Beheer

Security
Hacker

Phisher is lui en slordig

En dat geeft beveiligers tijd om ergste schade te voorkomen

Hacker © CC0: Pixabay,  Geralt
1 augustus 2017

En dat geeft beveiligers tijd om ergste schade te voorkomen

Phishers zijn lui en slordig. Ze verbergen hun locatie en sporen maar matig en doen er lang over om de gestolen gegevens te misbruiken. Als ze die moeite al nemen.

Dat blijkt uit onderzoek van beveiliger Imperva. Die zocht met behulp van tientallen honeypots uit hoe phishers precies te werk gaan. De onderzoekers wilden zo zien hoeveel tijd een phisher nodig had om een account te misbruiken nadat hij inloggegevens had gestolen. Ook hoopten ze zo te ontdekken hoe ze hun locatie verhulden en hoe ze sporen verborgen als ze een gehackt account manipuleerden. De uitkomsten waren opmerkelijk, maar ook weer hoopgevend voor de speurders. Vooral het feit dat de gestolen gegevens niet bepaald razendsnel worden gebruikt om verder in te breken, geeft aangevallen organisaties ruimte om de gevolgen van een phishingaanval te minimaliseren. Daar zeker 90 procent van de grote cyberaanvallen met een phishingmail begint, zou dat veel schade kunnen voorkomen.

Honeypots

Imperva hield voor het onderzoek 9 maanden lang zo’n 90 accounts op diverse online en e-maildiensten in de lucht als honeypots. Daaruit werd duidelijk dat phishers slordig en lui zijn. Zo werd slechts 20 procent van de accounts binnen 24 uur misbruikt met de gestolen gegevens. Uiteindelijk gebruikte maar 46 procent van de hackers de gestolen inlogdata. Dat betekent dat als een slachtoffer snel ontdekt dat zijn gegevens zijn gestolen hij het misbruik ervan kan voorkomen door heel snel maatregelen te nemen. Een verandering van wachtwoord “vermindert de kans enorm dat het account echt wordt gehackt”, constateert Imperva.

Net een kwart van de hackers zocht naar gevoelige informatie in een gehackt account, bovendien gebeurt dat voornamelijk met de hand.

Sporen

Ook is het bepaald niet moeilijk om te achterhalen wie de phishers zijn. Slechts 17 procent nam de moeite om zijn sporen te verbergen. Zo vernietigde maar 13 procent e-mails die ze hadden gestuurd en verwijderde maar 15 procent sign-in alerts uit de inbox. De meesten lieten die echter wel slingeren in een trash folder. Slechts 2 procent verwijderde sign-in alarmeringen definitief. Dat maakt het allemaal relatief makkelijk te achterhalen waar de phishingaanvallen vandaan komen, constateert Imperva.

Bijna grappig is dat phishing dus ook werkt bij de phishers zelf. De meeste aanvallers die door de honey pots werden gelokt, klikten zonder enige aarzeling op links en openden documenten zonder enige voorzorgsmaatregelen te nemen. Sandboxes of anonimiserende technologieën werden zelden gebruikt, waardoor ze relatief eenvoudig te achterhalen zijn.

Imperva concludeert uit dit alles dat phishing-aanvallen heel goed nog ontdekt kunnen worden voordat de hacker er misbruik van maakt. “Mensen blijven ontvankelijk voor phishing – besmetting is daardoor vrijwel niet te vermijden omdat er op links geklikt blijft worden en men attachments blijft openen. De focus van een organisatie kan daarom beter liggen op beveiliging met threat-intelligence en oplossingen die aanvallen detecteren.” Niet alleen is er zo veel bewijs achtergelaten van de aanval, dat dat heel snel tot alarmmeldingen zou moeten leiden. Ook is er door de traagheid van de aanvallers nog tijd zat om de aanval teniet te doen, voordat er misbruik van de gegevens is gemaakt.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen