Hoe Microsoft je helpt beschermen tegen phishing-aanvallen met coronavirus-thema

De wereld is de afgelopen weken op ongekende manieren veranderd als gevolg van de pandemie van het coronavirus. Hoewel het op vele manieren het beste in de mensheid naar boven heeft gehaald, kan het, zoals bij elke crisis, in sommigen ook het ergste aantrekken. Cybercriminelen gebruiken angst voor het virus en behoefte aan informatie bij phishing-aanvallen om gevoelige informatie te stelen of malware te verspreiden voor winst. Zelfs als sommige criminele groepen beweren dat ze stoppen met het aanvallen van zorg- en verpleeghuizen, is de realiteit dat ze niet volledig kunnen bepalen hoe malware zich verspreidt.

Hoewel phishing en andere e-mailaanvallen inderdaad plaatsvinden, is het aantal kwaadaardige e-mails met vermelding van het coronavirus erg klein. Toch is het fijn om te weten wat Microsoft en de Office 365 apps doen om je te beschermen tegen dit soort aanvallen en wat je zelf kunt doen om jezelf beter te beschermen. Vandaar dat het ons nuttig leek om op een rijtje te zetten hoe Microsoft’s geautomatiseerde detectie en signaaluitwisseling werkt om klanten te beschermen en om enkele praktische tips te delen die je persoonlijk kunt gebruiken om te voorkomen dat je phishing-pogingen ondergaat.

Wat Microsoft doet

Ten eerste begint 91 procent van alle cyberaanvallen met e-mail. Daarom doet de eerste verdedigingslinie er alles aan om te voorkomen dat kwaadaardige e-mails je bereiken. Een meerlagig afweersysteem dat machine learning, ‘detonation’ en signaaluitwisseling omvat, is van cruciaal belang om snel e-mailaanvallen te vinden en te elimineren.

Als een van deze mechanismen een kwaadaardige e-mail, URL of bijlage detecteert, wordt het bericht geblokkeerd en komt het niet in je inbox terecht. Alle bijlagen en links worden “tot ontploffing gebracht” (geopend in geïsoleerde virtuele machines). Machine learning, anomalie-analysers en ‘heuristics’ worden gebruikt om kwaadaardig gedrag te detecteren. Menselijke beveiligingsanalisten evalueren voortdurend door gebruikers ingediende meldingen van verdachte e-mail om aanvullende inzichten te verschaffen en modellen voor machine learning te trainen.

Zodra een bestand of URL als schadelijk is geïdentificeerd, wordt de informatie gedeeld met andere services zoals Microsoft Defender Advanced Threat Protection (ATP) om ervoor te zorgen dat eindpunt-detectie profiteert van e-maildetectie en vice versa.

Microsoft deelde een interessant voorbeeld hiervan eerder deze maand, toen een aanvaller een spearphishing-campagne lanceerde die binnen 30 minuten ewerd gestopt.

Aanvallers hebben een e-mail gemaakt die is ontworpen om eruit te zien als een legitieme supply chain-risicorapport voor kleurstofadditieven met een update gebaseerd op verstoringen als gevolg van coronavirus. De bijlage was echter schadelijk en leverde een geavanceerde, meerlaagse payload op basis van de Lokibot-trojan (Trojan: Win32 / Lokibot.GJ! MTB).

Als deze payload met succes was ingezet, hadden hackers deze kunnen gebruiken om inloggegevens te stelen voor andere systemen – in dit geval FTP-accounts en wachtwoorden – die vervolgens voor verdere aanvallen konden worden gebruikt.

Slechts 135 tenants van Microsoft-klanten waren het doelwit, met een spray van 2.047 kwaadaardige berichten, maar geen enkele klant werd getroffen door de aanval. De samenwerking tussen ATP-detonatieservice van Office 365, het delen van signalen tussen services en menselijke analisten hebben ervoor gezorgd dat deze poging werd gestopt.

En dankzij het delen van signalen tussen services waren klanten die geen Microsoft-e-mailservice zoals Office 365 , hosted Exchange of Outlook.com gebruikten, maar een Windows-pc gebruikten waar Microsoft Defender op was ingeschakeld, volledig beschermd. Toen een gebruiker probeerde de kwaadaardige bijlage vanaf zijn niet-Microsoft e-mailservice te openen, begon Microsoft Defender en zijn cloudgebaseerde machine learning-modellen hun werk te doen en ontdekte dat de bijlage was geblokkeerd op basis van een eerdere Office 365 ATP-clouddetectie. De bijlage kon niet worden uitgevoerd op de pc en de klant werd beschermd.

Wat je zelf kunt doen

Terwijl kwaadwillenden proberen te profiteren van de COVID-19-crisis, gebruiken ze dezelfde tactieken als altijd. Je moet nu bijzonder waakzaam zijn en stappen ondernemen om jezelf te beschermen.

Zorg ervoor dat op je apparaten de nieuwste beveiligingsupdates en een antivirus- of antimalwaredienst zijn geïnstalleerd. Voor Windows 10-apparaten is Microsoft Defender Antivirus een gratis ingebouwde service die wordt ingeschakeld via Instellingen. Schakel de cloud-gebaseerde bescherming en automatische ‘sample submission in om kunstmatige intelligentie (AI) en machine learning mogelijk te maken om snel nieuwe en onbekende bedreigingen te identificeren en te stoppen.

