Interview met ChannelConnect

Interview met ChannelConnect

70% van de e-mails is ongewenst

Onze Country Sales Manager Wilfred Schoonderbeek werd door ChannelConnect.nl  geïnterviewd over de huidige cyber security situatie. U kunt het hele interview hieronder lezen.

Meer dan ooit gebruiken medewerkers verschillende devices op een groot aantal plaatsen, vaak buiten het bedrijfsnetwerk, om mails te schrijven en te ontvangen. Voor de continuïteit van een onderneming is e-mail van groot belang – dat weten cybercriminelen helaas ook.

In deze uitgave komt een aantal fabrikanten aan het woord die eindklanten en resellers willen ontzorgen door een ‘allround’ totaal-pakket op het gebied van security te leveren. Maar net als in de schaatswereld zijn er naast allrounders ook specialisten. Hornetsecurity is zo’n specialist. Al vijftien jaar geleden begon de in Hannover gevestigde onderneming, toen nog onder de naam Anti Spam Europe, met het ontwikkelen van oplossingen die het zo belangrijke mailverkeer moeten beschermen – naast applicaties voor web-security en file-security. “Inmiddels hebben we meer dan 200 medewerkers in dienst die elke dag bezig zijn met de optimale bescherming van mailboxen en het mailverkeer”, vertelt Wilfred Schoonderbeek, Country Sales Manager bij Hornetsecurity. “Niet voor niets groeiden we in anderhalf decennium uit tot marktleider in de Duitstalige regio”, meldt Schoonderbeek niet zonder trots.

Al sinds 2007 kiest de onderneming voor een cloudoplossing – dat betekent dat Hornetsecurity de beide thema’s van deze uitgave van ChannelConnect, namelijk security en cloud, al geruime tijd adresseert.

Gevaar onderschat

Schoonderbeek wil in gesprek met de redactie eerst het belang van goede security voor het mailverkeer benadrukken: “Het aantal mailberichten groeit nog steeds: van 300 miljard mailtjes per dag nu naar afgerond 362 miljard berichten per dag in 2024.” Hierbij geeft de Country Sales Manager aan dat dit om de som van privé en zakelijke berichten gaat.

‘13% van alle privé-computers in Duitsland is met malware geïnfecteerd’

Eigenlijk weet iedere gebruiker dat lang niet alle mailtjes die in onze in-box belanden gewenst zijn. Ongewilde berichten bevatten helaas niet alleen ongewenste reclame, maar vooral ook vaak schadelijke bijlages of links. Veel mensen, ook IT-specialisten, onderschatten echter hoeveel schadelijke berichten dagelijks binnenkomen. Schoonderbeek: “Uit onderzoek door onze specialisten van het Hornetsecurity Security Lab, blijkt dat slechts 28% van de berichten als ‘clean’, dus onschadelijk voor de ontvanger beoordeeld wordt.”

Spam maakt meer dan 50% van al het e-mailverkeer uit en is de meest indringende manier voor cybercriminelen om malware en virussen in bedrijfssystemen te introduceren. Maar er is niet alleen het gevaar van besmetting met ransomware, spy-ware of een cryptominer, belangrijke workflows kunnen ook worden verstoord door de vervelende stroom van ongewenste e-mails.

Het is dus zaak zich tegen de meer dan 70% van de berichten te wapenen die de bedrijfscontinuïteit kunnen bedreigen. Hornetsecurity, dat nog steeds in Hannover gevestigd is, detecteert met Advanced Threat Protection CEO-fraude, phishing en aanvallen waarbij gebruik wordt gemaakt van nieuwe soorten mal-ware.

Partnerstrategie

Hornetsecurity, dat zowel aan een groot aantal MKB-klanten als aan multinationals levert, werkt intensief samen met partners, en introduceerde daarvoor nog onlangs een vernieuwd partnerprogramma. “Partners zijn voor ons heel belangrijk als oren en ogen in de markt en als verlengstuk voor onze eigen operatie. Samen met hen willen we bestaande klanten loyaal houden en daarnaast nieuwe klanten voor ons winnen.” Bij het onboarden van nieuwe eindklanten werkt Hornetsecurity niet alleen nauw samen met de resellers, maar zeker ook met de distributeurs, zoals CloudLand in Zoetermeer. Die intensieve relatie binnen deze driehoek geldt ook voor het aanbieden van trainingen. “Soms trainen wij resellers, soms gebeurt dat op de locatie van de distributeur.”

