Dat ruikt phishy: als veilig gemarkeerde e-mails

Werk-e-mails die als “geverifieerd” zijn bestempeld moeten de alarmbellen laten rinkelen.

Werk-e-mails die als “geverifieerd” zijn bestempeld moeten de alarmbellen laten rinkelen.

Bij het verzenden van phishing-e-mails of schadelijke bijlages gebruiken oplichters een groot aantal trucs om u over te halen op een link te klikken of een bestand te openen. Een van die trucs is het toevoegen van allerlei stempels die aangeven dat de link of het bijgevoegde bestand betrouwbaar en veilig is.

Hoe knullig dit ook mag klinken, het werkt wel. Iemand die goed thuis is in informatiebeveiliging trapt er misschien niet in, maar de minder IT-vaardige werknemers kunnen wel de klos worden. Daarom raden wij infosec-managers aan hun collega’s af en toe een overzicht te geven van zelfs de meest elementaire cybercriminele trucs.

Hoe ziet zo’n “veilig”- of “geverifieerd”-stempel eruit?

Er is natuurlijk niet één type, want elke aanvaller heeft zijn eigen soort. We hebben tal van verschillende voorbeelden gezien, maar het zijn veelal variaties op de volgende thema’s:

  • Het bijgevoegde bestand is gescand door een antivirusprogramma (soms volgt er dan een logo).
  • De verzender staat in de lijst met vertrouwde afzenders.
  • Alle links zijn door een anti-phishing engine gescand.
  • Er zijn geen dreigingen gevonden.

Hier ziet u een voorbeeld van een phishing-e-mail van aanvallers die zich voordoen als supportmedewerkers om de ontvanger te verleiden op de link te klikken en hun Office 365-gegevens in te voeren. Om dit alles geloofwaardig te maken, wordt er vermeld dat de verzender van het bericht is geverifieerd.

E-mail met het stempel

Maar in dit geval zou die regel met “This sender has been verified from the safe senders list” juist de alarmbellen moeten laten rinkelen.

Hoe u op een e-mail die als veilig is gemarkeerd dient te reageren

Hoewel phishing- of schadelijke e-mails meestal om een snelle reactie vragen (in het bovenstaande voorbeeld onder de dreiging dat u de toegang tot uw werk-e-mail verliest), is snel reageren juist wat u níet moet doen. Stel uzelf allereerst de volgende vragen:

  • Hebt u dit stempel al eerder gezien? Als u al minstens een week bij het bedrijf werkt, is dit waarschijnlijk niet de eerste e-mail die u ontvangt.
  • Heeft een van uw collega’s al eens zo’n stempel in hun werk-e-mails gezien? Als u twijfels hebt, is het beter om even navraag te doen bij een ervaren collega of IT-medewerker.
  • Past het stempel binnen de context? Soms kan een stempel met “Bestand gescand” of “Link gescand” best logisch zijn. Maar als de afzender zogenaamd in hetzelfde bedrijf werkt als u, waarom zou hun bedrijfse-mailadres dan níet op de vertrouwde lijst staan?

Moderne e-mailfilters werken juist andersom: die markeren potentieel gevaarlijke e-mails, niet e-mails die als veilig worden beschouwd. E-mails worden gemarkeerd om aan te geven dat er een gevaarlijke link of bijlage is verwijderd, of omdat het om spam of phishing kan gaan. En in het geval van Outlook in Office 365 worden dergelijke stempels meestal niet in de tekst van het bericht geplaatst, maar in speciale velden. Vaak worden dergelijke e-mails echter gewoon verwijderd voordat ze ooit bij de geadresseerde aankomen, of belanden ze in de map met ongewenste e-mail. Het markeren van berichten als veilig is niet erg efficiënt.

Deze praktijk werd in het verleden toegepast bij gratis e-maildiensten, maar het werkelijke doel was altijd om een concurrentievoordeel te onderstrepen: een ingebouwde filter of antivirus-engine.

Hoe u veilig blijft en uw bedrijf kunt beschermen

Nogmaals: we raden u aan om uw collega’s zo nu en dan op de hoogte te brengen van de trucs van de cybercriminelen (u kunt hen bijvoorbeeld een link naar dit bericht sturen). Voor extra veiligheid is het een goed idee om trainingen in bewustzijn van cyberdreigingen te organiseren met behulp van speciale diensten.

En om zonder stempels in de e-mailtekst duidelijk te maken dat een bijlage op alle mogelijke cyberdreigingen is gescand, raden we aan om bescherming op het niveau van de mail-gateway te implementeren of om gespecialiseerde beveiligingsoplossingen voor Office 365 te gebruiken. Bescherming op werkstation-niveau met een betrouwbare anti-phishing engine kan natuurlijk ook nooit kwaad.

Tips