6 uur 30 min geleden

'96 procent van phishing via bestaande domeinen: traditionele beveiliging schiet tekort'

Foto van e-mail bericht internet | Archief EHF
Foto: Archief EHF
Amsterdam

Uit recent onderzoek blijkt dat 96 procent van alle phishing-e-mails afkomstig is van eerder geregistreerde domeinen. Dit betekent dat cybercriminelen een voorkeur lijken te hebben voor bestaande, gecompromitteerde domeinen, legitieme diensten om e-mails te versturen of phishing domeinen die enige tijd geleden zijn opgezet. Domeinen die al een tijdje bestaan worden minder snel opgemerkt door traditionele beveiligingssystemen. Dit vraagt om een nieuwe manier van beveiliging, waarin AI-gedreven technologie een sleutelrol speelt. Dit zegt Rosa Jong, Analyst Team Lead, Darktrace

Phishing via bestaande domeinen gebeurt op verschillende manieren. In 9 procent van de onderzochte phishing-e-mails registreren aanvallers domeinen die sterk lijken op legitieme websites of bestaande e-mailadressen, zoals @zo0m-support.com in plaats van zoom.com. Om detectie te voorkomen, wachten ze vaak een periode voordat ze het domein daadwerkelijk gebruiken voor phishing. Veel beveiligingssystemen markeren nieuw geregistreerde domeinen als potentieel verdacht, vooral als deze direct actief worden ingezet voor e-mailcampagnes. Door het domein eerst enkele maanden ‘te laten rusten’, wekt het vertrouwen en wordt het minder snel als schadelijk aangemerkt. 

Daarnaast verkrijgen aanvallers toegang tot bestaande, legitieme zakelijke domeinen via gestolen inloggegevens of zwakke beveiliging. Slechts 30 procent van de onderzochte phishing-e-mails is afkomstig van freemaildiensten zoals Hotmail of Gmail, die vaak door individuen worden gebruikt. Daarnaast maken aanvallers gebruik van email spoofing. Door gebrekkige beveiliging in de protocollen waarop email is gebouwd, kan een aanvaller in sommige gevallen het doen lijken alsof hij vanuit een ander domein (‘@organisatienaam’) mailt en zo een slachtoffer om de tuin leiden. Omdat deze domeinen als legitiem worden beschouwd, slagen criminelen erin om phishingmails te versturen zonder dat beveiligingssystemen alarm slaan. 

Cybercriminelen misbruiken ook betrouwbare samenwerkingsplatformen zoals Slack en Dropbox. Ze creëren bijvoorbeeld een echt document binnen een legitieme dienst en delen dit met slachtoffers. In dat document staat vervolgens een kwaadaardige link die leidt naar een valse inlogpagina of een schadelijke download. Omdat de uitnodiging afkomstig is van een officieel platform, kunnen deze phishingpogingen traditionele beveiligingsfilters makkelijker omzeilen.  

Traditionele beveiligingsoplossingen, die vertrouwen op lijsten met bekende dreigingen en statische regels, schieten tekort. Zelflerende AI-technologie kan afwijkend gedrag in realtime detecteren, zonder afhankelijk te zijn van eerder geregistreerde dreigingsinformatie. Door continu te leren wat normaal gedrag is binnen een organisatie, kan AI subtiele patronen herkennen die duiden op een aanval. Dit stelt organisaties in staat om phishing en domeinmisbruik te stoppen voordat er schade wordt aangericht.

Categorie:
Provincie: