Winkelmand

Geen producten in de winkelwagen.

Pas op voor clone phishing: verraderlijke imitatiekunst

Laatst bijgewerkt: 26-04-2023 17:00:06

Persbericht - Door Jelle Wieringa, security awareness advocate bij KnowBe4

Pas op voor clone phishing: verraderlijke imitatiekunst

Internetcriminelen zitten nooit stil. De laatste tijd zijn er meer cyberaanvallen op basis van ‘clone phishing’, schrijven onderzoekers van het Franse cybersecuritybedrijf Vade Secure. Maar wat is clone phishing en waarom is het zo gevaarlijk?

Clone phishing is een vorm van phishing die om imitatie draait. Internetcriminelen maken een e-mail na die een gebruiker gewend is te ontvangen, waarin de legitieme link of bijlage vervangen is door een kwaadaardige. Dat gebeurt bijvoorbeeld bij e-mails van Yammer, Microsoft Teams of een andere zakelijk dienstverlener waarmee een organisatie werkt. Tot zover niets nieuws: dit is phishing uit het boekje. Clone phishing kan echter heel vervelende vormen aannemen in combinatie met andere aanvalsmethoden.

Factuur voor de boodschappen?

In veel recente gevallen van clone phishing gebruiken internetcriminelen een tweetrapsraket. Ze voegen een extra ‘laagje’ aan de aanval toe, om de kans te vergroten dat het slachtoffer voor de misleiding valt. Zo sturen de afzenders vaak niet één maar twee phishingmails. Stel dat een facilitair medewerker van een bedrijf een e-mail ontvangt die zogenaamd afkomstig is van de supermarkt waar het bedrijf altijd de boodschappen voor de lunch bestelt. In die eerste mail staat alleen een kwaadaardige link. Als daar niet op geklikt wordt, volgt kort daarna een tweede e-mail met een begeleidend tekstje waarin wordt uitgelegd dat in de eerste e-mail de bijlage vergeten was. In de tweede mail zit dan wel een bijlage die bijvoorbeeld ransomware bevat. Terwijl het slachtoffer denkt dat het de factuur voor de boodschappen betreft.

Het feit dat de eerste e-mail wordt opgevolgd geeft vertrouwen dat aan de andere kant van de lijn een goedbedoelende supermarktmedewerker zit die een foutje heeft gemaakt. En daar gaat het om bij clone phishing: het wekken van zoveel mogelijk vertrouwen bij potentiële slachtoffers. Vertrouwen is een basisinstinct, en op het moment dat wij mensen iemand vertrouwen schakelen we bijna al onze verdediging uit. Dat doen we in het echte leven, maar ook online.

CEO-fraude of gehackt account

Een bekende afzender vertrouwen we meer dan een onbekende, of het nu om een bedrijf of om een persoon gaat. De meesten van ons zullen een e-mail van de directeur openen, lezen en ook opvolgen, mits het verzoek niet heel gek is. Daarom is clone phishing in combinatie met CEO-fraude erg verraderlijk. Als internetcriminelen middels spoofing (het aannemen van een andere identiteit; bijvoorbeeld het namaken van het e-mailadres van een CEO) twee mailtjes sturen die zogenaamd van de directeur afkomstig zijn, zal lang niet iedereen daar vraagtekens bij zetten. De kans dat een ontvanger na het tweede mailtje geld overmaakt aan de zogenaamde directeur is behoorlijk aanwezig.

Datzelfde effect speelt een rol als de twee mailtjes zogenaamd van een collega komen. Nog meer vertrouwen wekt het als die collega mailt over lopende zaken. Clone phishing wordt daarom ook wel ingezet door internetcriminelen die een bedrijfsmailaccount gehackt hebben. In zo’n geval zijn ze spekkoper. Ze kunnen in de inbox meelezen, weten precies hoe, met wie en waarover de gehackte persoon communiceert. Zo kunnen ze de perfecte phishingmails opstellen richting een ander beoogd slachtoffer. Wellicht ben jij dat wel, en tegen een dergelijke aanval kun je je moeilijk wapenen.

Aanwijzingen

Omdat er in deze (gecombineerde) aanvalsmethoden wat meer werk gaat zitten dan in het lukraak versturen van phishingmails, wordt deze vorm van clone phishing vooral ingezet om specifieke personen of organisaties te raken. Ook zulke gerichte aanvallen zijn voor het getrainde oog gelukkig te herkennen. Het is daarom belangrijk dat medewerkers in iedere organisatie weten wat clone phishing is en hoe ze dat moeten spotten. Er zijn altijd aanwijzingen in een e-mail die een internetcrimineel kunnen verraden. Bekijk of de ontvangen e-mail daadwerkelijk een reply is op een echt verzonden mail. Zo ja, klopt het e-mailadres van de afzender van beide e-mails wel? Zit er geen gek taalgebruik in de e-mail(s)? En kloppen de URL’s in de e-mails als daar met de muis overheen bewogen wordt?

Het zelf kunnen controleren van zulke zaken is essentieel om als medewerker geen slachtoffer te worden van clone phishing in welke verschijningsvorm dan ook. Of je nu CFO bent of net komt kijken in het bedrijf. Daarom is het zo belangrijk dat organisaties hun medewerkers in staat stellen om op clone phishing en andere social engineering-technieken te trainen, en om zo algemene security awareness te kweken. Want vertrouwen is mooi, maar niet als imitators op de loer liggen.