Diepgaande Duik in Cyberbeveiliging: Wat is een Baiting-aanval?
Een lok-aanval is een type phishing-aanval dat gebruikmaakt van sociale manipulatie om jou te beïnvloeden. Deze aanvallen spelen vaak in op je hebzucht of nieuwsgierigheid om je te misleiden en je apparaat met malware te infecteren.
Deze aanvallen komen vaak voor in drie vormen:
- Fysieke Media – Kwaadwillenden laten vaak geïnfecteerde USB-sticks rondslingeren op werkplekken, parkeerplaatsen of in kantoorgangen, in de hoop dat iemand deze vindt en in een apparaat steekt
- Online Downloads – De hacker kan je een direct bericht sturen op sociale media of via e-mail, waarin hij probeert je te overtuigen om op een link te klikken. Deze berichten bevatten links naar kwaadaardige bestanden die malware installeren op je apparaat zodra ze worden geopend. Er zijn ook websites die gratis materiaal beloven, wat een lok-aanval kan zijn
- Verleidelijke Aanbiedingen – E-mailaanbiedingen die je iets gratis of met hoge korting beloven als je op een link klikt. Deze links zijn geïnfecteerd en zullen malware installeren op je apparaat
Een van de meest beruchte lok-aanvallen in de geschiedenis was de aanval op het Amerikaanse Ministerie van Defensie in 2008.
Deze werd bestempeld als de “ergste inbreuk op Amerikaanse militaire computers in de geschiedenis“, en leidde tot de oprichting van het Cyber Commando van het Ministerie van Defensie.
Operatie Buckshot Yankee, zoals het bekend kwam te staan, betrof een geïnfecteerde USB-flashdrive die werd achtergelaten op de parkeerplaats van een DoD-faciliteit in het Midden-Oosten.
Een agent sloot een geïnfecteerde flashdrive aan op een laptop en installeerde onbedoeld kwaadaardige code die bedoeld was om informatie te stelen van de computers op de basis.
De malware zelf waseen zichzelf replicerende worm die zich automatisch verspreidde door het netwerk van het DoD. Het Pentagon had 14 maanden nodig om de worm volledig uit hun systemen te verwijderen.
En dit was een klassieke lok-tactiek die inspeelde op de nieuwsgierigheid van het slachtoffer. Het had bijna geleid tot een nationale crisis van ongekende proporties.
Zowel individuen als organisaties lopen risico op lok-aanvallen. Maar het zijn vooral de organisaties die extra voorzichtig moeten zijn. De inzet is immers hoger, en de gevolgen zijn veel ernstiger.
Als één werknemer ten prooi valt aan een lok-aanval, kan dit een kettingreactie van datalekken, reputatieschade, financiële schade en meer veroorzaken.
Hieronder neem ik je mee in een diepe duik in de wereld van lok-aanvallen. Ik laat je zien wat ze zijn, specifieke principes die worden gebruikt, veelvoorkomende scenario’s en technieken, casestudy’s en waarschuwingssignalen.
Laten we beginnen!
Hoe Verschilt Lokken van Traditionele Phishing?
Een lok-aanval is een subcategorie van algemene phishing-aanvallen. In essentie is lokken een vorm van phishing.
Echter, een lok-aanval heeft een paar specifieke kenmerken:
- De emoties waarop het inspeelt
- De veelvoorkomende scenario’s die worden gebruikt
Laten we beide punten hieronder bespreken en kijken hoe lok-aanvallen werken:
1. Psychologie van Lok-aanvallen
De overgrote meerderheid van de lok-aanvallen speelt in op twee basisemoties – hebzucht en nieuwsgierigheid.
Wat betreft hebzucht, proberen hackers je vaak te overtuigen met beloftes van rijkdom, kortingen, exclusieve aanbiedingen en dingen die te mooi lijken om waar te zijn.
Het vooruitzicht op financieel voordeel verblindt slachtoffers vaak, waardoor ze impulsieve beslissingen nemen zonder goed na te denken.
Dit zorgt ervoor dat ze risico’s nemen die ze anders niet zouden nemen. Door hebzucht manipuleren lok-aanvallen hun slachtoffers om hun eigen veiligheid te compromitteren.
Dit kan betekenen dat ze kwaadaardige software downloaden of een link openen die een zware korting op een product belooft.
Met nieuwsgierigheid is het verhaal enigszins anders. Hackers gebruiken meestal fysieke media om aandacht te trekken en te spelen op de nieuwsgierigheid van hun slachtoffers.
