COVID-19: Oplichting en social engineering profiteren van snelle veranderingen

Next story

COVID-19 laat zien hoe snel oplichters de huidige situatie kunnen gebruiken en snel kunnen acteren om een belangrijke verandering in hun voordeel te benutten. De risico's die dit met zich meebrengt worden versterkt door het grote aantal werknemers dat wereldwijd overschakelt op thuiswerken.

Thuiswerken: het verschil van COVID-19

Brexit, orkanen, GDPR, embargo's en handelsoorlogen komen allemaal in je op als je denkt aan verstoringen van de bedrijfscontinuïteit. Maar bij die crisissituaties zijn er niet tientallen miljoenen werknemers wereldwijd die ervoor kiezen of verplicht worden om thuis te werken.

Het NRC meldde op 19 maart dat er een sterke groei is in het aantal thuiswerkers. “Nederlandse providers zien ook een toename. Een doordeweekse dag is voor provider VodafoneZiggo nu „net zo druk als in het weekend.” De piek in het netwerkverkeer zit normaal gesproken op zaterdagavond, als veel mensen tegelijk naar televisie kijken (streaming video).” Het NRC meldt ook dat een toename is in het gebruik van “internettelefonie, videoverkeer en samenwerkingssoftware.”

De radicaal veranderde hoeveelheid thuiswerkers en het verhoogde bedreigingslandschap hebben het potentieel om de uitdagingen waarmee ondernemingen en bedrijven van elke omvang worden geconfronteerd te vermenigvuldigen. Toegang tot het bedrijfsnetwerk beveiligen via VPN en gebruikmaken van zowel multifactorauthenticatie als encryptie zijn allemaal goede stappen om uw werknemers en uw cruciale bedrijfsgegevens te beveiligen.

Dat laat echter nog steeds de deur open voor aanzienlijke risico's voor bedrijfsapparaten buiten bedrijfsnetwerken en voor malware die via online kanalen op bedrijfsnetwerken is gericht. Om dit tegen te gaan, raden we aan een dynamische verdedigingsmodule in te schakelen tegen nieuwe, nog onbekende dreigingen: ESET Dynamic Threat Defense (EDTD). Deze module biedt het volledige potentieel van ESETs geavanceerde technologieën en is opgebouwd uit meerdere lagen, waaronder cloud-sandbox en machine learning, allemaal beheerd vanuit een centrale beheerconsole. Maar laten we even teruggaan naar de risico's.

Oplichting en social engineering kunnen bedrijfsspionage en gerichte aanvallen mogelijk maken

De grens tussen oplichting en social engineering kan vervagen als de inzet hoog is. Zakelijke oplichting is er al tijden, bijvoorbeeld de aankoop van ondermaatse of namaakgoederen, maar hun digitale tegenhangers hebben soms een nog grotere impact. Van online oplichters is bekend dat ze de welwillendheid van gebruikers benutten, waarbij consumenten vaak het doelwit zijn. Nu echter miljoenen werknemers vanuit huis werken, lopen bedrijven een nog groter risico.

In het geval van COVID-19 – zelfs voorafgaand aan de pandemische status – zien we opnieuw dergelijke hulpaanvragen en zakelijke kansen waar oplichting in overvloed bloeit. Medewerkers openen nu vaker (willekeurige) e-mails of klikken op ongevraagde PDF’s – een belangrijke bron van ransomware aanvallen. Deze nieuwe en onbekende vormen van ransomware zijn modelmateriaal voor EDTD om in actie te komen.

Daarnaast kunnen medewerkers ook waardevolle informatie weggeven, zoals het directe e-mail adres en het telefoonnummer van belangrijke medewerkers zoals de CFO. Oplichterij en spearphishing gericht op de C-suite, ook wel bekend als Business Email Compromise (BEC), leidde in 2019 tot een verlies van in totaal ten minste US $ 1,7 miljard. Zoveel 'onschuldige handelingen' door werknemers riskeren ransomware infecties, financieel verlies of, mogelijk nog erger - aanhoudende bedreigingen voor uw netwerk.

Phishing, daar komen de haaien!

Phishing, een grote bedreiging voor het bedrijfsleven, neemt vaak toe naarmate de zakelijke concurrentie toeneemt. Wanneer communicatie de interesse (buzz) concentreert rond waardevolle zakelijke onderwerpen of projecten, kan steeds meer waardevolle informatie gaan lekken. Wat begon als een legitieme zakelijke mogelijkheid, kan uitgroeien tot de interesse van zowel concurrenten als criminelen. Tegen die tijd hebben zelfs lager tot matig opgeleide cybercriminelen mogelijk genoeg materiaal verzameld om een spearphishing- of spionagecampagne naar uw organisatie te leiden. En de eerder genoemde C-suite? Of het nu gaat om te veel delen, spearphishing of beide - vanaf 12 maart waren zij en andere belangrijke medewerkers mogelijk meer blootgesteld.

E-mails en documenten: Shields up!

Vóór COVID-19 drong het bedreigingslandschap al veel organisaties aan om de beveiliging te verbeteren. In deze tijden is een snelle implementatie van concrete stappen om de beveiliging te verbeteren aan de orde. Een betere bescherming voor e-mailcommunicatie en een diepere analyse van documenten en andere bijlages in e-mails is een geweldige manier om te beginnen.

Om te beginnen blijft e-mail de meest voorkomende distributiemethode voor bedreigingen, waaronder ransomware, en wordt het ook gebruikt bij gerichte aanvallen. Het beveiligen van e-mail is dus van cruciaal belang. In veel gevallen wordt een eerste download/bestand bezorgd via een kwaadaardige e-mail of document, wat leidt tot een secundaire actie: ransomware-infectie of, erger nog, toegang tot het netwerk.

