De tijd dat je een nagemaakt mailtje van een bank kon herkennen aan eenvoudige taalfouten is voorbij. Criminelen worden handiger, mede dankzij artificial intelligence (AI), en dat is een van de redenen waarom oplichtersmailtjes steeds moeilijker te herkennen zijn. Wat is de laatste trend in phishing? Z-CERT, het expertisecentrum voor cybersecurity in de zorg, zet de dreigingen op een rij.
Phishing is een aanvalstechniek die door kwaadwillenden wordt gebruikt om gevoelige gegevens te stelen. Dit gebeurt vaak via e-mail, maar kan ook via de telefoon, sms of WhatsApp plaatsvinden. Phishing is niet alleen een bedreiging voor de netwerkbeveiliging van een zorgorganisatie. Het vergroot ook het risico van een datalek aanzienlijk. Ongeveer 8 procent van de datalekken die de eerste helft van 2024 bij de Autoriteit Persoonsgegevens zijn gemeld, werd veroorzaakt door hacking, phishing of malware. Voor de eerste helft van 2024 waren dat bijna 800 incidenten.
Ook Z-CERT ziet dat de dreiging van phishingmails toeneemt. De mails worden steeds geavanceerder en daardoor minder goed te onderscheiden van legitieme e-mails. Met generatieve AI (zoals ChatGPT) kunnen kwaadwillenden hun phishing-mails beter laten aansluiten bij legitieme mails en pagina’s. Dit is een dreiging die Z-CERT in de zorgsector ziet toenemen.
Nieuwe techniek: AiTM
Een relatief nieuw soort techniek is de zogeheten Adversary-in-The-Middle (AiTM) aanval (zie kader voor meer uitleg). Bij dit type aanval worden vaak sessiecookies gestolen om multifactorauthenticatie (MFA) te omzeilen en toegang te krijgen tot gebruikersaccounts. De inzet van AiTM is in een jaar tijd met 146 procent toegenomen. Bij de zorginstellingen die bij Z-CERT zijn aangesloten, werden in twee maanden tijd 61 accounts via een AiTM gecompromitteerd.
Adversary-in-The-Middle is een specifieke vorm van een Man-in-the-Middle-aanval (MitM), waarbij er sprake is van een aanvaller die zich tussen twee partijen bevindt. Die twee partijen denken direct met elkaar te communiceren. Echter de aanvaller is in staat informatie af te luisteren en/of te wijzigen en hier misbruik van te maken. De communicatie wordt dus onderschept (zie kader hieronder).
‘Vijand in het midden’
Bij Adversary-in-The-Middle onderschept de aanvaller de communicatie tussen twee partijen (bijvoorbeeld een gebruiker en een website of server). Dit kan gebeuren via onbeveiligde netwerken (zoals openbare wifi) of door malware. Vervolgens is er sprake van ‘impersonatie’, oftewel de aanvaller doet zich voor als de echte tegenpartij. Voor de gebruiker lijkt het alsof ze rechtstreeks met de juiste website communiceren, maar de aanvaller fungeert als een tussenpersoon die alle gegevens opvangt en eventueel wijzigt.
Daarvoor dient de aanvaller volledige toegang te krijgen tot een gebruikersaccount, met de rechten die die persoon heeft. Als dat eenmaal gelukt is, kan een aanvaller een inlogpagina of uitnodiging mailen en de ontvanger vragen om op een linkje te klikken. Bekende voorbeelden zijn mailtjes waarin wordt gevraagd je accountgegevens te controleren.
Voor de gebruiker is het lastig om dergelijke pagina’s of berichten van echt te onderscheiden, bijvoorbeeld omdat het vaak wordt gebracht als OneDrive- of SharePoint-link. Als de ontvanger op de link klikt en zijn gegevens invult, is de kans groot dat de kwaadwillende de gegevens ontvangt en zo kan inloggen alsof het die persoon is.
Sessiecookie stelen
Een belangrijk risico bij AiTM is dat de aanval misbruikt kan worden om multifactorauthenticatie te omzeilen. De aanvaller kan sessiecookies stelen en die gebruiken om als ingelogde gebruiker binnen het systeem rond te neuzen. Die MFA-omzeiling is lastig, want de aanvaller komt dus met bepaalde rechten binnen in een organisatie. Als je MFA omzeilt met AiTM, kan het zijn dat de aanvaller een sessiecookie steelt, of dat een aanvaller een apparaat registreert om Authenticator-codes op te ontvangen.
