Let op: Office365 spear phishing actief (en 5 tips om het te voorkomen)

Er gaat momenteel een geraffineerde vorm van spear phishing rond. Wat is het en hoe kun jij jouw organisatie ertegen wapenen? Dat lees je in dit artikel.

Gebruikt jouw organisatie Office 365? Wees dan extra alert, en zorg dat jouw collega’s dat ook zijn. We hebben deze maand meerdere keren e-mails gezien waarin het lijkt dat een collega via OneDrive een bestand met een gebruiker deelt. Deze mail is bijna niet te onderscheiden van de normale mail die men ontvangt als er bestanden gedeeld worden. Als er op de link in de mail geklikt wordt, verschijnt er een zeer goed nagemaakte inlogpagina van de Office 365 portal. Zelfs de URL bovenin de browser lijkt vertrouwd. De mail lijkt verstuurd te zijn door een collega, en wordt gericht aan enkele collega’s binnen een organisatie. Deze zijn zorgvuldig geselecteerd, waardoor velen de mail en link als echt beoordelen.

Wanneer iemand probeert in te loggen in de portal, komen de gegevens in handen van de kwaadwillenden. Onmiddellijk hierna verschaffen zij zich toegang tot de bedrijfsinformatie zoals bestanden en databases. Tegelijk wordt ook de lijst met contactpersonen gekopieerd. Tevens stellen ze regels in in de mailbox die voorkomen dat de gebruiker iets doorheeft van alle acties. Het is niet exact duidelijk wat het doel is van de daders. Waarschijnlijk verzamelen zij gegevens om hier financieel voordeel mee te doen door misbruik of de verkoop van de verkregen gegevens.



Voorzorgsmaatregelen: hoe voorkom ik phishing?

Als je hier slachtoffer van wordt, kost het veel tijd, energie en geld om op te lossen. Daarnaast is er kans op imagoschade, doordat de link vanuit jullie organisatie kan worden doorgestuurd. Wat kun je doen om dit te voorkomen? Wij hebben 5 tips om (spear) phishing te voorkomen.



1. Zorg voor twee-factor-authenticatie (ook wel 2FA of MFA)

Dit is een eenvoudige maar zeer belangrijke maatregel. Twee-factor-authenticatie zorgt ervoor dat er voor inloggen altijd een wachtwoord (iets wat je weet) en een token (iets wat je hebt) nodig is om ergens in te loggen. Als je wachtwoord bekend is geworden, is er nog geen toegang omdat er nog een code (bijvoorbeeld vanuit een app op je smartphone) dient te worden ingevoerd. Bijkomend voordeel is dat je vaak een notificatie krijgt wanneer er wordt geprobeerd in te loggen. Als je dit niet zelf hebt gedaan, weet je direct dat er iets aan de hand is. Let wel op; als je het wachtwoord ook ergens anders hebt gebruikt, dan moet je dit overal aanpassen! Onze partner WatchGuard heeft hier de oplossing voor, AuthPoint. Meer informatie hierover kan je hier lezen.



2. Zorg voor de juiste beveiligingsinstellingen

Naast twee-factor authenticatie is het zaak om de juiste beveiligingsinstellingen te hebben. Hierbij valt de denken aan standaard beveiligingsmogelijkheden binnen Office 365, maar ook het bedrijfsnetwerk en alle apparaten (zoals laptops en telefoons) moeten voorzien van de juiste beveiliging. Het is zeer aan te raden een stap verder te gaan dan wat eerder gebruikelijk was: tegenwoordig is er slimme beveiliging die gedrag monitort, in plaats van alleen te kijken naar bekende bedreigingen. Zo worden juist de risico’s van actuele gevaren gemeden. Dit noemt men Advanced Threat Protection.



3. Zorg voor bewustwording

Techniek is belangrijk, maar de gebruikers zijn nog belangrijker. Zorg dat gebruikers alert zijn, dan voorkom je al heel veel. Vraag je altijd af: ‘verwacht ik deze mail’? En zo niet, controleer dan bij de verzender, liefst per telefoon. Controleer ook altijd linkjes voordat je klikt. Maar dat is makkelijker gezegd dan gedaan. Wist je dat er standaard awareness-sessies zijn? Nog beter is een hele campagne, daarbij kun je onder andere denken aan een phishing test. Dat zorgt echt voor bewustwording.



4. Zorg voor de juiste afspraken & centraal beheer

Zorg dat er binnen de organisatie afspraken gemaakt zijn. Over hoe er onderling gecommuniceerd wordt, maar ook over wat gebruikers mogen doen op beschikbaar gestelde én privé apparatuur. En zorg dat iedereen weet bij wie hij terecht kan als er vragen of problemen zijn. Ook het beheer van apparaten is belangrijk. Is geregeld wat een gebruiker zelf mag doen, en is het mogelijk om apparatuur op afstand te wissen? Mobile Device Management (MDM) zoals Intune van Microsoft bieden hier toegevoegde waarde. En is encryptie geregeld? Het is belangrijk om te weten dat je verplicht bent om dit op afstand aan te kunnen tonen, mocht er zich een hack, verlies of diefstal voordoen. Anders zal de Autoriteit Persoonsgegevens je dwingen al jouw relaties in te lichten over het voorval.



5. Gebruik een wachtwoordmanager én unieke wachtwoorden

Zorg dat je een wachtwoordmanager gebruikt. Dat zorgt ervoor dat je sterke wachtwoorden kunt gebruiken zonder dat je alles hoeft te onthouden. En nog belangrijker, overal een ander wachtwoord! Is dat niet het geval, dan kun je ook in je wachtwoordmanager controleren waar je dit wachtwoord nog meer in gebruik had. Bekende passwordmanagers zijn onder andere KeePass, LastPass, Keeper, Dashlane, 1Password en Roboform. Deze oplossingen richten zich op consumenten maar zijn ook zakelijk te gebruiken. Er zijn ook wachtwoordmanagers speciaal voor organisaties, zoals Secret Server. Ook Remote Desktop Manager, veelgebruikt door IT-afdelingen, is geschikt als passwordmanager voor zakelijk gebruik.



Toch slachtoffer geworden van phishing?

Helaas is de praktijk vaak anders. Een onoplettende gebruiker, of even snel… en het is gebeurd. Neem onmiddellijk contact op met het aanspreekpunt binnen de organisatie. Verander je wachtwoord van Office 365 (en overal waar je dit wachtwoord nog meer gebruikte) en zorg dat alle actieve sessies op afstand verbroken worden. Indien nodig kunnen gegevens worden teruggezet van een back-up. Fastbyte kan bij dit proces ondersteunen, maar uiteraard ook bij het doorvoeren van bovengenoemde 5 maatregelen.