Schakel de beveiligingsfuncties van je e-mailservice in. Als je Office 365’gebruikt, kun je meer te weten komen over Exchange Online Protection hier en Office 365 ATP hier.

Gebruik multi-factor authenticatie (MFA) voor al je accounts. De meeste online services bieden nu een manier om je mobiele apparaat of andere methoden te gebruiken om je accounts op deze manier te beschermen. Hier vindt je informatie over het gebruik van Microsoft Authenticator.

MFA-ondersteuning is beschikbaar als onderdeel van het gratis aanbod van Azure Active Directory (Azure AD). Lees hier meer .

Leer jezelf, vrienden en collega’s hoe je phishing-pogingen kunt herkennen en verdachte situaties kunt melden. Hier zijn enkele van de veelbetekenende signalen.

• Spelling en slechte grammatica. Cybercriminelen staan niet bekend om hun grammatica en spelling. Professionele bedrijven of organisaties hebben meestal een redactie om ervoor te zorgen dat klanten hoogwaardige, professionele inhoud krijgen. Als een e-mailbericht vol zit met fouten, is het waarschijnlijk oplichterij.
• Verdachte links. Als je vermoedt dat een e-mailbericht oplichterij is, klik dan niet op links. Een methode om de legitimiteit van een link te testen, is door je muis te laten rusten – maar niet te klikken – op de link om te zien of het adres overeenkomt met wat in het bericht is getypt. In het volgende voorbeeld laten we de muis op de link rusten om het echte webadres in het vak met de gele achtergrond te onthullen. Merk op dat de reeks IP-adresnummers in niets lijkt op het webadres van het bedrijf.

• Verdachte bijlagen. Als je een e-mail ontvangt met een bijlage van iemand die je niet kent, of een e-mail van iemand die je wel kent maar met een bijlage die je niet verwachtte, kan het een phishing-poging zijn, dus we raden je aan geen bijlagen te openen totdat je hun authenticiteit hebt geverifieerd. Aanvallers gebruiken meerdere technieken om ontvangers te misleiden door erop te vertrouwen dat een bijgevoegd bestand legitiem is.
  • Vertrouw het pictogram van de bijlage niet.
  • Wees op je hoede voor meerdere bestandsextensies, zoals “pdf.exe” of “rar.exe” of “txt.hta”.
  • Neem bij twijfel contact op met de persoon die je het bericht heeft gestuurd en vraag hen om te bevestigen dat de e-mail en bijlage legitiem zijn.

• Bedreigingen. Dit soort e-mails veroorzaakt een gevoel van paniek of druk waardoor je snel moet reageren. Het kan bijvoorbeeld een verklaring bevatten als ‘U moet tegen het einde van de dag reageren’. Of zeggen dat je financiële boetes krijgt als je niet reageert.
• Spoofing. Spoofing-e-mails lijken te zijn verbonden met legitieme websites of bedrijven, maar brengen je naar nepzwendelsites of geven legitiem ogende pop-upvensters weer.
• Gewijzigde webadressen. Een vorm van spoofing waarbij webadressen die sterk lijken op de namen van bekende bedrijven, maar enigszins zijn gewijzigd; bijvoorbeeld “www.micorsoft.com” of “www.mircosoft.com”.
• Onjuiste aanhef van je naam.
• Mismatches. De linktekst en de URL verschillen van elkaar; of de naam, handtekening en URL van de afzender zijn verschillend.

Als je denkt dat je een phishing-e-mail hebt ontvangen of een link in een e-mail hebt gevolgd die je naar een verdachte website heeft geleid, zijn er een aantal manieren om te melden wat je hebt gevonden.

Als je denkt dat de mail die je hebt ontvangen verdacht is:

• Outlook.com. Als je een verdacht e-mailbericht ontvangt waarin om persoonlijke informatie wordt gevraagd, schakelt je het selectievakje naast het bericht in je Outlook-inbox in. Selecteer de pijl naast Ongewenst e-mail en wijs vervolgens naar Phishing.
• Microsoft Office Outlook 2016 en 2019 en Microsoft Office 365. Selecteer in het verdachte bericht Rapporteer bericht op het tabblad Bescherming op het lint en selecteer vervolgens Phishing.

Als je je op een verdachte website bevindt:

• Microsoft Edge. Als je je op een verdachte site bevindt, selecteert je het pictogram Meer  (…) >  Feedback verzenden  >  Onveilige site rapporteren. Volg de instructies op de webpagina die wordt weergegeven om de website te melden.
• Internet Explorer. Terwijl je je op een verdachte site bevindt, selecteer je het tandwielpictogram, wijs je Veiligheid aan en selecteert je vervolgens Onveilige website melden. Volg de instructies op de webpagina die wordt weergegeven om de website te melden.

Als je denkt dat je een verdacht bestand hebt:

• Dien het bestand in voor analyse.

Wilt u meer informatie over Multi-Factor Authentication (MFA), anti-phishing beveiliging en andere security functies van Microsoft 365? Download dan onderstaand eBook.