‘Partners zijn voor ons heel belangrijk als oren en ogen in de markt’

De oplossing van Hornetsecurity is eenvoudig te managen voor de partner, geeft Schoonderbeek als een van de aantrekkelijke factoren van de security-omgeving. “Het maakt voor de partner in feite niet uit of hij honderd of honderdduizend berichten per dag moet verwerken voor zijn eindklant.” Juist deze eenvoud wordt door veel resellers geroemd – naast het feit dat het product indien gewenst door de partner ook white-label kan worden aangeboden.

Blijf alert! Ondanks het enorme aantal ongewenste mail-berichten dat op de inbox van gebruikers wordt afgevuurd, weet de oplossing van Hornetsecurity al 67% van de mailtjes te blokkeren voordat ze de mailserver bereiken. Deze filtering is mogelijk doordat het systeem de berichten al op grond van verschillende factoren als schadelijk of ongewenst weet te classificeren.

In juni van dit jaar analyseerde het Hornetsecurity Security Lab welke schadelijke berichten het meest voorkomen. Op de eerste plaats, met bijna 58% van de berichten, bevinden zich de mails die met behulp van een zwarte lijst al op voorhand als spam geclassificeerd kunnen worden. Met 12% bevinden e-mails die proberen de mailserver van Hornet security als Open Relay te gebruiken zich op de tweede plaats. Op de derde plaats vinden we met 5,9% mails waarbij Hornetsecurity geen correct afzenderadres kan vaststellen. Cybercriminelen proberen op die manier hun identiteit te verbergen of zich als iemand anders voor te doen.

Hoewel een groot gedeelte van de schadelijke berichten geblokkeerd kan worden, moeten gebruikers alert blijven. Cybercriminelen vinden immers steeds weer nieuwe wegen om schadelijke berichten op het beeldscherm van gebruikers te krijgen.

Email Conversation Thread Hijacking

Email Conversation Thread Hijacking

Summary

“You should only open email attachments and links from senders you know” is a common piece of advice when it comes to preventing email-based malware and phishing attacks. However, in this article we outline an attack technique called email conversation thread hijacking, which uses existing email conversations of its victims and thus trust relationships to spread to new victims. Against this attack the previous advice will not help. We explain how email conversation thread hijacking is used by attackers, and why it dramatically increases the likelihood for victims to open malicious links or malicious attachments.

 

Background

Malicious actors try to get victims to open malicious links or malicious attachments. To this end, they often mimic genuine emails, such as invoices. However, if a victim is not customer of a particular company or service they will likely not open invoices claiming to be from those companies or services, especially knowing that this is the most common scheme for malicious actors to lure victims into executing their malware. Malicious actors are thus also often using current events to spark an interest in victims to open their malicious links or malicious attachments. Examples of such events are Christmas, Black Friday, Halloween, Valentines Day, but also currently the SARS-CoV-2 pandemic. However, users are often also aware of these schemes and do not open any malicious links or malicious attachments, especially when they come out of the blue without any context.

Hence, more and more attackers are leveraging a technique called email conversation thread hijacking, also known as email reply chain attack or email thread hijacking. In this technique, an attacker uses existing email conversations of victims to spread to new victims. Previously attackers only used the email addresses listed in victims address books. Email conversation thread hijacking uses also victim’s past existing email conversation threads to spread to new victims. To this end, the attackers will reply to the conversations the victim has in his mailbox.

 

How does email conversation thread hijacking work?

An email thread hijacking attack begins when a first victim is compromised. Next, their emails and often email login credentials are stolen. The attackers will then reply to the victim’s emails with their malicious messages.

