19 feb, 2024

E-mail, één van de grootste attack vectors voor organisaties

E-mail, één van de grootste attack vectors voor organisaties
19 feb, 2024
Gilles Dockx
Privacy & Security Consultant

E-mail is uitgegroeid tot een onmisbaar communicatiemiddel in organisaties over de hele wereld. Helaas heeft deze afhankelijkheid ook geleid tot een toename van beveiligingsrisico’s. Een van de meest zorgwekkende dreigingen via e-mail is phishing, waarbij hackers proberen gevoelige informatie te verkrijgen door zich voor te doen als betrouwbare bronnen.

Volgens Cloudflare’s onderzoek naar phishingdreigingen in 2023 was e-mail de voornaamste aanvalsvector voor hackers. Dit komt doordat e-mails een schat aan bedrijfsgeheimen, persoonlijk identificeerbare informatie (PII), financiële gegevens en andere gevoelige informatie bevatten die waardevol is voor aanvallers. Maar hoe komt het dat zoveel mensen op phishing links klikken? 

E-mail spoofing

E-mail spoofing is een tactiek waarbij aanvallers trachten e-mails een legitieme uitstraling te geven door het afzenderadres te vervalsen. Hierdoor lijkt het alsof de e-mail afkomstig is van een betrouwbare bron, terwijl in werkelijkheid een kwaadwillende partij erachter schuilgaat. Binnen deze methode integreren hackers vaak links in de e-mail die ofwel leiden naar bestanden met macro’s, waardoor ze malware kunnen installeren, of mensen naar een nagemaakte inlogpagina leiden. Op deze nagemaakte pagina proberen ze de gebruiker te verleiden om in te loggen, zodat de aanvallers toegang krijgen tot de inloggegevens en deze kunnen stelen. Met de overvloed aan gratis tools om websites na te bootsen, kunnen hackers zonder enige programmeerervaring deze websites eenvoudig namaken.

Impact van automatische uitschakeling van Macro's door Microsoft

Microsoft heeft inspanningen geleverd om deze dreiging aan te pakken door automatisch macro’s uit te schakelen en van de eindgebruiker een handmatige handeling te vereisen om ze in te schakelen. Het automatisch inschakelen van macro’s in Excel was een van de meest gebruikte methoden voor hackers om malware te verspreiden. Echter, nadat Microsoft deze standaard begon te blokkeren, zijn hackers die in het verleden malware verspreidden via geïnfecteerde bijlages snel van tactiek aan het veranderen. Het gevaar is nog niet geweken, want ze zijn nu bezig met het verspreiden van malware via geïnfecteerde bijlagen in andere bestandsindelingen, zoals ISO-, RAR- en Windows Shortcut (LNK)-bijlagen. Hoewel Microsoft actie heeft ondernomen, blijft het gevaar aanwezig en evolueren de methoden van aanvallers voortdurend.

E-mail security/authenticatie protocollen

Om de veiligheid van e-mailcommunicatie te waarborgen, zijn er verschillende protocollen ontwikkeld. In deze context zullen we specifiek ingaan op protocollen die asymmetrische encryptie gebruiken. Deze protocollen stellen gebruikers in staat om e-mails te ondertekenen en te versleutelen, waardoor ze veilig kunnen worden verzonden.

Een domein maakt een lijst van welke e-mailservers mails met hun e-mailadres mogen versturen. De ontvangende server controleert of de laatste server (van de verzender) een server is die mag verzenden. 

Voordelen 

De afzender kan worden geïdentificeerd als een legitiem lid van het bedrijf door de verzending van de e-mail via de correcte mailserver.

In het geval van een succesvolle man-in-the-middle aanval door een hacker die de e-mail onderschept, zal deze niet in staat zijn om de e-mail door te sturen naar de ontvanger, aangezien de juiste SMTP-server niet is geverifieerd.

Nadelen 

De inhoud kan worden aangepast omdat de integriteit van de mail niet is beschermd, alleen de autorisatie is beveiligd.

Als een e-mail wordt doorgestuurd, zal de e-mailserver worden geblokkeerd omdat deze niet is opgenomen in de lijst met IP-adressen die zijn toegestaan om e-mails te verzenden.