Het idee is om een gevoel van mysterie en intrige te creëren door deze aanval. Slachtoffers zullen zich gedwongen voelen om te zien wat er op de willekeurige USB-stick staat die ze hebben gevonden, of de mysterieuze link openen die ze hebben ontvangen.
Kwaadwillenden plaatsen vaak een label “Vertrouwelijk” of “Geclassificeerd” op deze fysieke USB-sticks om de nieuwsgierigheid van hun slachtoffers nog meer te prikkelen.
Online kunnen deze op nieuwsgierigheid gebaseerde lok-aanvallen beloven vertrouwelijke informatie of geheimen te onthullen die je anders niet zou kunnen bereiken.
Door te begrijpen hoe lok-aanvallen deze twee emoties gebruiken om je te manipuleren tot het nemen van impulsieve acties, kun je je bewustzijn verhogen en jezelf verdedigen.
Dit geldt zowel voor individuen als voor organisaties. Werknemers zouden ook een basiseducatie over lok-aanvallen moeten ontvangen om niet ten prooi te vallen aan deze aanvallen.
2. Veelvoorkomende Aanvalsscenario’s
Lok-aanvallen hebben vaak specifieke scenario’s die vaker voorkomen vergeleken met basis phishing-aanvallen.
Laten we er een paar doornemen:
- Grote kortingen
Je kunt een bericht of e-mail ontvangen over een zeer hoge (te mooi om waar te zijn) korting op een product of dienst waar je naar op zoek was.
- Gratis producten/diensten
Soms is het product/de dienst die in een lok-aanval wordt beloofd gratis. De hacker wil zo veel mogelijk op je hebzucht inspelen.
En wie kan gratis weerstaan?
- Een grote prijs winnen
Een ander veelvoorkomend scenario is het winnen van een groot geldbedrag. Dit kan een loterij zijn waarin je automatisch bent ingeschreven (volgens de hacker) of een erfenis.
Ik heb persoonlijk veel loterij-achtige e-mails ontvangen en ze vragen allemaal om je persoonlijke informatie om je het geld over te maken.
Laat je niet misleiden – het is een scam!
- Onverwachte prijs
De hacker kan zich voordoen als een winkeldienst die je eerder hebt gebruikt en je verrassen met een onverwachte prijs.
Ze kunnen verschillende redenen bedenken, zoals een loyaliteitsprogramma dat klanten beloont.
Natuurlijk zijn zowel de links als de telefoonnummers die door de hacker worden verstrekt nep. Trap er niet in!
- Nepbezorging
Een ander lok-scenario is wanneer de dreigingsactor je een bericht achterlaat dat je een bezorging hebt gemist. Deze keer hebben we te maken met een fysieke aanval, en het feit dat de hacker weet waar je woont is extreem gevaarlijk.
Het bericht kan een telefoonnummer of een andere contactmethode bevatten – gebruik ze niet. Laat je nieuwsgierigheid afnemen, want het is een scam.
Maar hoe construeren aanvallers hun lok-aanvallen en hoe zorgen ze ervoor dat ze effectief zijn? Laten we hieronder eens kijken!
Anatomie van een Lok-aanval
Dreigingsactoren gebruiken bepaalde technieken om de effectiviteit van hun lok-aanval te waarborgen. Laten we eens kijken wat deze technieken zijn:
- De Vermomming
In lok-aanvallen die kwaadaardige bestanden bevatten, zorgen hackers ervoor dat die bestanden vermomd zijn als onschuldig ogende formaten.
Ze gebruiken onschadelijke extensies, legitiem klinkende namen en niet-bedreigende iconen die geen alarmbellen doen rinkelen.
Dit alles is een list om je te misleiden en ze te openen. Het is allemaal bedoeld om de illusie van onschuld te wekken en het gevaar te verbergen.
Dit werkt ook voor kwaadaardige links die de hacker probeert te verhullen door hun URL’s aan te passen en ze niet-bedreigend te maken.
- De Vertrouwensrelatie
Lok-aanvallen vertrouwen bijna volledig op de eerste indruk. Hackers weten dat ze maar een paar seconden hebben om je te overtuigen om iets stoms te doen.
Dus moeten ze jou net genoeg vertrouwen geven om op een link te klikken of kwaadaardige software te downloaden.
Ze doen vaak alsof ze legitieme bedrijven vertegenwoordigen waarmee je eerder te maken hebt gehad. Dit alles om je vertrouwen te winnen en je verdediging te laten zakken.
De hacker kan ook een gevoel van autoriteit aannemen in een bepaald domein – zoals een marketingspecialist of secretaresse – om jouw vertrouwen te winnen.