In the following example, the “From” field contains the victim’s email address. The “To” field contains the email address of the targeted user, with which the victim had an email conversation previously. The “Subject” contains the original subject of the email conversation but is prepended with a “Re: “. The quote below the message contains the entire email conversation the two parties had.

Email conversation thread hijacking example

Good attackers also adapt the reply language to that of the hijacked email conversation, e.g., the following example uses a German language reply:

Email conversation thread hijacking example

While in the previous examples the malicious reply email contained a malicious link, these emails can also use malicious attachments:

Email conversation thread hijacking example

 

How effective is email conversation thread hijacking?

To demonstrate how effective email conversation thread hijacking is, we recreated a real email exchange that we observed during a routine false-positive email inspection:

Email conversation thread hijacking example

In this example, the attackers compromised Joe Schmoe’s email account and replied to an email that Joe has previously received from Alice. They replied with a malicious link (OPEN THE DOCUMENT) and some generic text. Alice released the email from quarantine and tried to open the malicious link, but her browser saved her from getting infected. She subsequently replied to Joe’s compromised email account that she can’t open “the file” and asked if “the file” could be sent in a different format. The attackers then send Alice another malicious link. While we are certain the attackers hijacking a previous hijacked email conversation thread again was coincidence, this example clearly shows how effective email conversation thread hijacking can be.

Fortunately, no attacker tailors their reply emails to fit into the hijacked conversation (yet). However, since threat actors have highly automated email conversation thread hijacking attack tools, the chances that the hijacked conversation involves documents that are shared back and forth is high. And even if it does not, who wouldn’t open a document sent by a known contact within an existing email conversation?

 

Who uses email conversation thread hijacking?

The number of threat actors using email reply chain attacks keeps increasing. While first observed in May 2017 in a limited targeted spearphishing campaign, many commodity threat actors adopted the technique in 2018.

In 2019, also Emotet adopted email conversation thread hijacking. To this end, they added an email-stealing module. The module steals emails and login credentials from victims and sends them to Emotet’s C2 servers, which distribute them to the systems of other victims infected with Emotet’s spam module, where they are used in attacks against new victims. Recently, Emotet has enhanced its email reply hijacking technique by also stealing attachments from victims and placing its malicious attachment among stolen benign attachments in order for the email to appear even more legitimate.

QakBot is also frequently distributed via replies to existing email conversation threads. In 2020, the Valek malware started to be distributed via email thread hijacking, too.

Hornetsecurity has observed an increase in compromised accounts being used to send malicious emails. While some do not (yet) use email conversation thread hijacking and simply misuse victims’ email accounts to send emails, with access to victims’ email accounts it is trivial to perform email reply chain attacks. A threat actor simply has to reply to emails received by his victims. We are therefore certain that the trend towards email thread hijacking attacks will continue. Therfore, users can no longer rely on a known trusted sender when deciding whether it is safe to open attachments or links.

 

Conclusion and Countermeasure

The advice to only open email attachments and links from known senders is outdated. With email conversation thread hijacking, even commodity threat actors can automate highly sophisticated and effective spearphishing emails. Often victims are not aware that they are compromised. In such cases it is important to inform victims that they are spreading malicious content via email so they can take measures against the compromise. Immediate actions should be to change the email login credentials. Secondary steps would be to determine how the attackers gained access to the email account in the first place to prevent such incidents in the future.

For humans it is very difficult, if not impossible, to spot email conversation threat hijacking because, by being sent from a legitimate but compromised account, the emails are – apart from the writing style – indistinguishable from real legitimate emails. However, email filters that inspect the attachments or links in emails can detect malicious content regardless.

Hornetsecurity’s Spam and Malware Protection, with the highest detection rates on the market, detects and quarantines threats regardless of whether they use email reply chain attacks or not. Also Hornetsecurity’s Advanced Threat Protection is not affected by email conversation thread hijacking and will inspect email contents regardless of whether it was sent from a compromised account or not. Hornetsecurity’s malware, phishing and ATP filters take precedence over sender allow lists. This way even if a allow-listed sender gets compromised and his email account is misused to send malicious emails, Hornetsecurity customers are protected.