DKIM biedt een mechanisme om de integriteit en oorsprong van e-mails te verifiëren, waardoor het risico op e-mailspoofing wordt verminderd. Elke e-mail krijgt een handtekening van de mailserver van de verzender, gegenereerd met een privésleutel, en niet lokaal op het apparaat zelf. De bijbehorende publieke sleutel wordt vervolgens gepubliceerd op de DNS-server, zodat de ontvangende mailserver kan controleren of de handtekening geldig is of niet.

Voordelen

Met DKIM kun je de geldigheid van de afzender met zekerheid vaststellen. De handtekening wordt gegenereerd door het e-mailadres, de hoofdtekst en het onderwerp van de afzender te berekenen, mits dit correct is geconfigureerd. Op deze manier ben je zeker dat het bericht niet is gemanipuleerd.

Nadelen

Bij het instellen van DKIM moet je de e-mailvelden selecteren die je in je DKIM-handtekening wilt opnemen. Dit kan het onderwerp, de body, from, pre-header, etc. zijn. 

DMARC verenigt de verificatiemechanismen SPF en DKIM in een gemeenschappelijk kader en stelt domeineigenaren in staat om aan te geven hoe ze willen dat e-mail van hun domein wordt behandeld als deze een autorisatietest niet doorstaat. 

Verder brengt DMARC een extra vorm van bescherming met zich mee, namelijk domain alignement. Domain alignement matcht het “van” domein (e.g.: …@Infosentry.be) van een mail met informatie die relevant is voor de andere standaarden: 

  • Voor SPF moeten het “Van-domein” van het bericht en het “Return-Path-domein” overeenkomen. 
  • Voor DKIM moeten het “Van-domein” en het DKIM “d= domein” van het bericht overeenkomen. 

Voordelen 

Je hebt de mogelijkheid om te specificeren welke e-mails je wilt toestaan, blokkeren of in quarantaine wilt plaatsen. Het is een hoge standaard voor e-mailbeveiliging. 

Nadelen

Het is niet de gemakkelijkste implementatie en is afhankelijk van SPF & DKIM.

Het inzicht in het belang van DMARC is bij de grote spelers veel duidelijker geworden. Microsoft heeft in 2023 een update gedaan rond hun aanpak met e-mails op Outlook, waarbij de DMARC-check faalt. Enterprise-klanten hebben nu de mogelijkheid om te bepalen hoe ze willen omgaan met e-mails die de DMARC-validatie niet doorstaan. Ze kunnen verschillende acties kiezen op basis van het beleid dat is ingesteld door de eigenaar van het domein. Bovendien kan je, door het toevoegen van rules in de anti-phishing policy in het Defender-portal, kiezen om andere acties te gaan uitvoeren dan opgesteld door de domeineigenaar. DMARC is een krachtig verificatieschema dat zeker een onderdeel zou moeten zijn van een security audit.

Awareness brengen naar personeel

Er bestaan tal van andere protocollen om e-mails te beschermen. Echter, zelfs na de technische implementatie van deze e-mailprotocollen is het gevaar nog niet volledig verdwenen. Een van de meest effectieve manieren om de dreiging van e-mailaanvallen te verminderen, is het vergroten van het bewustzijn onder het personeel. Infosentry heeft jarenlange ervaring in het trainen van medewerkers en het bewust maken van de gevaren van phishing en e-mail spoofing. De beste manier om op te volgen of het personeel bewust is van phishing emails, is het gebruik van phishing simulators. Een eenmalige sessie volstaat niet om het personeel het verschil tussen legitieme en phishing-mails consistent te laten detecteren. Mensen zijn kuddedieren die in oude gewoontes vervallen. Daarom is het belangrijk om regelmatig herhaling te hebben om het personeel waakzaam te houden voor de dreiging van phishing-mails. Mocht je graag meer informatie hebben over onze diensten en expertise, aarzel dan niet om contact met ons op te nemen.

Op zoek naar hulp of advies?
Ontdek hoe Infosentry jouw organisatie kan ondersteunen bij haar privacy uitdagingen.