je iets doen met het WK. Cybercriminelen maken hier dus ook misbruik van. Zij willen in korte tijd veel mensen misleiden om een website te bezoeken, of beter gezegd om op een link te klikken want van een website is niet altijd sprake.

Te mooi om waar te zijn

Eigenlijk geldt het altijd, maar zeker in gevallen zoals een WK Voetbal of een andere grote gebeurtenis; als iets te mooi lijkt om waar te zijn, dat is dat ook zo (behalve dan die 1-5 tegen Spanje;)). In dergelijke gevallen willen cybercriminelen je alleen maar verleiden om op een link te klikken of bijvoorbeeld een Facebook bericht te “liken”.

Malware

Momenteel komen er dagelijks 70 tot 100 nieuwe malafide websites online die een associatie hebben met het wereldkampioenschap voetbal in Brazilië. Via malafide of geïnfecteerde websites probeert men malware te installeren of gegevens van je te verzamelen.
Door Facebook-gebruikers uit te nodigen om op Vind-ik-leuk te klikken worden bepaalde Facebook-accounts gepromoot. Hoe meer vind-ik-leuk’s er zijn, des te meer effect zal het verspreiden van een malafide link hebben op dit account.

Phishing en spam

Om dezelfde reden als hierboven aangegeven zal er ook veel phishing en spam verstuurd worden die gerelateerd is aan het WK Voetbal in Brazilië. Als Nederlanders hebben we het voordeel dat de meeste spam in het Engels wordt verstuurd en daardoor al eerder als spam wordt gezien door vele Nederlandstalige internetters.

Conclusie

Kortom, als er een gebeurtenis of evenement plaatsvindt waar wereldwijd veel aandacht voor is dan moet je extra alert zijn op het internet en bij het verwerken van je e-mail. Nogmaals, als het te mooi is om waar te zijn, dan zal het wel zo zijn. Heb je opeens een WK ticket gewonnen bij iets waar je je niet voor hebt ingeschreven dan is het zeker te mooi om waar te zijn. Laat je niet verleiden!

Deze blog is eerder gepubliceerd op: www.gespreksblog.nl

Wijzigingen Mijn ING

Wijzigingen in Mijn ING

Phishingmails herkennen wordt steeds moeilijker, maar is nog steeds mogelijk. Recent is er een phishingmail verstuurd naar Nederlandse internetgebruikers met als onderwerp “Wijzigingen in Mijn ING”

Mijn ING website logoDe e-mail ziet er qua opmaak en tekstueel professioneel uit. Phishingmails zijn tegenwoordig niet meer direct herkenbaar aan de slechte spelling. Aangezien dat kenmerk wegvalt moeten we dus extra op de overige kenmerken letten. In deze post een aantal tips om dergelijke mails te herkennen en hoe om te gaan met e-mails waarin gevraagd wordt ergens op te klikken of informatie te sturen.

Onderstaand het volledige bericht welke afgelopen dagen is verstuurd in verband met “wijzigingen” aan Mijn ING:

Wijzigngen Mijn ING Phishing voorbeeld

Aanhef

Laten we bij het begin beginnen. De aanhef. “Geachte ING klant”. Hier moeten de eerste alarmbellen al gaan rinkelen. Een algemene aanhef duidt al op een phishingmail. De meeste bedrijven zijn wel instaat om email adressen met namen te combineren zodat ze een persoonlijke aanhef kunnen gebruiken.

Taalgebruik

Opvallend is dat je eerste aangesproken wordt met u en wanneer de opsomming wordt getoond stapt men over op je, althans, voor een aantal items uit de opsomming. Niet consequent en niet professioneel.

Angst

Ook een term die in veel phishingmails gebruikt wordt is “Let op:”. Men wil ons waarschuwen, er is iets aan de hand…. Tevens wordt je in phishingmails vaak angst aangejaagd. Een duidelijk voorbeeld hiervan is “Wanneer je niet snel reageert kun je geen gebruik meer maken van internetbankieren.”. In het bovenstaande voorbeeld is het wat subtieler, maar voor de oplettende lezer is het wel duidelijk: “Om vervelende omstandigheden te voorkomen is het van belang dat u deze stappen doorneemt.” De angst proberen ze te zaaien met het eerste deel van de zin terwijl ze in het tweede gedeelte je juist willen aansporen om daarom direct actie te ondernemen, liefst voordat je je bedenkt natuurlijk.

Ik heb de mail zelf niet ontvangen en weet niet welke link er achter de knop Mijn ING Bijwerken schuil gaat, maar dat is zeker geen link naar de site van de ING.

Conclusie

De e-mail ziet er in eerste instantie professioneel en echt uit, wie echter verder kijkt zal snel zien dat het om een phishing email gaat. Taal-technische is het nog steeds niet 100% (“u” en “je” worden door elkaar gebruikt). Er wordt angst gezaaid (om vervelende omstandigheden te voorkomen) en er wordt om “directe” actie gevraagd (is het van belang dat u deze stappen doorneemt.)
Kortom: Phishing! Niet klikken.