Firefox Send sends Ursnif malware

Firefox Send sends Ursnif malware

Summary

On 2020-07-07 Mozilla temporarily disabled their Firefox Send service due to abuse by malware. Hornetsecurity’s Security Lab explains how malware was abusing the Firefox Send service. To this end, a malspam campaign distributing a variant of the Ursnif malware is analyzed. The campaign used the Firefox Send service to host its malicious downloader and send victims these malicious Firefox Send links. Such abuse prompted Mozilla to disabled the Firefox Send service, because the service is currently lacking a feature to report abuse. Meaning even if researchers found these malicious links they could not be reported to Mozilla for takedown. However, our analysis further reveals that malware already abuses other services, hence, disabling Firefox Send – even though it was the right decision – has no impact on malware campaigns.

Background

On 2020-07-07 Mozilla temporarily disabled their Firefox Send service due to abuse by malware. This was mainly done because the service does not offer a method to report abuse. Mozilla will likely enable the service again once they finish “work on product improvements” as stated on the message currently displayed when trying to reach the Firefox Send service’s webpage:

Firefox Send temporarily disabled

To explain why Mozilla temporarily disabled their Firefox Send service, Hornetsecurity’s Security Lab will analyze one malspam campaign distributing an Ursnif malware variant.

Analysis

The campaign uses a mixture of link and attachment malspam distributing a VBScript file that downloads the Ursnif malware. The campaign leverages email conversation thread hijacking, i.e., the actors behind the attack will send their malware as a reply to their victims’ existing email conversations. One example email using the Firefox Send service to host the malicious payload looks as follows:

Initial email leveraging email conversation thread hijacking

The redacted parts contain a stolen email conversation thread that the campaign is replying to with its malicious link and a short message. The messages typically will state that a document has been updated and can be downloaded from the Firefox Send link. How good the malicious message fits into the hijacked email conversation thread seems to depend on chance, i.e., the message will refer to updated documents regardless what the conversation thread was really about.

The Firefox Send link will lead to a VBScript file. The VBScript file downloads an Ursnif variant most likely developed from another Ursnif variant called ISFB for which the source code is available publicly.

Then on 2020-07-07 Mozilla decided to temporarily disable Firefox Send, because the service does not feature a mechanism to report abuse. That means the download links can not be reported to Mozilla by security researchers. An abuse report feature is important to have for an online service, especially since the privacy focused nature of Firefox Send provides many opportunities for abuse. For example, the links can be password protected. The number of downloads, as well as, how long the download will be available, can be restricted:

Firefox Send privacy restrictions

This means an attacker can limit the amount of downloads to one for his victims. In case of a successful compromise an incident response team can not download the original malware payload anymore to reconstruct the infection. If the malware deletes its files after infection it will be hard to trace such an attack.

Another problem arises for legitimate use of the service and security software scanning such one-time download links. If security software downloads the file in order to scan it, the real recipient can not download the file anymore as the security software has already used the one available download.

For these reasons the Firefox Send service will highly likely continue to be abused once it returns. The abuse report feature will mainly be useful to report links that allow for multiple downloads and are used over a longer period of time. Reporting one-time download links could aid Mozilla in curbing abuse by detecting patterns in the way the actors behind the abuse interact with their service and then blocking them.

But even if the Firefox Send service should implement better protections against abuse the discussed malspam campaign does not depend on the Firefox Send service at all. The campaign used the Firefox Send service starting from 2020-06-01 (transitioning from using Google Drive links) to the day it was disabled:

Ursnif malspam campaign using Firefox Send exclusively over extended period of time

However, the campaign has used Google Drive and Dropbox links before using Firefox Send links. It also used encrypted ZIP attachments instead of download links and as soon as the Firefox Send service was disabled it switched to such an encrypted ZIP attachment scheme:

Initial email using encrypted ZIP attachment

Both Google Drive and Dropbox allow abuse reports, however, they are still abused by malware. This means when Firefox Send returns it will also get abused again.

Conclusion and Countermeasure

While we applaud Mozilla for temporarily disabling the Firefox Send service until an abuse report feature is implemented, the analysis of the discussed malspam campaign indicates that the Firefox Send service is only on of many services abused for malware distribution and adding the abuse report feature will not stop such abuse.

To protect against such attacks, especially the outlined email conversation thread hijacking, users should be cautious when they receive an out-of-order reply from a conversation partner, that tries to entice them to open links or other documents, either attached directly to the email or via a file hosting service, especially when such documents do not fit into the conversation and/or are delivered via an unusual mechanism, e.g., if documents are usually shared via a company internal file sharing solution, users should be especially cautious opening files shared via external services.

Hornetsecurity’s Spam and Malware Protection, with the highest detection rates on the market, already detects and blocks all variations of the outlined emails currently distributing the Ursnif malware variant. Here it is also important that users do not let themselves be fooled by the outlined email conversation thread hijacking. Hornetsecurity’s Advanced Threat Protection extends this protection by also detecting yet unknown threats. When using Hornetsecurity’s encryption service a third-party service such as Firefox Send to encrypt sent documents is not necessary. Outgoing emails are automatically encrypted with one of the common encryption technologies (PGP, S/MIME or TLS), depending on the set policy and availability of the corresponding certificates, without any further user intervention.

References

Het Hornetsecurity Security Lab publiceert nieuwe cijfers: ongeveer 70% van alle e-mails is ongewenst

Het Hornetsecurity Security Lab publiceert nieuwe cijfers: ongeveer 70% van alle e-mails is ongewenst

Dagelijks worden ongeveer 300 miljard e-mails verzonden. Het aantal verzonden en ontvangen e-mails voor privé- en zakelijke doeleinden zal toenemen tot naar verwachting 361,6 miljard tegen 2024. Niet alle e-mails die in de inbox van gebruikers terechtkomen zijn gewenst, en de ongewenste e-mails bevatten niet alleen twijfelachtige advertenties, maar ook vaak schadelijke bijlagen en links.

De experts van het Hornetsecurity Security Lab hebben geanalyseerd hoeveel e-mails daadwerkelijk door gebruikers gewenst zijn en welke gevaren op de loer liggen in hun inbox op basis van de ontvangen e-mails in 2020 en zijn tot interessante resultaten gekomen: slechts 28 % van de e-mails kon als “schoon” worden geclassificeerd, dwz onschadelijk door de Hornetsecurity filters, dus meer dan 70% van alle geadresseerde e-mails werd door de ontvanger als ongewenst beschouwd.

Welke e-mails zijn van tevoren al geblokkeerd?

In totaal wordt 67% van de inkomende e-mails van tevoren door de filtermechanismen van Hornetsecurity geblokkeerd: dit betekent dat deze e-mails door verschillende factoren niet eens als schadelijk of ongewenst zijn geclassificeerd. In juni 2020 analyseerde het Security Lab de redenen voor het blokkeren van inkomende e-mails. Hieronder bekijken we de belangrijkste:

In de eerste plaats, kan bijna 58% van de e-mails van tevoren als spam worden geclassificeerd met behulp van een realtime blackhole-lijst.

Op de tweede plaats, ​​met 12% zijn e-mails die de e-mailservers van Hornetsecurity als open relay proberen te gebruiken. Open relay is het proces waarbij een e-mailserver e-mails bezorgt waarvoor hij niet verantwoordelijk is. Voorbeeld, als voorbeeld.com een e-mailserver heeft, mag deze alleen e-mail accepteren voor mustermann@voobeeld.com. Een open relay server accepteert ook e-mail voor andere domeinen, zoals @test.com. Deze open relays worden vaak misbruikt om spam te versturen met valse afzenderadressen.

In 5,9% van de door Hornetsecurity geblokkeerde e-mails kon geen correct afzenderadres worden gevonden. Cybercriminelen proberen hun identiteit te verbergen of doen zich voor als iemand anders. Een voorbeeld: in het geval van mustermann@voorbeeld.com, als het domein voorbeeld.com niet bestaat, wordt de e-mail geblokkeerd.

