De evolutie van phishing: vishing & quishing
Voorheen waren phishing-aanvallen vaak erg simplistisch en de meest voorkomende techniek was misbruik maken van interpersoonlijke relaties en vertrouwen om toegang te krijgen tot gevoelige data via geschreven communicatie, zoals e-mails en brieven. In het kader van de recente ontwikkelingen rond phishing naar aanleiding van de AI-revolutie, bekijken we hoe cybercriminelen hun phishing-technieken hebben aangepast. Door de groeiende populariteit van GenAI-tools komen stemgebaseerde phishing-aanvallen - ook wel vishing genoemd - steeds vaker voor. Organisaties moeten hun IT-beveiliging moderniseren om deze snel evoluerende uitdaging het hoofd te kunnen bieden.
Tekst: Tony Fergusson, CISO EMEA bij Zscaler
Phishing is de eerste fase van een grotere aanval
Om te begrijpen welke rol phishing speelt in de malware-industrie, moeten we eerst kijken naar de anatomie van dit soort aanvallen. Normaal gesproken is het ransomware die alle headlines haalt. Er is daardoor minder aandacht voor de algehele infectiecyclus, wat vaak start met (een vorm van) phishing. De verkenningsfase aan het begin van een aanval speelt een nog belangrijkere rol in de verdedigingsstrategie. Wanneer aanvallers uitzoeken hoe het aanvalsoppervlak van een organisatie eruit ziet, gebruiken ze vaak phishing om persoonlijke informatie, zoals credentials, te verzamelen of om een zero-day malware te downloaden om toegang te krijgen tot een bepaalde machine. Naarmate cybercriminelen vaker AI gebruiken om gebruikers te misleiden, moeten organisaties zich meer richten op het verkleinen van het aanvalsoppervlak en geavanceerde, op gedrag gebaseerde analysemechanismen toepassen.
Phishing-aanvallen worden persoonlijker
Phishing-methodes zijn de afgelopen jaren geëvolueerd van simpele e-mail scams naar meer gepersonaliseerde aanvallen die technologieën zoals AI gebruiken. Omdat gebruikers zich steeds meer bewust worden van traditionele phishing-campagnes, ontwikkelen cybercriminelen andere kanalen en technieken. Recent zijn nep telefoontjes, of vishing, steeds populairder geworden. Hierbij wordt de stem van een senior executive geïmiteerd met behulp van een voice cloning tool. Deze tool definieert de kenmerken van een stem en past AI toe om een systeem te trainen de stem na te doen. In combinatie met traditionele phishing-technieken wordt het steeds lastiger voor gebruikers om vishing te identificeren.
Een andere recente evolutie van phishing is quishing. Hierbij wordt een QR-code met een kwaadaardige link via e-mail naar een slachtoffer gestuurd. Het gebruik van een QR-code maakt het lastig om de legitimiteit te verifiëren. Dit soort e-mails worden dan ook vaak gemist door beveiligingstools. Dit is met name gevaarlijk voor medewerkers die hun persoonlijke mobiele telefoon gebruiken omdat deze vaak niet goed genoeg beschermd zijn. Om deze phishing-technieken te bestrijden is het essentieel om zero trust te gebruiken als standaard beveiligingsoplossing. Dit geldt niet alleen voor de technologische implementatie, maar ook voor het veranderen van de beveiligingsmentaliteit van mensen.
Never trust, always verify
Organisaties moeten hun cyberbeveiligingsstrategie aanpassen om de opkomende dreiging van geavanceerde phishing effectief te bestrijden en hun gevoelige informatie te beschermen. Medewerkers vertrouwen de beschikbare beveiligingstools op dit moment te veel en zijn niet voorzichtig genoeg wanneer zij verdachte communicatie ontvangen. Een telefoontje van een persoon die je denkt te kennen die een onverwacht verzoek doet, moet altijd geverifieerd worden. In de hybride werkomgeving van tegenwoordig, waar face to face interactie niet altijd mogelijk is, is het advies om een ander kanaal te gebruiken om de initiële informatie te verifiëren. Wanneer er bijvoorbeeld een potentiële vishing-call plaatsvindt via WhatsApp, zou een medewerker een Slack-bericht of e-mail moeten sturen om te verifiëren of de collega aan de telefoon is wie hij zegt dat hij is. Om accountbeveiliging te garanderen en compromittering te voorkomen, moeten medewerkers er bovendien voor zorgen dat ze nooit persoonlijke gegevens of wachtwoorden delen via de telefoon of e-mail als daarom gevraagd wordt. Niemand hoeft het wachtwoord van een ander personeelslid te gebruiken om toegang te krijgen tot data of bedrijfsmiddelen in het systeem.
Omdat phishing vaak het begin is van een aanval, zou het meer aandacht moeten krijgen. Organisaties moeten zich snel bewust worden van de manier waarop AI phishing-aanvallen kan verbeteren. Door de uitdagingen te erkennen en direct aan te pakken, kunnen organisaties een meer veerkrachtige cyberbeveiligingscultuur stimuleren en hun gevoelige data effectief beveiligen. Dit betekent ook dat medewerkers getraind moeten worden om niet één bron van informatie te vertrouwen, maar dit altijd te verifiëren via een ander medium. Dit zal nog belangrijker worden omdat AI in de toekomst een grotere rol zal gaan spelen in bijvoorbeeld desinformatie-campagnes.
Dit is een artikel uit Baaz 1.2024. Lees hem nu digitaal: Baaz 1.2024!