- De Emotionele Versterking
Alle lok-aanvallen gebruiken emoties om je dingen te laten doen die je anders niet zou doen. Maar waarom werken ze?
Dat komt door emotionele versterking. Deze aanvallen werken door bepaalde emoties zoals hebzucht, nieuwsgierigheid, schaarste en urgentie te versterken.
Dit vergroot de kans dat je in de val trapt, omdat je emoties met je op de loop gaan.
Wanneer we toegeven aan nieuwsgierigheid, hebzucht of urgentie, gaan onze rationele denkprocessen naar de achtergrond en maken plaats voor impulsieve besluitvorming.
Daar gokken de hackers op – dat door deze emoties te versterken, je ondoordachte beslissingen zult nemen.
Casestudies
Om te begrijpen hoe lok-aanvallen functioneren in de echte wereld, en om de mogelijke gevolgen duidelijk te maken, heb ik 5 werkelijke casestudies voorbereid met betrekking tot lok-aanvallen.
Het analyseren ervan zal licht werpen op hoe deze aanvallen werken. Dus laten we beginnen!
1. Stuxnet Worm (2010)
Stuxnet is wellicht de beruchtste lok-aanval in de geschiedenis, één die leidde tot ernstige geopolitieke gevolgen.
Hier zijn de details van Stuxnet of Operatie Olympic Games, zoals het bekend kwam te staan:
- Stuxnet was een worm (zelfreplicerende malware) opgeslagen op een fysieke USB-stick, die het Iraanse nucleaire programma in de Natanz-faciliteit infecteerde
- Het doel was om PLC’s (programmeerbare logische controllers) van Siemens op een apparaat te vinden en hun programmering te wijzigen
- Door het wijzigen van de programmering van de PLC’s werden de rotatiesnelheden van de nucleaire centrifuges aangetast, wat leidde tot schade of complete vernietiging
- Tegelijkertijd zonden de PLC’s (onterecht) naar de controlecomputer dat alles in orde werkte
De nucleaire faciliteit van Natanz stond bekend als infiltratieproof op dat moment, omdat de systemen nooit verbonden waren met het internet.
De enige manier om de faciliteit te infiltreren was fysiek. En dat is precies hoe Stuxnet binnenkwam – een medewerker van Natanz sloot de USB-stick aan op een werkapparaat.
Eenmaal in het wild verspreidde de worm zich willekeurig van apparaat naar apparaat in het interne netwerk van Natanz en vond alle Siemens PLC’s.
Interessant genoeg, exploiteerde Stuxnet vijf zero-day kwetsbaarheden en een achterdeur om zich te verspreiden door de Windows PC’s in de Natanz-faciliteit:
- Een bug met de print spooler
- Een fout in Windows-snelkoppelingen
- Twee kwetsbaarheden voor escalatie van privileges
- Een fout met de Siemens PLC’s
- Een achterdeur die werd gebruikt in de Conficker-aanval
Als je iets van cybersecurity weet, dan weet je dat het exploiteren van zoveel kwetsbaarheden tegelijk uiterst ongebruikelijk is.
Dat komt omdat hackers niet al hun kaarten tegelijk willen onthullen. Typisch, zodra een zero-day kwetsbaarheid bekend is, zullen beveiligings bedrijven een patch ontwikkelen en de toegang van de hacker afsnijden.
Echter, Stuxnet was een ongeremde cyberaanval die slechts één kans nodig had om de Natanz-faciliteit binnen te dringen en het nucleaire programma te ruïneren.
De worm was ook geschreven in meerdere programmeertalen, waaronder C, C++, en andere objectgeoriënteerde talen.
Tot op de dag van vandaag blijft het een van de meest geavanceerde stukken malware ooit geschreven. Experts ontleden het zelfs vandaag nog om ervan te leren.
Was Stuxnet succesvol, hoewel? In één woord, ja. Het slaagde erin om in een jaar tijd ongeveer 2.000 centrifuges buiten gebruik te stellen, waar het typische aantal buiten gebruik gestelde centrifuges rond de 800 lag.
Er gaan geruchten dat Stuxnet het nucleaire programma van Iran met minstens twee jaar heeft teruggeworpen. De enige reden dat het ooit werd ontdekt, was dat een medewerker van Natanz het mee naar buiten nam op een werkapparaat.
Beveiligingsonderzoekers vonden het uiteindelijk en ontcijferden het grotendeels. Het had meer dan 15.000 regels code, wat veel verder gaat dan wat enige andere malware bevat.
En het begon allemaal vanaf een enkele USB-stick die een medewerker van Natanz toevallig vond en aansloot op een werkapparaat.