In 5,3% van de geblokkeerde e-mails werd schadelijke inhoud aangetroffen. Schadelijke inhoud omvat bijlagen zoals *.xls, *.doc, *.pdf die malware bevatten, maar ook links die naar kwaadaardige of gecompromitteerde webpagina’s leiden.

Welke bedreigingen worden gevonden in de e-mails die niet van tevoren zijn geblokkeerd?

Het aandeel van spam, malware en andere bedreigingen in de niet-geblokkeerde e-mails is ook interessant. Voor deze evaluatie hebben de beveiligingsexperts het totale aantal inkomende e-mails minus de geblokkeerde e-mails gecontroleerd.

Ongeveer 10% van deze geanalyseerde e-mails was spam en ongeveer 3% was infomail. De experts van het Security Lab konden malware vinden in ongeveer 1% van alle inkomende e-mails en iets minder dan 0,1% werd zelfs gedetecteerd door Hornetsecury’s Advanced Threat Protection. Dit zijn aanvallen zoals CEO-fraude, phishing of aanvallen waarbij gebruik wordt gemaakt van nieuwe soorten malware, die alleen werden gedetecteerd door de Hornetsecurity ATP Sandbox en niet door klassieke filters. Omgekeerd betekent dit dat meer dan 10% van de e-mails die niet vooraf worden geblokkeerd spam of bijlagen en inhoud bevatten die schadelijk zijn voor de gebruiker.

Hoewel de meeste schadelijke e-mails kunnen worden geblokkeerd, moeten bedrijven nog niet achteroverleunen: cybercriminelen vinden voortdurend nieuwe manieren om kwaadwillende e-mails naar gebruikers te sturen en hun aanvallen zijn nog steeds vaak succesvol.

Privacy Shield: Het einde van de trans-atlantische gegevensuitwisseling?

Privacy Shield: Het einde van de trans-atlantische gegevensuitwisseling?

Op 16.07.20 vernietigde het Europese Hof van Justitie het raamwerk voor gegevensbescherming tussen de VS en Europa. Hoewel dit niet meteen het einde betekent van de gegevensoverdracht tussen de twee continenten, heeft het verstrekkende gevolgen. Laten we er snel naar kijken.

Privacy Shield – Wat houdt het in?

De Data Agreement is begin 2016 in werking getreden als opvolger van de Safe Harbor Agreement. Het doel van het Privacy Shield was volgens de makers ervan om niet alleen wettelijke zekerheid te bieden voor burger met een hoger beschermingsniveau, maar ook voor Europese bedrijven die gegevens uitwisselen met de VS. Amerikaanse bedrijven zouden dus verplicht zijn de gegevens van EU-burgers op te slaan zolang ze voor het oorspronkelijke doel werden gebruikt. Deskundigen op het gebied van gegevensbescherming hadden vanaf het begin kritiek op deze overeenkomst, omdat zij vermoedden dat deze geen significante wijzigingen zou opleveren in vergelijking met de vorige Safe Harbor-overeenkomst.

Als voorbeeld, het Privacy Shield deed toenadering tot een betere gegevensbescherming, maar dit was nog lang niet volgens de Europese norm. Met name de Amerikaanse geheime diensten hadden zonder beperkingen toegang tot gegevens van EU-burgers. Dit feit bracht het Hof ertoe het Privacy Shield ongeldig te verklaren.

Weg met het Privacy Shield – en wat nu?

Kunnen er nog steeds gegevens tussen de VS en Europa worden uitgewisseld? Het is duidelijk dat het verwijderen van de Privacy Shield overeenkomst voor verwarring zorgt. Allereerst is het belangrijk te beseffen dat er onderscheid moet worden gemaakt tussen particulieren en bedrijven. Particulieren kunnen nog steeds privé e-mails naar de VS sturen of een boeking maken op een Amerikaanse website. Voor bedrijven ligt de situatie anders.

