Proofpoint heeft zijn jaarlijkse Human Factor rapport gelanceerd. Het rapport brengt in kaart hoe cybercriminelen zich richten op mensen in plaats van op systemen en infrastructuur. Met als doel om malware te installeren, frauduleuze transacties te initiëren, gegevens te stelen en meer. Voor het rapport heeft Proofpoint data van zijn wereldwijde klantenbestand over een periode van achttien maanden geanalyseerd. Het bedrijf deelt de geïdentificeerde aanvalstrends om organisaties en gebruikers te helpen zich beter te beschermen tegen cybercrime.
“Cybercriminelen richten zich nadrukkelijk op mensen omdat het relatief eenvoudig voor hen is om frauduleuze e‑mails te versturen, referenties te stelen en kwaadaardige bijlagen naar cloud-applicaties te uploaden. Het is gemakkelijker en winstgevender dan dure, tijdrovende exploitaties van veiligheidsgaten te creëren, die ook nog een grote kans op mislukking hebben”, aldus Kevin Epstein, vicepresident Threat Operations bij Proofpoint. “Meer dan 99 procent van de cyberaanvallen heeft menselijk handelen nodig om te werken. Hierdoor worden individuele gebruikers de laatste verdedigingslinie van een organisatie. Om de risico’s aanzienlijk te verminderen, hebben organisaties een holistische mensgerichte cybersecurity-benadering nodig. Deze moet onder meer effectieve bewustwordingstrainingen en een gelaagde bescherming omvatten die aangeeft wie de meest aangevallen gebruikers binnen een organisatie zijn.“
Enkele conclusies van het 2019 Human Factor-rapport:
- Meer dan 99 procent van de waargenomen aanvallen vereiste menselijke interactie om te werken: een macro uitvoeren, een bestand openen, op een link klikken of een document openen. Dit geeft het belang van social engineering voor succesvolle aanvallen aan.
- Microsoft-gerelateerde aanvallen bleven het populairst. Bijna 1 op de 4 phishing-e-mails die in 2018 werden verzonden, waren gekoppeld aan Microsoft-producten. In 2019 vond een verschuiving plaats: aanvallen die gebruikmaakten van cloud-opslag, DocuSign en Microsoft cloud phishing waren het effectiefst. De top van de phishing-aanvallen probeerde referenties te stelen, feedback-lussen te creëren die mogelijk informatie kunnen opleveren voor toekomstige aanvallen, onbevoegde toegang binnen een organisatie uit te breiden en interne phishing.
- Cyberaanvallers verfijnen hun instrumenten en technieken op zoek naar financiële winst en diefstal van informatie. Toen het gebruik van foute identiteiten opkwam waren dit vooral één-op-één-aanvallen en één-op-veel-aanvallen. Vandaag de dag blijken cybercriminelen succesvoller met aanvallen die gebruikmaken van meer dan vijf identiteiten tegen meer dan vijf personen in doelorganisaties (veel-op-veel-aanvallen).
- De afgelopen achttien maanden bleken op banking gerichte Trojaanse Paarden, software om informatie te stelen, Trojaanse Paarden voor onbevoegde toegang op afstand (Remote Access Trojans: RAT’s) en andere niet-destructieve soorten malware het populairst. Deze hebben als doel onopgemerkt op geïnfecteerde apparaten geïnstalleerd te blijven en voortdurend gegevens te stelen die in de toekomst mogelijk van nut kunnen zijn voor cybercriminelen.
Mensgerichte bedreigingen
- Aanvallers mikken op mensen en dat zijn niet per se de traditionele VIPs. De meest aangevallen mensen (Very Attacked People: VAP) zijn vooral mensen in het centrum van een organisatie. Het gaat om mensen met eenvoudig te vinden adressen en toegang tot financiële middelen en gevoelige gegevens of mensen die cybercriminelen een bepaald soort kans bieden (zoals mensen met toegang tot een gedeeld account).
- 36 procent van de VAP-identiteiten kon online worden gevonden via corporate websites, sociale media, publicaties en meer. Van de VIPs die ook VAPs zijn kon bijna 23 procent van de e‑mailidentiteiten worden ontdekt via een Google-zoekopdracht.
- Oplichters bootsen zakelijke routines na om detectie te omzeilen. De verspreiding van oplichters-berichten volgen de legitieme patronen van het e‑mailverkeer binnen een organisatie. Minder dan 5 procent van de totale berichten wordt in het weekend verspreid en het grootste deel – meer dan 30 procent – op maandag.
- Cybercriminelen die malware verspreiden, volgen minder vaak de legitieme patronen van het e‑mailverkeer. De totale volumes kwaadaardige berichten die in het tweede kwartaal van 2019 werden onderzocht, werden gelijkmatiger verdeeld over de eerste drie dagen van de week en waren ook in aanzienlijke hoeveelheden aanwezig in campagnes die op zondag begonnen (meer dan 10 procent van het totale volume).
- Klik-tijden blijven aanzienlijke regionale verschillen tonen; een afspiegeling van de verschillen in werkcultuur en e‑mailgewoonten tussen de regio’s in de wereld. Werknemers in Azië-Pacific en Noord-Amerika lezen en klikken veel vaker vroeg op de dag, terwijl gebruikers in het Midden-Oosten en Europa eerder halverwege de dag en na de lunch zullen klikken.
E‑mailaanvallen: branches onder vuur
Onderwijs, financiën en réclame/marketing staan bovenaan de lijst van sectoren met de hoogste gemiddelde Attack Index, een maatstaf voor de ernst en het risico van aanvallen per branche. De onderwijssector heeft te kampen met de heftigste aanvallen en heeft een van de hoogste gemiddelde aantallen VAPs van alle sectoren. De financiële dienstverlening heeft een relatief hoge gemiddelde Attack Index, maar minder VAPs.
In 2018 bereikten oplichter-aanvallen het hoogste niveau in de technische, automobiel- en onderwijssector; gemiddeld meer dan 75 aanvallen per organisatie. Dit is waarschijnlijk te wijten aan de complexiteit van de toeleveringsketen in de technische en automobielindustrie en de waarde van doelwitten en kwetsbaarheid van gebruikers in het onderwijs, vooral onder de studenten. In de eerste helft van 2019 vond een verschuiving plaats tussen de meest aangevallen branches naar financiële diensten, productie, onderwijs, gezondheidszorg en detailhandel.
De Chalbhai phish kit, het op twee na populairste lokmiddel in de eerste helft van 2019, richtte zich onder meer op veel Amerikaanse en internationale topbanken en telecommunicatiebedrijven. Cybercriminelen gebruikten hiervoor een reeks templates die aan één groep worden toegeschreven, maar die door uiteenlopende individuen worden gebruikt.
Aanvallers profiteren van menselijke onzekerheid. Op de lijst van de effectiefste phishing-lokmiddelen in 2018 staat “Brainfood” bovenaan, een fraude die dieet- en hersenverbeterings-advies inzet om creditcard-gegevens te stelen. Brainfood e‑mailcampagnes bereikten meer dan 1,6 klikken per bericht, meer dan twee keer zoveel klikken als het lokmiddel dat op de tweede plaats eindigde.