Een lok-aanval van begin tot eind!
2. Operatie Aurora (2009)
Disclaimer – Operatie Aurora bevatte slechts elementen van lokken (spear phishing tactieken), maar was geen typische lok-aanval. Het richtte zich meer op het exploiteren van zero-day kwetsbaarheden en achterdeuren.
Operatie Aurora was een van de meest uitgebreide cyberaanvallen in de geschiedenis, uitgevoerd door de Elderwood Group (met Chinese banden) tegen meerdere bekende Amerikaanse bedrijven.
Bevestigde doelwitten waren onder andere:
- Adobe Systems
- Akamai Technologies
- Juniper Networks
- Rackspace
Volgens verschillende rapporten waren Symantec, Yahoo, Dow Chemical, Northrop Grumman en Morgan Stanley ook doelwitten van Operatie Aurora.
Het hoofddoel van de aanval was om handelsgeheimen van de Amerikaanse privésector te stelen – hun broncode-repositories.
Dit is hoe de gebeurtenissen zich ontvouwden:
I. De Aanval Begint
De anatomie van Operatie Aurora is fascinerend vanwege de verfijndheid. Volgens McAfee gebruikten de aanvallers meerdere zero-day kwetsbaarheden in de Internet Explorer browserapp en de Perforce revisiesoftware.
De hackers stuurden effectief lok-e-mails naar werknemers van deze bedrijven, in een poging zich voor te doen als collega’s of vertrouwde bronnen. Ze lokten de slachtoffers om op kwaadaardige links te klikken die de geïnfecteerde malware op bedrijfsapparaten zouden installeren.
Door middel van spear-phishing tactieken en het exploiteren van zero-day kwetsbaarheden, verkregen de aanvallers de verhoogde toegang die ze nodig hadden om toegang te krijgen tot de computersystemen van de bedrijven.
Ze gebruikten ook achterdeurverbindingen naar Gmail-accounts om toegang te krijgen tot de computersystemen.
II. Google Kondigt de Aanval Aan
Op 12 januari 2010 kondigde Google op zijn blog aan dat het in het midden van december een cyberaanval had ondergaan die afkomstig was uit China.
Ze beweerden ook dat meer dan 20 bedrijven in dezelfde periode waren aangevallen door dezelfde groep.
Om deze reden gaf Google aan dat het zou overwegen om zijn zakelijke relaties in China te beëindigen. Op dezelfde dag werden verschillende andere politieke verklaringen uitgegeven door diverse partijen.
De Chinese overheid gaf geen formele reactie op deze beschuldigingen.
III. Symantec Begint met Onderzoek naar de Aanvallen
Cyberbeveiligingsbedrijven Symantec en McAfee boden aan om de aanval namens Google en alle andere getroffen bedrijven te onderzoeken.
Na het doornemen van het bewijs (domeinnamen, malwaresignaturen, IP-adressen, enz.), vonden ze dat de Elderwood Group verantwoordelijk was voor Operatie Aurora.
De hackersgroep staat ook bekend als de “Beijing Groep“, en ze kregen toegang tot een deel van Google’s broncode en informatie over verschillende Chinese activisten.
McAfee VP van Threat Research Dmitri Alperovitch identificeerde de aanval als “Operatie Aurora” omdat “Aurora” een bestandspad was dat in twee van de malwares gebruikt in de aanvallen.
IV. Nasleep
Nadat de aanvallen publiekelijk bekend werden, stopten veel landen tijdelijk met het gebruik van Internet Explorer vanwege de ingebedde zero-day kwetsbaarheden.
Google trok zich ook terug uit China en onderhoudt alleen nog een lokale versie van de zoekmachine vanuit Hongkong.
Operatie Aurora bleek schadelijker voor China dan voor de VS, aangezien eerstgenoemde meer verloor in de nasleep van de aanval.
Herkenning en Preventie van Lok-aanvallen
Lok-aanvallen zijn meestal niet moeilijk te herkennen. Gelukkig zal het nemen van een paar voorzorgsmaatregelen en bewust zijn van hoe lok-aanvallen je misleiden, een lange weg gaan in het beschermen van jezelf.
Laat me je eerst de meest voorkomende waarschuwingssignalen voor lok-aanvallen tonen!
1. Waarschuwingssignalen
- Dringende Onderwerpregel van de E-mail
Vanaf het begin, als je een alarmistische onderwerpregel ziet, zou je oplichtingsmeter al moeten piepen.
Dergelijke onderwerpregels kunnen zijn “Verander Nu Je Wachtwoord” of “Pak Deze Korting Zolang Het Nog Kan”.