Ongeveer 5.000 bedrijven worden rechtstreeks getroffen door de beslissing van het Hof van Justitie, aangezien zij een beroep doen op de Privacy Shield bij het overdragen van gegevens naar de VS. Dit zijn onder meer bedrijven zoals Facebook, Microsoft en Amazon. Om ervoor te zorgen dat in eerste instantie juridische gegevensuitwisseling naar de Verenigde Staten door blijven gaan, kunnen bedrijven zich ook beroepen op de standaardcontractbepalingen die tot nu toe van kracht waren. Maar ook hier is de vraag: kunnen deze nog geldig zijn, ook al kunnen ze de toegang door geheime diensten niet uitsluiten?

Vooral Duitse experts op het gebied van gegevensbescherming beginnen te praten over de digitale onafhankelijkheid van Europa. De Berlijnse gegevensbeschermingsdeskundige Maja Smoltczyk roept bijvoorbeeld degenen die verantwoordelijk zijn voor de doorgifte van persoonsgegevens naar de VS op om over te schakelen naar dienstverleners in de EU om een passend niveau van gegevensbescherming te waarborgen.

Er kan daarom van worden uitgegaan dat er geen “groen licht” zal zijn over de gegevensbescherming discussie om de wettelijke onzekerheid te overwinnen.

Wat houdt dit in voor Hornetsecurity klanten?

In principe levert Hornetsecurity haar voornaamste dienstverlening vanuit Duitsland binnen beveiligde datacenters aldaar. Er is geen gegevensuitwisseling met de VS en Hornetsecurity wordt daarom niet rechtstreeks beïnvloed door dit besluit.

Alle subcontractors in een derde land in opdracht van Hornetsecurity, die het Privacy Shield hebben benoemd als basis voor gegevensoverdracht, hebben ook een alternatieve juridische grondslag, zodat als een juridische grondslag niet meer van toepassing is, een van de andere alternatieven het overneemt. De twee andere varianten voor de overdracht van gegevens uit Europese Economische Gebied naar andere landen, met name naar de Verenigde Staten, zijn bindende bedrijfsregels / bindende interne gegevensbeschermingsregels en EU-contractuele standaardbepalingen / EU-contractbepalingen. Onze klanten vinden de exacte informatie over onze subcontractors in de Order Processing Agreement in Annex 3.

Kan ook interessant voor u zijn:

Deepfakes – een nieuwe bedreiging voor organisaties

Deepfakes – een nieuwe bedreiging voor organisaties

Steeds vaker verschijnen bedrieglijk echt ogende video’s waarin beroemdheden dingen zeggen of doen die je niet zou verwachten dat ze zouden doen: Barack Obama valt bijvoorbeeld zijn opvolger aan, of Mark Zuckerberg bekent dat hij alle gegevens van Facebook-gebruikers heeft doorgegeven aan het publiek … Maar deze mensen hebben niet echt iets gezegd of gedaan. Dit zijn zogenaamde Deepfake-video’s, die zijn gemaakt met behulp van kunstmatige intelligentie.

Zelfs als een groot aantal van dergelijke video’s relatief snel nog steeds als nep kan worden ontmaskerd, wordt deze technologie voortdurend verbeterd en heeft deze een hoog potentieel voor gevaar. Het wordt steeds moeilijker om dergelijke valse informatie op te sporen – daarnaast gebruiken cybercriminelen ook deepfakes om bedrijven met nieuwe oplichting aan te vallen: The Wall Street Journal meldde bijvoorbeeld dat een niet-gespecificeerd Brits bedrijf het slachtoffer werd van een deepfake-aanval. In dit geval werd de stem van de CEO van het Duitse moederbedrijf authentiek nagebootst met op AI gebaseerde software en werd het hoofd van het Britse bedrijf met succes gevraagd 243.000 dollar over te maken naar een buitenlandse bankrekening.

Vanwege deze ontwikkelingen gaat Hornetsecurity dieper ingaan op het onderwerp Deepfakes.

Wat is een deepfake?

Deepfakes zijn gemanipuleerde video- en audiobestanden die de biometrische kenmerken van een persoon imiteren met details zoals uiterlijk, gezichtsuitdrukkingen of stem op een bedrieglijk reële manier. De term is samengesteld uit Deep Learning, dat een speciale AI-technologie beschrijft en hoe je iemand of iets imiteert, met andere worden dat iets nep is.

