woensdag 29 januari 2014

Het probleem van Facebook

The filter-bubble

Door: Frank Mulder

Met de komst van social media worden we meer en meer overladen met informatie. Dit geldt uiteraard ook voor Facebook. In het onderstaande filmpje wordt bijvoorbeeld aangegeven dat een gemiddelde Facebook gebruiker dagelijks ongeveer 1500 updates "ontvangt". Dit kun je natuurlijk niet allemaal lezen. Daarom is Facebook zo vriendelijk om voor jouw te bepalen wat voor jouw belangrijk is. Zij filteren de updates voor jou op basis van jouw eerdere updates, foto's, "vind ik leuks" enz. Dat is toch vriendelijk van Facebook, toch? Vind ik niet.

Er is natuurlijk ook een commerciële kant; jouw eigen updates worden dus ook niet bij al jouw vrienden op de tijdlijn getoond. Wil je toch dat meer vrienden jouw update te zien krijgen dat kun je deze promoten. Daar moet je dan wel voor betalen!

Bekijk het filmpje voor een uitgebreidere uitleg.


Twitter laat bijvoorbeeld wel alle tweets zien zonder enige filtering toe te passen. Je kunt zelf lijsten aanmaken om zo de informatie die je ontvangt via tweets te groeperen. Kortom, jij bepaalt welke informatie je tot je neemt.

Zoekmachines doen hetzelfde als wat Facebook doet. Onder andere op basis van jouw eerdere zoekopdrachten en bezochte websites bepalen zij welke informatie waardevol voor jou is. Kortom, alles wat dezelfde kleur heeft zal jou wel interesseren.


De zoekmachine DuckDuckGo houdt geen rekening meer eerdere website bezoeken en zoekopdrachten. Zij hebben hier eenvoudig uitgelegd hoe het filteren werkt. Zeker de moeite waard om te bekijken.

Ik wil niet zeggen dat filtering fout is, maar het is wel belangrijk dat je je realiseert dat er filtering wordt toegepast op hetgeen jij te zien krijgt. Soms is het handig, soms juist niet.

dinsdag 7 januari 2014

Hoe maak je een spear phishing e-mail?

Verdediging is de beste aanval

De afgelopen periode zijn mij een drietal zaken opgevallen die te maken hebben met twee van mijn professionele interesses; social media en beveiliging. Nu lijken het drie losstaande artikelen, maar ze versterken elkaar wel. Of misschien beter, ze bevestigen elkaar.

Het bracht mij tot het schrijven van deze blog, niet om stap voor stap te beschrijven hoe je een spear  phishing e-mail maakt, maar om aan te geven hoe dergelijke berichten worden samengesteld. Wanneer je je ergens tegen wilt beveiligen is het namelijk goed om te weten hoe de aanvaller te werk gaat.


Beveiligingsvoettekst

Tijdens het samenstellen van een bewustwordingstraining las ik een artikel van LinkedIn over de Beveiligingsvoettekst in e-mails van LinkedIn. Bij het versturen van e-mail plaatst LinkedIn je kopregel onderaan de e-mail. 



De uitleg van LinkedIn is duidelijk, daar heb ik niets aan toe te voegen:
In onze berichten aan u nemen we een beveiligingsvoettekst op met uw naam en professionele kopregel zodat u echte e-mails van LinkedIn kunt onderscheiden van phishingberichten. 'Phishingberichten' lijken vaak op legitieme e-mails, maar ze bevatten doorgaans deze persoonlijke gegevens niet. Ze bevatten wel vaak links naar kwaadaardige sites.
En verder:
Hoewel de aanwezigheid van deze beveiligingsvoettekst niet garandeert dat een e-mail legitiem is, biedt het wel extra zekerheid dat de e-mail van LinkedIn afkomstig is. De meeste phishingaanvallen die zijn gericht op grote mailinglijsten, bevatten deze gegevens niet.
Het advies van LinkedIn:
Open bij twijfel een nieuw browservenster en ga rechtstreeks naar LinkedIn.nl om uw Postvak IN te controleren en het connectieverzoek of bericht te verifiëren.
Ik adviseer echter om altijd de naar de LinkedIn site te gaan en daar het Postvak IN te controleren. Zo hoef je nooit te twijfelen, maar er gewoon een gewoonte van te maken. Ik lees de e-mail berichten van LinkedIn vaak niet eens, laat staan dat ik ze open of zelfs maar op een link klik.


