Anno 2020 weten we allemaal hoe gevaarlijk phishing kan zijn. Schetsen in welke mate phishing onze samenleving en onze organisaties kan bedreigen is een werk van lange adem. Ik weet niet eens zeker of ik een juiste inschatting kan geven van dat risico. We weten er nog zo weinig van. Toch gaat er voor velen geen dag, of alleszins geen week voorbij zonder dat zij het doel zijn van een cyberaanval via phishing.
Het GÉANT-netwerk verbindt 50 miljoen mensen in heel Europa, 50 miljoen doelwitten voor een phishing-e-mail. Er bestaan veel technologieën om phishing te voorkomen, maar vaak is al gebleken dat zij hun beperkingen hebben. Zelfs als ze 95% van de phishing-e-mails konden blokkeren, moeten onze gebruikers nog steeds de resterende 5% detecteren en rapporteren. En zelfs als we systemen hadden die 99,99% van die e-mails konden stoppen, zouden ze het meer gerichte en gevaarlijke spear phishing niet kunnen tegenhouden zonder veel legitieme e-mails te blokkeren. Technologie kan niet alles oplossen. Zoals CISO 's vaak zeggen, moet de mens de laatste firewall zijn.
Phishing is een vorm van social engineering met e-mails als vector. Criminelen gebruiken phishing meestal om het ene of het andere doel te bereiken: het stelen van informatie (creditcardnummers, computergegevens) of het installeren van malware (ransomware of trojan) op de computer van de gebruiker. We zien ook veel CxO-fraudepogingen (waarbij aanvallers zich voordoen als een CEO, CFO of een andere leidinggevende op hoog niveau) met behulp van spear phishing, vaak in combinatie met andere vormen van social engineering zoals vishing (via spraak, langs de telefoon) of smishing (via sms).
Ons vertrouwen in technologie
Phishingaanvallen spelen in op wat ons als mens typeert. Vaak begint alles bij ons vertrouwen. We hebben de neiging om mensen zoals wij, die tot onze groep behoren, te vertrouwen. We maken deel uit van vele groepen: familie, vrienden, collega's, medestudenten, collega-onderzoekers, teamgenoten in de sportclub of schoolouders. Hoe beter we mensen kennen, hoe meer we ze waarschijnlijk zullen vertrouwen.
Als we dus een sms krijgen van onze beste vriend en zijn of haar foto op onze smartphone zien, gaan we dat bericht wellicht ernstig nemen en denken dat we het mogen vertrouwen (behalve als we weten dat hij veel practical jokes uithaalt). Het betekent ook dat we genoeg vertrouwen hebben in technologie om te geloven dat het bericht van de smartphone van onze vriend komt. Als onze smartphone de foto en naam van onze vriend toont, moet het hem of haar wel zijn. En we mogen dat ook veronderstellen, aangezien gsm-technologie moeilijk te hacken blijkt.
Maar als we een e-mail ontvangen van dezelfde vriend, met dezelfde inhoud, zijn we maar best meer op onze hoede. Waarom? Wel, omdat e-mailtechnologie nog niet zo betrouwbaar is als die van de gsm. Een aanvaller zou misschien het e-mailadres van onze vriend kunnen vervalsen of het met een Punycode kunnen simuleren. Waarschijnlijk kennen we het e-mailadres van die vriend niet eens. Meestal kijken we toch enkel naar de naam van de afzender, niet naar het e-mailadres. Experts in cybersecurity of mensen die goed met een computer kunnen omgaan, vinden dat misschien dom. De lambda-gebruiker weet vaak niet eens wat een "eenvoudige" domeinnaam is. Aangezien er geen "rijbewijs" bestaat om op het internet te surfen en een mailbox te hebben, mogen we niet veronderstellen dat de gebruiker enige basiskennis van IT heeft. Dat spreekt voor zich. We moeten dus IT-diensten leveren die veilig en betrouwbaar zijn. E-mailtechnologie is nog niet veilig, maar kan dat wel worden. Moet het ook worden. Technologieën als anti-spoofing , DNS-domeincontrole , SPF of DKIM bestaan al jaren en worden nog steeds niet verplicht op alle e-mailservers uitgerold. Anders zouden we e-mails wel zoals onze sms-berichten kunnen vertrouwen.