Tips

Enkele tips om te voorkomen dat je slachtoffer wordt van phishing zijn:

  • Klik nooit op links in e-mails, zeker niet als de e-mails van een bank afkomstig (lijken) te zijn.
  • Contacteer bij twijfel eerst je bank alvorens je ergens op klikt.
  • Klik nooit op links in e-mails (herhaling is de kracht van de boodschap ;))
  • Wanneer je van internetbankieren gebruik gaat maken, open de site dan altijd op de volgende manier:
  • Type zelf het volledige adres in inclusief “https://”
  • Log in zoals je dat altijd gewend bent. Zie je afwijkingen of moet je zelfs op een andere manier inloggen, doe dat dan niet en neem zelf contact op met je bank.
  • Mocht de bank je “toevallig” bellen: Ophangen!
  • Open geen bijlagen.
  • Geef nooit persoonlijke informatie, login codes en dergelijke weg via email/telefoon
  • Voor de zekerheid, nog 1 keer: Klik nooit op links!

Blijf opletten!

Deze blog is eerder gepubliceerd op: www.gespreksblog.nl

Spear phishing e-mail, Hoe maak je die?

Puzzelen voor een spear phishing e-mail?

De afgelopen periode zijn mij een drietal zaken opgevallen die te maken hebben met twee van mijn professionele interesses; social media en beveiliging. Nu lijken het drie losstaande artikelen, maar ze versterken elkaar wel. Of misschien beter, ze bevestigen elkaar.

Het bracht mij tot het schrijven van deze blog, niet om stap voor stap te beschrijven hoe je een spear phishing e-mail maakt, maar om aan te geven hoe dergelijke berichten worden samengesteld. Wanneer je je ergens tegen wilt beveiligen is het namelijk goed om te weten hoe de aanvaller te werk gaat.

Beveiligingsvoettekst

Tijdens het samenstellen van een bewustwordingstraining las ik een artikel van LinkedIn over de Beveiligingsvoettekst in e-mails van LinkedIn. Bij het versturen van e-mail plaatst LinkedIn je kopregel onderaan de e-mail.

LinkedIn Phishing waarschuwing

De uitleg van LinkedIn is duidelijk, daar heb ik niets aan toe te voegen:

In onze berichten aan u nemen we een beveiligingsvoettekst op met uw naam en professionele kopregel zodat u echte e-mails van LinkedIn kunt onderscheiden van phishingberichten. ‘Phishingberichten’ lijken vaak op legitieme e-mails, maar ze bevatten doorgaans deze persoonlijke gegevens niet. Ze bevatten wel vaak links naar kwaadaardige sites.

En verder:

Hoewel de aanwezigheid van deze beveiligingsvoettekst niet garandeert dat een e-mail legitiem is, biedt het wel extra zekerheid dat de e-mail van LinkedIn afkomstig is. De meeste phishingaanvallen die zijn gericht op grote mailinglijsten, bevatten deze gegevens niet.

Het advies van LinkedIn:

Open bij twijfel een nieuw browservenster en ga rechtstreeks naar LinkedIn.nl om uw Postvak IN te controleren en het connectieverzoek of bericht te verifiëren.

Ik adviseer echter om altijd de naar de LinkedIn site te gaan en daar het Postvak IN te controleren. Zo hoef je nooit te twijfelen, maar er gewoon een gewoonte van te maken. Ik lees de e-mail berichten van LinkedIn vaak niet eens, laat staan dat ik ze open of zelfs maar op een link klik. Zo voorkom ik dat ik slachtoffer wordt van een spear phishing aanval via LinkedIn.

Gevaarlijkste e-mail

Recent verscheen er een onderzoek waaruit bleek dat LinkedIn-uitnodiging gevaarlijkste e-mailonderwerp van 2013 is. Naast geld valt er bij LinkedIn gebruikers ook nog meer te halen voor cybercriminelen. Denk hierbij bijvoorbeeld ook aan bedrijfsinformatie, toegang tot zakelijke PC’s en vervolgens bedrijfsnetwerken. Maar ook vertrouwen, cybercriminelen kunnen gebruiken maken van jouw LinkedIn account en het vertrouwen welke jou connecties hierin hebben. Kortom, er is genoeg te halen.

Nu weten we aan de hand van het bovenstaande advies hoe we phishing mails kunnen detecteren. Hierin ontbreekt namelijk jouw eigen professionele kopregel. Cybercriminelen die zich bezighouden met phishing personaliseren de mails niet, zij gaan uit van de wet van de grote getallen. Zij zullen dus ook niet de moeite nemen om deze persoonlijke informatie toe te voegen. Toch….?

Spear phishingspearphishing

Er zijn cybercriminelen die zich wel bezig houden met het volledig personaliseren van phishing mails. Enerzijds kun je je dan vereert voelen want jij en alleen jij bent de enige ontvanger van de e-mail. Een phishing mail helemaal op jou gericht; spear phishing noemen ze dat. Een uiterste gericht phishing aanval.

