Onderzoek Cloudflare benadrukt noodzaak online merkbewaking
E-mail is meest gebruikte methode om organisaties aan te vallen
Cloudflare is een wereldwijde aanbieder van infrastructuur en beveiliging voor websites, het tegengaan van DDoS-aanvallen en DNS-voorzieningen. Vanuit die rol heeft het bedrijf inzicht in de manieren die cybercriminelen gebruiken om bij organisaties binnen te komen. Enkele weken terug publiceerde het bedrijf haar 2023 Phishing Threats Report. Hieruit blijkt onder meer dat bij 36,5% van alle aanvallen op bedrijven e-mail wordt gebruikt, waarbij valse lookalike-domeinnamen een cruciale rol vervullen. Het aandeel aanvallen met spoofing van domeinnamen is veel kleiner, maar het rapport vermeld niet welk deel van de schade hieruit voortvloeit.
Identiteitsdiefstal en merkimitatie
De toepassing van moderne en veilige open internetstandaarden is een goede en bewezen effectieve manier om veel vormen van internetcriminaliteit buiten de deur te houden. Dat zoveel pogingen van cybercriminelen dan toch niet stranden op deze internetstandaarden heeft meerdere oorzaken, maar een belangrijke oorzaak is dat de criminelen domeinen gebruiken die sterk lijken op de échte domeinnaam van een bedrijf. Bijvoorbeeld rabibank.nl, als malafide alternatief voor rabobank.nl. Deze hoeven de criminelen niet te ‘spoofen’: het domein zelf is immers legitiem. Ze maken echter misbruik van visuele overeenkomsten met de domeinnaam van het nagebootste bedrijf zelf. Cloudflare identificeerde in een jaar tijd 1 miljard voorbeelden van merknabootsing. De helft daarvan betrof nabootsing van 20 bekende merken met Microsoft als nummer 1. Een signaal dat het monitoren van domeinnaamregistraties voor grote organisaties absolute noodzaak is.
Schade groter dan ransomware
Opmerkelijk is de enorme schade van CEO-fraude die Cloudflare signaleert. Die is significant groter dan de schade van, bijvoorbeeld, ransomware. Er waren in 2022 2.385 ransomware-klachten met een gezamenlijke schadepost van meer dan $ 34,3 miljoen, maar 21.832 meldingen van CEO-fraude met meer dan $ 2,7 miljard schade. Dat laatste cijfer nam in een jaar met 17% toe. 71% van alle bij Cloudflare aangesloten organisaties was in 2022 doelwit van een poging tot CEO-fraude.
Multi channel phishing
Een nieuwe trend die Cloudflare signaleert is het zogenaamde multi channel phishing, waarbij cybercriminelen naast mail ook sms, WhatsApp en social media gebruiken om toegang te verkrijgen. Bijvoorbeeld door naast een mail ook een sms aan de ontvanger te sturen met dezelfde boodschap (‘smishing’). Ook worden vaak onschuldige websites gebruikt die na het vertrouwen van de gebruiker en zijn firewalls gewonnen te hebben, worden vervangen door malafide sites.
Open internetstandaarden
Er bestaan open internetstandaarden (DMARC, DKIM, SPF) die beschermen tegen e-mail spoofing. Cloudflare geeft in zijn rapport aan dat 89% van alle ongewenste mail langs deze standaarden zou komen en wekt daarmee de indruk dat deze standaarden niet effectief zouden zijn. Echter, ze beschermen de echte domeinnaam (bijvoorbeeld sidn.nl) weldegelijk behoorlijk effectief en dwingen aanvallers daarom om over te gaan op lookalike-domeinnamen (zoals s1dn.nl). Dat is op zich gunstig, want schade als gevolg van valse e-mail met als afzender de echte domeinnaam kan onevenredig hard aankomen, omdat die voor de ontvanger heel moeilijk is te onderscheiden van legitieme mails. Zodoende dragen deze open standaarden bij aan een veiligere e-mailomgeving, zeker in combinatie met aanvullende maatregelen, zoals slimme spamfilters en merkbewaking.
Meer weten?
De resultaten van het onderzoek door Cloudflare pleiten voor het monitoren van domeinnaamregistraties die sterk lijken op de merknaam van bedrijven. SIDN Merkbewaking geeft je dit benodigde inzicht. Wil je meer weten? Lees verder op deze website. Wil je meer weten over open standaarden voor e-mailbeveiliging? Doe dan de test op Internet.nl of gebruik de tool van DMARC Advisor.