Dat zou een enorme stap vooruit zijn. Toch zou het phishing niet helemaal kunnen tegenhouden. Criminelen zouden nog steeds nieuwe lookalike domeinen kunnen creëren, bestaande e-mailaccounts kapen of andere achterpoortjes gebruiken. Daar moeten we als mensen waakzamer zijn.
Hyperwaakzaamheid
Het grote probleem is dat, hoewel we graag willen dat mensen "menselijke firewalls" zijn, we ze niet daarvoor hebben aangeworven. We verwachten dat ze hun werk doen: studeren, onderzoek doen, mensen genezen, financiën of IT-systemen beheren. Op elk moment waakzaam zijn heet hyperwaakzaamheid. Het is vaak het gevolg van een traumatische gebeurtenis, maar belangrijker nog, de onderliggende oorzaak van pathologieën. Waakzaam zijn vreet extra energie. Het is stresserend. Als we de 150 tot 500 e-mails die we dagelijks ontvangen allemaal nauwlettend gaan bekijken, dan zijn we daar elke dag weer urenlang mee bezig. En dat gaat ons vooral ook uitputten. Geen goed idee. Wat kunnen we dan doen?
Nudges
We moeten phishing makkelijker kunnen opmerken. Er kunnen veel kleine dingen worden veranderd om gebruikers te helpen. Ook veiligheidsfuncties moeten gebruiksvriendelijk zijn. We kunnen bijvoorbeeld het e-mailadres van een onbekende contactpersoon of van iemand buiten onze organisatie zichtbaar maken. Zo halen we de lookalike domeinen er sneller uit of zal het opvallen als onze vriend plots van e-mailadres is veranderd. We kunnen verdachte e-mails taggen, maar alleen als we zeker weten dat ze verdacht zijn. Gebruikers blijken geen rekening te houden met geautomatiseerde systemen die een nauwkeurigheid van minder dan 80 of zelfs 90% halen (Chen et al., 2018).
En het waarschuwingssignaal regelmatig wijzigen om gewenning te voorkomen is altijd een goed idee. Wanneer een waarschuwingssignaal te vaak wordt herhaald, hebben we de neiging om het te negeren (Brinton Anderson et al., 2016). Het is zoals bij het aankleden. We voelen onze kleren op onze huid gedurende enkele minuten, of zelfs seconden. Dan negeren we dat gevoel en denken er niet meer aan. Als we het signaal veranderen, beginnen we weer op te letten.
Binnen een context aanleren
Zal dat volstaan? Waarschijnlijk niet. Nu moeten we onze gebruikers leren om een phishing-e-mail te herkennen. Maar eerst willen we dat ze nadenken alvorens te klikken. Voor sommigen onder ons is een e-mail lezen een gewoonte geworden. We werpen een snelle blik op onze berichten. We zien een woord dat een bepaalde verwachting creëert, en dat zet een automatische reactie in werking: we klikken. Sommige experts zeggen dat phishing over invloed gaat. Daarmee gaan ze voorbij aan elke sociale gebeurtenis die zich in een context voordoet. De context bepaalt de manier waarop we zullen reageren. Als we met een auto rijden, trappen we met de rechtervoet op de rem. Op een fiets gebruiken we onze handen om hetzelfde te doen. We moeten daar niet over nadenken — de context conditioneert zelfs onze reflexen. Daarom moeten we mensen iets aanleren binnen een context. We hebben niet leren autorijden door een boek te lezen. Of leren zwemmen terwijl we aan de rand van het zwembad stonden. We hebben de theorie uit een boek of van onze leraar meegekregen.
