Je medewerkers als Human Firewall

Phishing zijn pogingen om mensen via e-mail gevoelige informatie te ontlokken. Zo worden mensen door bedrog, vervalsing en manipulatie overgehaald om bijvoorbeeld geld te sturen, gevoelige informatie te verstrekken of zelfs ongemerkt malware te downloaden. Phishing wordt ook wel "social engineering" genoemd: een soort aanval, die eerder berust op menselijk falen dan op fouten in de hardware of software. De gebruiker is hierin een ‘human firewall’.

Een voorbeeld: Je werknemer ontvangt een geïmiteerde e-mail of sms-bericht van de IT-Servicedesk. Bij het openen van de e-mail of sms treft de werknemer een alarmerend bericht aan. De intentie van dit bericht is om de oordeelsvermogen van de werknemer te beïnvloeden en angst aan te jagen. Het alarmerend bericht toont aan dat de werknemer onmiddellijk actie moet ondernemen en wordt verzocht om naar een website te gaan om gevolgen te voorkomen. Wanneer de werknemer toe hapt wordt hij naar een imitatie van een legitieme website gestuurd. Hier wordt de werknemer gevraagd zich met zijn gebruikersnaam en wachtwoord aan te melden. De werknemer logt in mijn zijn gegevens, waardoor de aanmeldingsinformatie naar de aanvaller gaat. Met deze informatie is de aanvaller instaat om aan persoonlijke informatie te komen, identiteiten te stelen en bankrekeningen leeg te halen.

Hoe weet de werknemer dat de e-mail of sms-bericht daadwerkelijk afkomstig is van de IT-Servicedesk? Dat is een belangrijke vraag. Maar hoe achterhaal je dit nou?

Het identificeren van de afzender

Vaak kun je aan verschillende factoren zien of een e-mail legitiem is, zoals bijvoorbeeld het e-mailadres van de afzender. Echter, vandaag de dag kunnen kwaadwillende personen een e-mail zo manipuleren dat er geen verschil te zien is tussen een legitieme en malafide e-mail. Er blijft dan maar één optie over, namelijk controleren of de webpagina waar de link naar verwijst legitiem is. Aan de hand van de opbouw van een URL kun je de identiteit van de afzender identificeren. In het vervolg van deze blog gaan we hier dieper op in. Daarnaast delen we een praktisch stappenplan waarmee je aan de hand van URL’s phishing-aanvallen kunt herkennen.

Gebruikers en URL’s

Aan de hand van URL’s specificeren we de identiteit van een internethost. URL’s hebben een complexe vorm en structuur. Hoewel je met de juiste software de identiteit van URL's nauwkeurig kan ontleden, hebben gebruikers hier vaak meer moeite mee. Het onjuist identificeren van een URL kan gebruikers blootstellen aan phishing-aanvallen.

Onderdelen van een URL

URL’s zijn tenminste opgebouwd uit de volgende onderdelen:

  • Protocol
  • Domeinnaam
  • Topleveldomein

Voorbeeld opbouw URL:
http://example.com: protocol (http://)+domeinnaam (example)+topleveldomein(.com)

Daarnaast kan een URL ook nog bestaan uit:

  • Authenticatiegegevens, zoals een gebruikersnaam en wachtwoord
  • Poortnummer
  • Padnaam
  • Querystring
  • Fragment/identifier

URL-codering

Om een URL goed te kunnen ontleden is het handig om te weten wat URL-codering is. URL-codering (URL-encoding) is een methode om informatie in een URL te coderen. Dit kan gebruikt worden om gevoelige karakters te versturen als data in een URL, maar dit kan ook gebruikt worden om de URL minder leesbaar te maken.

URL-codering bestaat uit een procent teken gevolgd door twee alfanumerieke tekens. Voorbeelden hiervan zijn %2F of %2E. URL-codering is niet hoofdlettergevoelig. Een URL kan naast handmatig ook softwarematig gedecodeerd worden. Een handige tool hiervoor is: https://www.urldecoder.org/.

Stap voor stap een URL ontleden

Om te achterhalen wat het daadwerkelijke domein is waar de URL naar verwijst kun je het onderstaande stappenplan gebruiken.

  1. Decodeer de URL als de URL %-tekens bevat (https://www.urldecoder.org/)

  2. Verwijder het protocol

  3. Alles wat volgt na de eerste slash(/) of hashtag(#) is niet van toepassing

  4. Tussen de laatste punt(.) en de eerste slash(/) of hashtag(#) is het topleveldomein

  5. Alle tekst voor de laatste punt(.) is het domein totdat er een punt(.) of at(@) staat.

Een tweetal voorbeelden

In de voorbeelden hieronder wordt een URL ontleed. Gaat de URL daadwerkelijk naar het domein dat je op het eerste oog ziet of naar een compleet andere locatie?

Voorbeeld 1:

Domein: https://www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Decodeer de URL als de URL %-tekens bevat

-> https://www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Verwijder het protocol

-> www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Alles wat volgt na de eerste slash(/) of hashtag(#) is niet van toepassing

-> www.google.nl/

  1. Tussen de laatste punt(.) en de eerste slash(/) of hashtag(#) is het topleveldomein

-> www.google.nl/

  1. Alle tekst voor de laatste punt(.) is het domein totdat er een punt(.) of at(@) staat

->  www.google.nl/

  1. Resultaat: google.nl

Voorbeeld 2:

Domein: https://www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  1. https://www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  2. www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  3. etz5811-eiue348wi0li27dh8jtkku.mx.

Security awareness van je medewerkers vergroten

De conclusie is dat met gerichte kennis van gebruikers je phishing aanvallen in jouw organisatie kunt afwenden. Door technische maatregelen zoals een firewall of spamfilter worden veel kwaadaardige e-mails al afgevangen. Echter, deze maatregelen zijn nooit perfect en het kan gebeuren dat een medewerker nog steeds een malafide e-mail ontvangt. Het is dus van groot belang dat gebruikers weten hoe ze deze aanvallen kunnen herkennen en buiten de deur kunnen houden. Je zorgt als het ware voor een extra “beveiligingslaag” in je digitale organisatie.

Heb jij inzicht in de kennis van je medewerkers op dit gebied? Klikt iedereen overal op of zijn ze juist zeer oplettend? Hands on ICT helpt je graag om dit in kaart te brengen en waar nodig te verbeteren door middel van Security Awareness trainingen. Om deze extra beveiligingslaag voor je organisatie te ontwikkelen en je medewerkers te leren om dit te herkennen en te hanteren is een continue verbetercyclus noodzakelijk waarbij de mens, zowel op individuele basis als in organisatieverband, centraal staat. Dit resulteert direct in:

  • Een lager percentage medewerkers dat op een phishing link klikt;
  • Een afname van het aantal malware infecties;
  • Een afname van dataverlies.

Vragen, meer weten of een vrijblijvend gesprek? Neem dan gerust contact met ons op. Kijk ondertussen vooral naar onze security-diensten en onze themapagina over veiligheid.
Samen kijken wij graag hoe we jouw (digitale) organisatie veilig kunnen maken en houden.

New call-to-action