Casus: phishing-experimenten aan de Vilnius Tech Universiteit
De Vilnius Tech Universiteit in Litouwen heeft in 2018 en in 2019 phishing-simulaties uitgevoerd. Justinas Rastenis, hoofd van de afdeling Infrastructure Centre, vertelt in het kader van de cybersecuritymaand 2021 over de opzet, de uitkomsten en de stappen die de universiteit heeft gezet naar aanleiding van de experimenten.
Social engineering
Met het toenemende gebruik van informatietechnologie neemt ook het belang van de beveiliging van informatietechnologie en gegevens toe. Ongeoorloofde toegang tot systemen of belangrijke gegevens door criminelen is aan de orde van dag. Maar zelfs systemen die geen technische of softwarematige kwetsbaarheden hebben, zijn niet bestand tegen menselijke fouten of interne aanvallen. Een steeds groter deel van de cyberaanvallen is dan ook het gevolg van social engineering: een techniek waarbij een crimineel gebruikmaakt van de zwakste schakel in de keten, de mens. Hackers spelen in op nieuwsgierigheid, vertrouwen, hebzucht, angst en onwetendheid met als doel vertrouwelijke of geheime informatie te machtigen.
Phishing
Een van de meest voorkomende social engineering-aanvallen is phishing. Hierbij wordt gebruik gemaakt van technische trucs om gebruikers te misleiden om persoonlijke gegevens, bank- of andere systeemlogins en gevoelige gebruikersinformatie te bemachtigen. Phishing gebeurt meestal via e-mail, omdat het een van meest gebruikte vormen van data-uitwisseling is. In de e-mailstroom die medewerkers dagelijks ontvangen, kan het moeilijk zijn een phishing-e-mail te onderscheiden van een e-mail van een legitieme gebruiker.
Het experiment bestond uit een voorbereidings-, uitvoerings-, gegevensanalyse- en post-experimentfase. In de voorbereidingsfase werden een valse website en e-mailsjabloon gemaakt. Het thema van het dit eerste experiment in 2018 werd gekozen op basis van de relevante tijd van het jaar - de naderende kerstperiode.
Mogelijk gedrag
De volgende figuur illustreert het mogelijke gedrag van werknemers tegen gegevensverleiding via e-mail vanaf het moment dat de e-mail werd verzonden. Op het tweede niveau van de boomstructuur van gebruikersactiviteiten konden bepaalde handelingen van gebruikers worden geregistreerd en zo hun reacties op de e-mail met het verzoek om gegevensverleiding worden beoordeeld. Op het derde niveau downloadt de gebruiker de afbeelding (tijdens het downloaden geeft hij de afzender feedback dat hij actief is). Op het vierde niveau bezoekt de gebruiker de website. Dit geeft aan dat de gebruiker geïnteresseerd is en tegelijkertijd is het mogelijk kwaadaardige code op de website uit te voeren terwijl deze wordt bezocht. Op het vijfde niveau vult de gebruiker het formulier in met zijn persoonlijke gegevens. Dit betekent dat de aanvaller alle gevraagde handelingen kan verrichten en in dit geval heeft de aanvaller de nodige informatie van de gebruiker ontvangen.
Resultaat eerste experiment
Op een vrijdagmiddag in aanloop naar kerst werden 1.684 e-mails verzonden en de maandag er op zijn alle gegevens verzameld. Gedurende de eerste 72 uur van het experiment hebben 708 van de 1.648 werknemers de brief gelezen (43%). Van de 708 werknemers hebben 405 de afbeelding gedownload en 410 werknemers hebben de website geopend. Door één of beide van deze stappen uit te voeren, heeft de medewerker ook kwaadaardige code gedownload. Binnen 72 uur na ontvangst van de e-mail was dus bijna 60% van de werknemers die de e-mail lazen, getroffen (oftewel 25% van alle werknemers in de organisatie) en hun acties zorgden dus voor persoonlijke en organisatorische IT-beveiligingsrisico's. Ondertussen vulden 214 werknemers een nepformulier met hun persoonlijke gegevens in en werden zij volledig getroffen door een gesimuleerde phishing-aanval. Dat is 30% van de werknemers die e-mails lezen en 13% van alle werknemers in de organisatie.
Conclusie: phishing is een zeer grote dreiging met hoog rendement
De resultaten van het eerste exepriment bewijzen dat phishing een zeer belangrijke veiligheidsbedreiging is en een hoog rendement heeft. Slechts 10 medewerkers meldden de e-mail als een beveiligingsincident. Dat deden zij door de IT-afdeling te mailen of het incident te registreren in het IT-supportsysteem.
Securityawareness-cursus zorgt voor toename aantal phishing-meldingen
Na dit experiment werden alle werknemers uitgenodigd om deel te nemen aan een security-awarenesscursus. Na deze cursus is het aantal phishing-meldingen bij het Centrum voor informatietechnologie en systemen toegenomen. Elke maand ontvangt het centrum ongeveer 74 verzoeken om verdachte e-mails te onderzoeken, terwijl het vóór de cursus slechts 19 verzoeken per maand ontving. Het groeiende aantal verzoeken om phishing-aanvallen in een organisatie te onderzoeken, kan worden verklaard door zowel het toenemende aantal phishing-aanvallen als het groeiende bewustzijn.
Tweede phishing-experiment
In december van 2019 werd een tweede experiment met phishing-aanvallen uitgevoerd. Tijdens deze phishing-aanval ontvingen alle werknemers een e-mail over het deactiveren van hun rekening. Via een link in de mail werden ze doorgestuurd naar een externe website en gevraagd om het uitschakelen van hun bankrekening te bevestigen of te weigeren. In een andere link werd gevraagd om een extra formulier met persoonlijke gegevens in te vullen om het deactiveren van de rekening in de toekomst te voorkomen.
Het tweede experiment omvatte, net als het eerste, dezelfde fasen: voorbereiding, uitvoering, gegevensanalyse, en post-experiment. Wanneer je als instelling een experiment herhaalt, is het belangrijk een ander scenario te kiezen. Een voor experimentele doeleinden verzonden e-mail mag niet voor de hand liggen en moet tegelijkertijd ten minste een aantal elementen bevatten die hem identificeren als frauduleuze e-mail.
Resultaten beide experimenten tegen elkaar afgezet
De tabel geeft een samenvatting van de resultaten van beide gegevensverleidingsexperimenten. Hieruit blijkt dat tijdens het tweede experiment de werknemers de e-mail actiever lazen, maar dat hun kwetsbaarheid geringer was. Een kleiner deel van de werknemers downloadde de afbeelding, bezocht de website en vulde de gegevens in.
Het aantal werknemers dat alle door de aanvaller verwachte acties uitvoerde, daalde meer dan 10 keer (van 214 naar 21 werknemers). Ondertussen steeg het aantal meldingen van een phishing-aanval sterk (van 10 naar 205 meldingen van gebeurtenissen). Deze cijfers zijn zeer representatief, maar 1% van alle werknemers is nog steeds kwetsbaar. Dit is nog steeds te hoog en moet in de toekomst worden teruggedrongen.
Conclusies
De securityawareness-cursussen laten positieve resultaten zien. Belangrijk is wel om de awareness-cursuscursus af te stemmen op specifieke doelgroepen. Verder is dit soort experimenten nodig voor de bewustwording van medewerkers en studenten.
Dit is een bewerking van een artikel van GÉANT dat werd gepubliceerd in het kader van de CyberSecurityMonth 2021.