Een belangrijke toevoeging op je huidige security oplossing is ESET Dynamic Threat Defense Door EDTD als extra bescherming op te nemen bovenop ESET Mail Security, ESET File Security en onze Endpoint Protection-oplossingen, maak je gebruik van een cloud-gebaseerde sandbox-technologie en meerdere machine-learning-modellen om nooit eerder geziene bedreigingen te detecteren en te blokkeren. Nieuwe, nog niet eerder gedetecteerde potentiële malware wordt in een geïsoleerde testomgeving uitgevoerd en het gedrag ervan geanalyseerd, voordat deze wordt afgeleverd op de endpoint of server. Als na analyse blijkt dat het bestand schadelijk is wordt deze geblokkeerd op alle endpoints en servers binnen uw omgeving. Hierdoor kunnen medewerkers hun werk veilig blijven doen zonder elke mail of bestand te moeten beoordelen of deze kwaadaardig is of niet.

Afbeelding 1. Een nieuw monster op zijn reis door EDTD’s cloud-gebaseerde analyse

Voor bedrijven die geconfronteerd worden met massa’s thuiswerkers, biedt EDTD de mogelijkheid om binnen enkele minuten samples te analyseren, ongeacht waar gebruikers werken. Als er voor één werknemer iets kwaadaardigs wordt ontdekt, dan is het gehele bedrijfsnetwerk binnen enkele minuten beveiligd.

EDTD maakt gebruik van dezelfde machine-learning-technologie die ESET-onderzoekers onlangs waarschuwde voor een verdacht sample op computers aan Hong Kong-universiteiten. Het sample werd uiteindelijk geïdentificeerd als een bijgewerkte malware-launcher die werd gebruikt door de Winnti-bedreigingsgroep.

Het indienen van verdachte samples voor analyse van machine-learning in de cloud via EDTD is met name van cruciaal belang om de volledige kracht van cloud-verwerking te benutten en te profiteren van meer modellen om malware te detecteren. E-mailbijlagen die door EDTD als schadelijk zijn geclassificeerd, worden verwijderd uit e-mails, waardoor de ontvanger en het bredere netwerk worden geïnformeerd over de kwaadaardige detectie. EDTD kan dezelfde scans ook uitvoeren op bestanden die zijn gevonden op USB's van werknemers.

EDTD werkt samen met andere technologieën die op endpoints zijn geïnstalleerd, zoals ESET Ransomware Shield, dat op gedrag gebaseerde detectie van ransomware biedt, en het Host-based Intrusion Prevention System (HIPS), waarmee gebruikers aangepaste regels kunnen instellen om processen te blokkeren die ransomware-achtig gedrag weergeven.

Upgraden in een tijd als deze?

Veel bedrijven maken zich misschien zorgen over het toevoegen van nieuwe technologieën aan de installatie van hun bestaande beveiligingsnetwerk. EDTD voegt echter bescherming toe zonder enige impact op het beheer of de prestaties van beheerde netwerken. De machine-learning-processen die de cloud-gebaseerde sandbox-analyse in EDTD ondersteunen, vinden plaats in de ESET-cloud zonder dat daarvoor gebruik wordt gemaakt van lokale klantresources. EDTD is dus een instrument dat bij uitstek geschikt is om onmiddellijk te installeren nu honderden miljoenen gebruikers van de ene op de andere dag hun online activiteiten hebben geïntensiveerd.

Nu veel gebruikers zakelijke en persoonlijke apparaten combineren, en hoewel ze niet altijd verbonden zijn met beter beschermde en “bewaakte” bedrijfsnetwerk, gebruiken of onderhouden veel gebruikers mogelijk niet de tools en beveiliging die nodig zijn om hun werk veilig online thuis voort te zetten. Deze risico's voeden zowel social engineering als oplichting en geven bedreigingen een grotere kans om miljoenen werkcomputers te infecteren.

Verschuivende supply chains

Wanneer markten verschuiven, of IT-beveiligingsincidenten en wereldwijde gezondheidscrisissen plaatsvinden, nemen bedrijven veelal de moeite om leveranciers te vervangen, rapportage- en communicatieprocessen te optimaliseren en soms zelfs hele logistieke systeem te veranderen. Helaas kan een bedrijf dat snel een vermeende tekortkoming probeert aan te pakken, zaken doen met bedrijven die de nodige maatregelen niet zorgvuldig hebben uitgevoerd, niet voldoen aan de basisnormen voor IT-beveiliging of zelf oplichters zijn. In deze gevallen wordt een goed beheerde beveiligingsomgeving nog essentiëler.

Elementen van deze scenario's zijn eerder gezien, met dank aan de Telebots APT-groep, die de wereldwijde toeleveringsketens via NotPetya-malware heeft verwoest, waardoor het de meest verwoestende cyberaanval in de geschiedenis is geworden en een aantal van zijn grootste slachtoffers meer dan $ 10 miljard heeft gekost. Naast de directe gevolgen van ransomware die door sommige bedrijven wordt ervaren, hebben andere bedrijven in de supply chain, die nog geen slachtoffer van malware zijn, de contacten verbroken in een poging om veilig te blijven. Klinkt dit bekend?

Ter conclusie

De snelle verandering en het verhoogde risico in de hier gegeven voorbeelden laten zien dat organisaties COVID-19 en het bredere dreigingslandschap moeten zien als een kans om onmiddellijke verbeteringen in de bescherming aan te brengen. Deze kunnen worden geleverd door ESET Dynamic Threat Defense, dat de bescherming verbetert door te helpen de communicatie en de menselijke factor, te beschermen.

* Deze blog verwijst naar ESET-onderzoek naar actieve bedreigingsgroepen die zijn gedocumenteerd op zowel de MITRE ATT&CK®-website als op WeLiveSecurity.com.