Wat kun je doen?
Hoe kun je je daartegen wapenen? Door meerdere beveiligingsmaatregelen te gebruiken, zoals bijvoorbeeld zero trust-beleid (waarbij de basis is dat niets of niemand vertrouwd wordt) en access policy-regels. Maar zelfs met alle maatregelen is het volledig buiten de deur houden van spam en phishing een utopie. Voor een gebruiker is het soms echt heel moeilijk te zien of het gaat om een nepsite.
Daarom is monitoring en detectie zo belangrijk, als soort beveiliging voor als een medewerker toch een keer een foutje maakt en op een verkeerde link klikt. Zorg bijvoorbeeld voor goede monitoring, door inlogpogingen vanaf buitenlands IP-nummers te blokkeren. Gebruik daarom monitoringtools om verdachte inlogactiviteiten en sessie-overnames te detecteren en erop te reageren.
En naast monitoring en detectie, raadt Z-CERT zorginstellingen aan om medewerkers met trainingen en bewustwordingscampagnes scherp te houden op mogelijke aanvallen en phishing-pogingen. Dat betekent in de praktijk dat je goed moet letten op URL’s van websites en niet zomaar op linkjes klikt. Dit kun je bijvoorbeeld doen met een phishing-test om te zien of medewerkers op de link klikken.
Man versus Adversary-in-the-Middle-aanval
Een Man-in-the-middle-aanval (MITM-aanval) of person-in-the-middle-aanval (PITM-aanval) is een aanval waarbij informatie tussen twee communicerende partijen onderschept wordt zonder dat beide partijen daar weet van hebben. Hierbij bevindt de aanvaller zich tussen de twee communicerende partijen.
De berichten die beide partijen versturen en ontvangen, kunnen gelezen en veranderd worden. Ook kunnen berichten worden verzonden die niet door de andere partij zijn geschreven. De naam van de aanval verwijst naar de derde persoon die in het midden tussen de twee partijen staat en de langskomende berichten bekijkt en aanpast. Voorbeelden zijn het onderscheppen van e-mail en ander dataverkeer tussen twee of meerdere computers.
Een Adversary-in-the-Middle (AitM) is een type cyberaanval waarbij een aanvaller zich in de communicatie tussen twee partijen plaatst zonder dat ze dit weten. Het lijkt op de klassieke Man-in-the-Middle (MitM) aanval, maar er zijn enkele nuances. Bij een AitM-aanval richt de aanvaller zich specifiek op het onderscheppen, manipuleren of vervalsen van data tijdens de communicatie of interactie, zoals wachtwoorden, tokens of andere gevoelige gegevens.
Dit type aanval komt vaak voor bij het misleiden van gebruikers tijdens bijvoorbeeld inlogprocedures, zoals die met multifactorauthenticatie (MFA). De aanvaller kan zichzelf voordoen als de legitieme server en de gebruiker laten denken dat ze veilig inloggen, terwijl de aanvaller de inloggegevens opvangt en deze direct gebruikt om toegang te krijgen tot de doelomgeving.
Stel je logt in op je bankaccount, maar je bent verbonden met een onbeveiligd wifi-netwerk. Een aanvaller vangt je inloggegevens op door zich voor te doen als de bankwebsite. Jij merkt niets, omdat de aanvaller je verzoeken naar de echte bank doorstuurt en de antwoorden terug naar jou.
Verschil met traditionele MitM:
- MitM: De aanvaller luistert passief of onderschept gegevens.
- AiTM: De aanvaller manipuleert actief de sessie en kan zelfs SSL/TLS-encryptie omzeilen (bijvoorbeeld door gebruik van valse certificaten).
Hoe bescherm je je tegen AiTM:
- Gebruik HTTPS en TLS (let op het slotje in de browser).
- Vermijd onveilige netwerken (zoals openbare wifi zonder VPN).
- Sterke authenticatie (zoals multifactorauthenticatie).
- Controleer certificaten (let op waarschuwingen over certificaten).
CV
Edwin Feldmann is communicatieadviseur bij stichting Z-CERT.
