Alle IT afdelingen weten iets van phishing! Maar weten zij dat de meeste van deze aanvallen gericht zijn op merken, hun piek bereiken op woensdag en plaatsvinden binnen 3 tot 5 dagen na de registratie van de domeinnaam die voor phishing-doeleinden is gecreëerd? Een recente analyse stelt ons in staat u een volledig profiel van deze aanvallen voor te leggen en u onze aanbevelingen te geven om de omvang ervan te beperken…
De diepgaande studie die van 1 mei tot 31 juli 2020 werd uitgevoerd door de Interisle Consulting Group laat er geen twijfel over bestaan dat fraudeurs steeds “scherpere” strategieën hanteren. De identificatie, in deze korte periode, van 99.412 domeinnamen die voor phishing werden gebruikt en 122.092 aanvallen, geeft een beter inzicht in de omvang van dit fenomeen, waarbij merken het favoriete doelwit zijn: zij vertegenwoordigen 43% van de aanvallen. Daaronder banken, sociale media, belastingdiensten, universiteiten… en, om de bekendste te noemen, Amazon, Apple, AT&T, Chase, Facebook, LinkedIn, Microsoft, Outlook, Paypal en WhatsApp. Erger nog, volgens de verzamelde gegevens zijn meer dan 300 van hen ten minste vijf keer aangevallen!
Naast deze cijfers helpt de studie ook het huidige profiel van phishing-aanvallen te schetsen: ze duren kort (ongeveer 21 uur), vinden vooral in het midden van de week plaats en worden pas 8 uur 44 minuten nadat de slachtoffers zijn beginnen in te loggen, ontdekt.
Ook blijkt dat voor namen waarvan de registratiedatum bekend is, phishing-aanvallen plaatsvinden:
- in 45% van de gevallen binnen 14 dagen;
- maar binnen de eerste 3 dagen voor 57% van de namen die voor kwaadwillige doeleinden zijn geregistreerd. Van deze als kwaadaardig geïdentificeerde namen blijft 17% (bekend als slapende namen) meer dan 90 dagen na registratie ongebruikt door hackers, terwijl andere namen meer dan een jaar ongebruikt blijven, in afwachting van toekomstige aanvallen.
Verder stelt de studie dat:
- 54% van de aangevallen namen zijn geregistreerd onder .COM en .NET;
- slechts 24% gebruikt geografische extensies (ccTLD’s), maar geeft de voorkeur aan de 5 die goedkope registraties aanbieden, namelijk .TK (Tokelau), .GA (Gabon), .ML (Mali), .CF (Centraal-Afrikaanse Republiek) en .GQ (Equatoriaal-Guinea);
- 18% van de namen zijn in de nieuwe extensies (terwijl deze nTLD’s slechts 9% vertegenwoordigen van alle domeinnamen die in de wereld geregistreerd zijn); bijvoorbeeld extensie .BUZZ (meer in het bijzonder gewijd aan sociale interacties) is de 5de extensie die door de hackers gebruikt wordt.
Het is echter waarschijnlijk dat de omvang van phishing wordt onderschat. In de studie worden verschillende redenen genoemd die een belemmering kunnen vormen voor de opsporing en identificatie van aanvallen. Deze omvatten:
- bepaalde ontwijkingstechnieken die door fraudeurs worden gebruikt, met name “cloaking”, waarbij een andere pagina-inhoud wordt gepresenteerd naargelang de bezoeker een mens of een robot is;
- de verschillende beleidsmaatregelen inzake vertrouwelijkheid van gegevens die de anonimiteit van fraudeurs garanderen, bijvoorbeeld de GDRP.
ADVIES van EBRAND
De voorkeurstechniek van hackers is identiteitsdiefstal (spoofing) en de toegangspoort tot het merendeel van de misleidingen blijft: de domeinnaam! Om het frauduleuze e-mailadres te creëren dat voor hun phishing-operaties zal worden gebruikt, moeten hackers immers vooraf een bedrieglijke domeinnaam registreren. Hoewel het niet mogelijk is de aanmaak van een e-mailadres te verhinderen, is het wel perfect mogelijk de registratie van domeinnamen die als “risicovol” worden beschouwd, te beperken.
Indien u op uw niveau een aanzienlijke toename van het aantal aanvallen vaststelt, moet u absoluut de opsporing van deze aanvallen versterken met de invoering van een aangepaste bewaking, maar ook deze aanvallen voorkomen door defensieve registraties van zeer gerichte domeinnamen.
Daarom biedt EBRAND u XRay aan, een gloednieuw anti-phishing detectiemiddel. Dit instrument zal elk uur domein- en subdomeinrecords controleren om de samenstelling van frauduleuze domeinnamen en hun registratiefrequentie te bestuderen. De opsporing geschiedt onder de opgegeven DNS-records, maar ook onder andere gegevensbestanden, zoals de aanmaak van SSL certificaten. Dankzij de uitgevoerde studie zult u dan uw bescherming op het internet fijner kunnen afstemmen. Deze methode heeft bewezen zeer effectief te zijn in het anticiperen op aanvallen. Bovendien biedt het uurlijkse toezicht de nodige speelruimte om vóór de termijn van 3 dagen te handelen of te reageren.
Klik voor meer informatie over de Xray-oplossing op de onderstaande banner. Er is documentatie beschikbaar.