LinkedIn inbox

Tot slot las ik een blog met als titel: De nieuwe inbox van LinkedIn – nader bekeken. Je vraagt je misschien af wat de inhoud van deze laatste blog met de eerste twee artikelen te maken heeft. Het gaat echter niet om de nieuwe inbox van LinkedIn die beschreven staat, maar mijn oog viel op de manier van werken van de auteur. Hij werkt namelijk niet vanuit het Postvak IN van LinkedIn maar vanuit zijn e-mail programma waar de meldingen van LinkedIn binnenkomen. Zoals aangegeven is dit een onveilige manier van werken. Opvallend is dan ook dat deze auteur “de hele dag LinkedIn open hebt staan in een browser tabblad”, waarom dan niet vanuit de site werken?

Aanvallen!

Om een spear phishing aanval uit te voeren zal de cybercrimineel informatie over zijn doel verzamelen. In dit geval wordt het op een presenteer blaadje gegeven.

De professionele kopregel voor de voettekst van de e-mail halen we eenvoudig van LinkedIn. Naast de blog post staat een verwijzing naar het LinkedIn-profiel van de auteur:

LinkedIn Kopregel

De voettekst wordt dus:

U ontvangt de volgende e-mails: Onderschrijvingen. Uitschrijven.

Deze e-mail is gericht aan Jan Willem Alphenaar Ervaren (gast)spreker op het gebied van social media, branding, online marketing en modern ondernemerschap. Lees waarom dit belangrijk is. ©2013, LinkedIn Corporation. 2029 Stierlin Ct. Mountain View, CA 94043, USA

Nu een verzender uitkiezen, bij voorkeur iemand die Jan Willem al kent en waarmee hij eerder gecommuniceerd heeft. In de blog post worden ook deze zo aangeboden:

LinkedIn Verzender uitzoeken

Het bovenstaande screenshot is waarschijnlijk op 12 december genomen. De dag voor Yesterday is namelijk 10 december. Kortom, dit zijn personen waarmee hij recent heeft gecommuniceerd. Krijgt hij daar nog een bericht van dan zal dat niet snel argwaan wekken.
Ook een onderwerp kunnen we uit bovenstaande afbeelding halen. Er wordt geregeld gesproken over het LinkedIn Congres waar Jan Willem mee bezig is. Als we hem nu eens het volgende bericht sturen:

Hallo Jan Willem, Eerder heb ik aangegeven deel te nemen aan je congres, maar nu zag ik dat op dezelfde dag dit LinkedIn event gehouden worden?

Van de woorden LinkedIn event maken we natuurlijk een link naar een malafide website zodat we de daadwerkelijke actie kunnen uitvoeren (malware installeren, logingegevens achterhalen, …). Het is namelijk aannemelijk dat hij op de link gaat klikken om te kijken welk evenement op dezelfde dag wordt gehouden 😉

Nogmaals, de technische details over het versturen van de uiteindelijke spear phishing e-mail heb ik met opzet weggelaten. Bovenstaande geeft weer waar de zwakke plekken zitten waar jezelf ook daadwerkelijk wat aan kunt doen.

Kortom, vergeet de LinkedIn e-mails en gebruik voor LinkedIn berichten alleen het Postvak IN! Zo is de kans dat je slachtoffer wordt van een spear phishing aanval vele malen kleiner.

Deze blog is eerder gepubliceerd op: www.gespreksblog.nl

“Dank je wel Albert Heijn”

Bericht Albert Heijn op Facebook is onzin!

Albert Heijn op Facebook… Het is weer zover… Heel Facebook staat weer vol met “Dank je wel Albert Heijn”. Het zal je niet verbazen dat dit weer een GROOT ONZIN BERICHT IS! Albert Heijn geeft geen cadeaubonnen van € 1.000,- weg!

Mocht je “per ongeluk” op de, zogenaamde, Albert Heijn App hebben geklikt, verwijder deze dan van je Timeline zodat anderen er ook niet intrappen. Het zijn weer de cybercriminelen die hier achter zitten, zij zijn op zoek naar jouw persoonlijke gegevens.

Trap er niet in, hoe vaak moet ik het nog zeggen…

Albert Heijn heeft inmiddels ook een reactie gegeven op dit bericht:

Logo Albert Heijn Facebook“Er is vandaag een valse actie gaande waarbij je zogenaamd een AH cadeaubon t.w.v. € 1000,- zou kunnen claimen. Deze actie is nep en het gaat hier om zogeheten phishing sites. Ter bescherming van je persoonlijke gegevens raden we je daarom ten zeerste af om hieraan deel te nemen. Alle acties van Albert Heijn worden altijd via deze Facebookpagina of ah.nl gecommuniceerd, dus als dit niet het geval is kun je ervan uitgaan dat een dergelijke actie nep is.”

Deze blog is eerder gepubliceerd op: www.gespreksblog.nl