Akamai over Phishing – wat kun je daarmee richting je klanten

Akamai heeft eind vorig maand een 24 pagina’s tellend rapport uitgebracht dat gaat over phishing. “Phishing, Baiting the Hook” is goed leesbaar. Het is als praktische leidraad te gebruiken voor iedereen in de IT en security sector die de vraag krijgt Phishing uit te leggen. Daarnaast bevat het insights waardoor de eigen omgeving beter kan worden afgeschermd.

Zo oud als

Phishing is ongeveer even oud als het internet. Al in het midden van de jaren 90 van de vorige eeuw werd per e-mail en nagemaakte websites geprobeerd inloggegevens te achterhalen. Daarbij is het altijd gegaan om de acties van kwaadwillenden. Wat we nu phishing noemen kent zijn oorsprong nadrukkelijk niet in een quasi onschuldige grap die nu op wereldschaal en 24/7 wordt misbruikt.

Evolutie naar PaaS

Phishing is over de jaren steeds verder ontwikkeld. Die kosten daarvoor wegen duidelijk op tegen de opbrengsten. Daarnaast is in het kader van het professionaliseren van deze tak van cybercrime ook sprake van taakverdeling. Akamai wijst daar in dit rapport ook op en illustreert het met leerzame voorbeelden en screenshots. PaaS staat inmiddels ook voor Phishing as a Service. Het is een dienst die op pay-per-use basis wordt aangeboden en wereldwijd inzetbaar is. Die stap zal voor menigeen nieuw zijn. Het idee dat een kwaadwillende zelf alles ontwikkelt en dus over bovengemiddelde vaardigheden dient te beschikken is niet meer terecht. Met een paar klikken kan PaaS worden geactiveerd. Sommige aanbieders concurreren daarbij op de kwaliteit van de klantondersteuning. Ook dat geeft te denken.

Doelwitten

Akamai zoomt in op het verschil tussen een generieke phishing expeditie en spear phishing. Dat zijn twee verschillende methoden, maar het laat onverlet dat alles en iedereen een doelwit is voor phishing. Die boodschap kan niet vaak genoeg worden herhaald.

Wat Akamai verder benadrukt is dat 60% van de phishing acties gebruikt maakt van een kit met een gemiddelde levensduur van minder dan 20 dagen. Dat betekent dat de url’s die zijn aangemaakt voor de actie en de mail of social media boodschappen waarmee naar de foute url’s worden verwezen in een hoog tempo veranderen. Dat verklaart ook waarom het onmogelijk is alleen maar op awareness campagnes te vertrouwen. De voorbeelden die daarvoor nodig zijn, zijn al in onbruik geraakt tegen de tijd dat de cursus of campagne start.

Te beknopt

Het Akamai rapport wijst er wel op welk domeinen het meest vervalst worden voor phishing acties. In de grafiek staat “High Tech” als meest voorkomende. Helaas is op dat punt het rapport te beknopt om voor de minder ingewijde lezer begrijpelijk te zijn. Hij of zij zal puur op basis van die grafiek kunnen denken geen doelwit te zijn “want niet werkzaam in de High Tech”. De quote: “In the high-tech sector, where the bulk of the detected phishing took place, a number of high-profile technology organizations, including those in the retail space, had several kit variants targeting them” lijkt zich ook te richten op aanbieders in plaats van consumenten.

De invalshoek die Akamai heeft gekozen is overigens geen reden het rapport niet te kennen en te gebruiken in contact met klanten. Het is namelijk goed geschreven en in de regel niet te complex. Het biedt de IT of security professional de ruimte zijn eigen specifiek op de klant gerichte aanvullingen te geven. Of die klant een webshop is die gehost wordt of een bedrijf dat zowel IT als security heeft geoutsourcet, is daarbij minder van belang dan het overbrengen van de boodschap dat iedereen een doelwit voor phishing is. Daarbij moet de adressant van de boodschap ook duidelijk worden dat zijn of haar gegevens het doelwit kunnen zijn, maar dat het ook mogelijk is dat ze als steppingstone worden gebruikt.