Gevaarlijkste e-mail

Recent verscheen er een onderzoek waaruit bleek dat LinkedIn-uitnodiging gevaarlijkste e-mailonderwerp van 2013 is. Naast geld valt er bij LinkedIn gebruikers ook nog meer te halen voor cybercriminelen. Denk hierbij bijvoorbeeld ook aan bedrijfsinformatie, toegang tot zakelijke PC's en vervolgens bedrijfsnetwerken. Maar ook vertrouwen, cybercriminelen kunnen gebruiken maken van jouw LinkedIn account en het vertrouwen welke jou connecties hierin hebben. Kortom, er is genoeg te halen. 

Nu weten we aan de hand van het bovenstaande advies hoe we phishing mails kunnen detecteren. Hierin ontbreekt namelijk jouw eigen professionele kopregel. Cybercriminelen die zich bezighouden met phishing personaliseren de mails niet, zij gaan uit van de wet van de grote getallen. Zij zullen dus ook niet de moeite nemen om deze persoonlijke informatie toe te voegen. Toch....?


Spear phishing

Er zijn cybercriminelen die zich wel bezig houden met het volledig personaliseren van phishing mails. Enerzijds kun je je dan vereert voelen want jij en alleen jij bent de enige ontvanger van de e-mail. Een phishing mail helemaal op jou gericht; spear phishing noemen ze dat. Een uiterste gericht phishing aanval.


LinkedIn inbox

Tot slot las ik een blog met als titel: De nieuwe inbox van LinkedIn – nader bekeken. Je vraagt je misschien af wat de inhoud van deze laatste blog met de eerste twee artikelen te maken heeft. Het gaat echter niet om de nieuwe inbox van LinkedIn die beschreven staat, maar mijn oog viel op de manier van werken van de auteur. Hij werkt namelijk niet vanuit het Postvak IN van LinkedIn maar vanuit zijn e-mail programma waar de meldingen van LinkedIn binnenkomen. Zoals aangegeven is dit een onveilige manier van werken. Opvallend is dan ook dat deze auteur "de hele dag LinkedIn open hebt staan in een browser tabblad", waarom dan niet vanuit de site werken?


Aanvallen!

Om een aanval uit te voeren zal de spear phisher informatie over zijn doel verzamelen. In dit geval wordt het op een presenteer blaadje gegeven.

De professionele kopregel voor de voettekst van de e-mail halen we eenvoudig van LinkedIn. Naast de blog post staat een verwijzing naar het LinkedIn-profiel van de auteur:


De voettekst wordt dus:
U ontvangt de volgende e-mails: Onderschrijvingen. Uitschrijven.

Deze e-mail is gericht aan Jan Willem Alphenaar Ervaren (gast)spreker op het gebied van social media, branding, online marketing en modern ondernemerschap. Lees waarom dit belangrijk is. ©2013, LinkedIn Corporation. 2029 Stierlin Ct. Mountain View, CA 94043, USA
Nu een verzender uitkiezen, bij voorkeur iemand die Jan Willem al kent en waarmee hij eerder gecommuniceerd heeft. In de blog post worden ook deze zo aangeboden:


Het bovenstaande screenshot is waarschijnlijk op 12 december genomen. De dag voor Yesterday is namelijk 10 december. Kortom, dit zijn personen waarmee hij recent heeft gecommuniceerd. Krijgt hij daar nog een bericht van dan zal dat niet snel argwaan wekken.
Ook een onderwerp kunnen we uit bovenstaande afbeelding halen. Er wordt geregeld gesproken over het LinkedIn Congres waar Jan Willem mee bezig is. Als we hem nu eens het volgende bericht sturen:

Hallo Jan Willem, Eerder heb ik aangegeven deel te nemen aan je congres, maar nu zag ik dat op dezelfde dag dit LinkedIn event gehouden worden?
Van de woorden LinkedIn event maken we natuurlijk een link naar een malafide website zodat we de daadwerkelijke actie kunnen uitvoeren (malware installeren, logingegevens achterhalen, ...). Het is namelijk aannemelijk dat hij op de link gaat klikken om te kijken welk evenement op dezelfde dag wordt gehouden ;)

Nogmaals, de technische details over het versturen van de uiteindelijke spear phishing e-mail heb ik met opzet weggelaten. Bovenstaande geeft weer waar de zwakke plekken zitten waar jezelf ook daadwerkelijk wat aan kunt doen.

Kortom, vergeet de LinkedIn e-mails en gebruik voor LinkedIn berichten alleen het Postvak IN!