Daarna moesten we zelf achter het stuur gaan zitten of in het zwembad springen om de nodige vaardigheden te verwerven. Phishingoefeningen zijn hetzelfde. Ze werken als een vaccin. Ze laten onze gebruikers phishing-e-mails herkennen zonder hen aan de inherente gevaren van de echte bloot te stellen. Net als de griep bestaan phishing-e-mails in verschillende varianten. Als we zeker willen zijn dat we alles wat criminelen ons voor de voeten gooien kunnen opsporen en bestrijden, dan moeten we met al die varianten oefenen. Zoals bij elke training moeten gebruikers die een phishing-e-mail detecteren snel feedback krijgen. Dat zal hen helpen om beter te worden. De oefeningen moeten ook progressief verlopen en afgestemd zijn op onze doelgroepen. Een phishing-e-mail over examenresultaten zal waarschijnlijk enkele weken per jaar onder studenten effect hebben. Bij mensen in de financiële sector zal dat wellicht niet het geval zijn (zie hierover Goel et al., 2017). Context is alles.
Een beschuldigende vinger is nergens goed voor
We moeten phishing op een positieve manier aanpakken. Gebruikers de schuld geven van iets wat ze misschien per ongeluk doen, leidt tot niets. Integendeel, onze helpdesk of onze SOC krijgt er mogelijk zelfs meer werk door. Om toch maar geen fout te maken, kan het zijn dat mensen elk verdacht e-mail-, spam- of scambericht, of zelfs interne communicatie gaan melden. Dat zou onze eerstelijnshulp onnodig belasten. Onze mensen moeten voorzichtig zijn, niet paranoïde.
Phishingoefeningen zijn niet alleen een training, ze houden onze gebruikers ook waakzaam. Net zoals we de griepprik moeten herhalen, moeten we ook phishingoefeningen herhalen. De ervaring leert dat een maandelijkse frequentie optimaal is. Het houdt mensen bij de zaak, scherp, en het duurt maar enkele seconden. Zeker de moeite dus als je zo kan voorkomen dat je je netwerk, onderzoekswerk of geld zou verliezen.
Een weg om af te leggen
Onderzoek naar phishing staat nog in zijn kinderschoenen. We beginnen beter te begrijpen hoe het werkt, wat ons doet klikken en hoe we ons beter kunnen wapenen. Toch weten we nog maar heel weinig zeker. Door ons minder bloot te stellen, de detectie te vereenvoudigen en onze gebruikers te trainen doen we voorlopig wat we kunnen. Dat is teamwork, want al die veranderingen vereisen de betrokkenheid van verschillende teams, verschillende entiteiten zelfs. We moeten allemaal ons deel doen. En als we dat doen, zullen we slagen.
Over de auteur
Emmanuel Nicaise is cybersecurity consultant bij Approach en onderzoeker aan de ULB in Brussel. Met zijn ruim 25 jaar ervaring in IT en cybersecurity en een master in de psychologie ondersteunt hij organisaties in het verbeteren van hun cyberveiligheid aan de hand van psychologie en neurowetenschappen. Hij promoveert momenteel in de sociale psychologie, waarbij hij zich richt op vertrouwen en waakzaamheid in onze digitale samenleving. Phishing is op dit ogenblik zijn belangrijkste onderzoeksgebied.
Referenties
- Bonnie Brinton Anderson, Anthony Vance, C. Brock Kirwan, Jeffrey L. Jenkins & David Eargle (2016) From Warning to Wallpaper: Why the Brain Habituates to Security Warnings and What Can Be Done About It, Journal of Management Information Systems, 33:3, 713-743
- Jing Chen , Scott Mishler , Bin Hu , Ninghui Li , Robert W. Proctor , The description-experience gap in the effect of warning reliability on user trust and performance in a phishing detection context , International Journal of Human-Computer Studies (2018), doi: 10.1016/j.ijhcs.2018.05.010
- Goel, S., Williams, K., & Dincelli, E. (2017). Got phished? Internet security and human vulnerability. Journal of the Association of Information Systems, 18(1), 22–44.
Lees ook de andere blogs van de GÉANT Cyber Security Month!