Als de andere partij een gevoel van urgentie creëert en je emoties wil aanspreken om je impulsieve beslissingen te laten nemen, zou je hun bedoelingen moeten gaan betwijfelen.
Het is of een legitieme (?) marketingmail of een lok-aanval bedoeld om je op te lichten. In veel gevallen zijn de twee niet zo duidelijk te onderscheiden als we zouden hopen.
- Vragen om Persoonlijke/Gevoelige Informatie
Als de andere partij om persoonlijke of gevoelige informatie vraagt, zoals je creditcardnummer, geef deze dan NIET.
Geen enkel legitiem bedrijf zal ooit om gevoelige informatie vragen via e-mail of directe berichten. Dat komt omdat gevoelige informatie precies dat is – gevoelig voor je identiteit, en alleen jij zou het moeten weten.
99,99% van alle e-mails die om dergelijke informatie vragen zijn lok-aanvallen. De resterende 0,01% zijn óf onprofessionele bedrijven óf bedrijven met bijzonder ernstige beveiligingsproblemen.
- Het E-mailadres of Domein van de Afzender Zijn Nep
Wanneer je een vreemde e-mail ontvangt van iemand die je kent (zelfs je leidinggevende), bekijk dan hun e-mailadres of domein.
Vergelijk dit vervolgens met het echte adres uit je contactenlijst. Zijn ze hetzelfde? Of is het adres in de e-mail net iets anders?
Misschien heeft het één extra letter of gebruikt het hoofdletters, of is een van de letters dubbel. Dat is een phishing e-mailadres dat zorgvuldig (of niet) is gemaakt om je te misleiden.
2. Educatieve Maatregelen & Technologische Beschermingen
Aangezien lok-aanvallen een subcategorie zijn van phishing-aanvallen, verwijs ik je naar mijn gids over phishing-aanvallen.
De preventiemethoden en waarschuwingssignalen zijn exact hetzelfde voor beide:
- Grammaticafouten
- De aanwezigheid van onverwachte bijlagen
- Hoofdletters op vreemde plaatsen
- De dringende toon
Een premium antimalwareservice zal je helpen infecties te voorkomen voor het geval je per ongeluk voor een lok-aanval valt en malware downloadt.
Je wilt misschien ook kiezen voor een meer privé en veilige e-mailprovider zoals Proton. Hun e-mailfilters zijn beter in staat om potentiële spam en phishing-aanvallen te identificeren (de e-mails worden automatisch naar Spam verzonden).
Dit geeft je een beter idee van wat je van deze e-mails kunt verwachten. Maar wees voorzichtig – niet alle e-mails in je Spam-map zijn phishing-e-mails.
E-mailfilters zijn niet altijd 100% nauwkeurig, dus ze kunnen een fout maken.
Conclusie
Lok-aanvallen zijn de meest voorkomende vorm van phishing-aanvallen. Ze gebruiken psychologie om je te verleiden tot het openen van een geïnfecteerde link of het downloaden van een kwaadaardige bijlage.
Maar het zijn ook enkele van de gemakkelijkst te verdedigen aanvallen. Er zijn slechts twee dingen nodig om een lok-aanval nutteloos te maken:
- Cyberbewustzijn – Als je weet dat een lok-aanval een lok-aanval is, zal je er niet voor vallen
- Zelfbeheersing – Word niet impulsief voordat je beseft waar je mee te maken hebt. Lok-e-mails creëren kunstmatige urgentie om je impulsieve acties te laten ondernemen
In alle ernst, dit zijn de enige twee dingen die je nodig hebt om nooit meer voor een lok-aanval te vallen.
Het is echter niet altijd gemakkelijk om een lok-aanval te identificeren. Laat deze gids (en de andere over phishing in het algemeen) je leren hoe je dit doet!
Bronnen
CRN – Pentagon Bevestigt Cyberaanval in 2008 tegen het Amerikaanse Leger
CSO Online – Stuxnet Uitgelegd: Het Eerste Bekende Cyberwapen
Gizmodo – Het Binnenste Verhaal van Hoe Stuxnet Ontdekt Werd
JPost – “Stuxnet Virus Zette Iraans Nucleair Programma met 2 Jaar Terug”
CS Monitor – Het Stelen van Amerikaanse Bedrijfsgeheimen: Experts Identificeren Twee Grote Cyber “Bendes” in China
Google Blog – Een Nieuwe Aanpak in China
Privacy Affairs – Waarom Is Phishing Zo Gangbaar & Hoe Bescherm Je Je Ertegen?