Om Deepfake-video’s te maken, worden kunstmatige neurale netwerken, die een bepaald leervermogen hebben, gevoed met beeld- of videomateriaal. Op basis van het bronmateriaal kan de AI-software leren om de te imiteren persoon in een andere context te vertegenwoordigen. De kwaliteit van het resultaat hangt af van de omvang van het bronmateriaal en van de hoeveelheid lagen het gebruikte neurale netwerk heeft – d.w.z. hoe “diep” het is. Om de imitatie te creëren, werken twee algoritmen samen: terwijl de ene de namaak maakt, controleert de andere het resultaat op fouten. De authenticiteit van de namaak neemt toe met het aantal herhalingen van dit leerproces.

Maar video’s zijn niet het enige dat kan worden vervalst met AI en Deep Learning, ook nepstemmen kunnen worden gemaakt met een vergelijkbare methode.

Waarom neemt het aantal deepfakes toe?

Nog niet zo lang geleden konden gezichten in video’s alleen worden vervangen door uitgebreide CGI-effecten met deskundige kennis en hoge kosten, dit is nu ook mogelijk voor IT-leken dankzij gratis beschikbare AI-software zoals DeepFaceLab. Zelfs dure hardware is niet meer nodig. Gebruikers die een te zwakke grafische kaart hebben, kunnen bijvoorbeeld de Colab van Google gebruiken om tot twaalf uur AI-training in de cloud te laten uitvoeren. Als het programma eenmaal met materiaal is gevuld, creëert het de manipulatie zoveel mogelijk automatisch. Bovendien evolueren de deep learning-mechanismen voortdurend en vereisen steeds minder opnames. Hoewel oorspronkelijk enkele uren videosequenties nodig waren, hebben sommige AI’s slechts een paar afbeeldingen nodig om gezichten uit te wisselen.

Het proces van het imiteren van een stem is vergelijkbaar: programma’s zoals Lyrebird hebben slechts een paar minuten aan audiomateriaal nodig om geloofwaardige imitaties te genereren.

Hoewel beroemdheden tot dusver de belangrijkste doelwitten waren, blijkt uit de aan het begin beschreven zaak dat cybercriminelen de technologie ook gebruiken om bedrijven aan te vallen.

Welke deepfake-aanvallen mogen bedrijven verwachten?

De IT-beveiligingsexperts van Hornetsecurity zien een hoog risicopotentieel op twee specifieke gebieden: Een zwendel is de zogenaamde CEO-fraude, waarbij cybercriminelen zich voordoen als leidinggevenden in e-mails met een persoonlijk adres en werknemers proberen over te halen grote sommen geld te betalen. Met de Deepfake-technologie is het nu mogelijk om de geloofwaardigheid van deze CEO-zwendel drastisch te vergroten door valse video- of audiobestanden bij te voegen.

Door de snelle ontwikkeling van de technologie is het ook denkbaar dat de fraudeurs zelfs rechtstreeks via telefoon of video-oproep contact kunnen opnemen met werknemers en zich in realtime kunnen voordoen als de CEO. Het geval van het Britse bedrijf dat aan het begin van dit artikel werd genoemd, toont aan dat deze procedure in de praktijk al met succes is toegepast: de CEO dacht de algemeen directeur van het Duitse moederbedrijf aan de telefoon te hebben, en heeft in opdracht van hem, 243.000 dollar overgemaakt aan een vermeende leverancier.

Een andere tactiek kan ook een probleem worden: cybercriminelen creëren deepfakes waarbij leidinggevenden over hun eigen bedrijf praten, bijvoorbeeld het aankondigen van een faillissement. Ze dreigen dit materiaal door te geven aan de media of om het te publiceren op social media.

Hoe kunnen deepfake-aanvallen worden gedetecteerd en worden voorkomen?

Bij deepfakes die bedoeld zijn om het bedrijf via e-mail binnen te komen, bestaat de kans dat spam- en malwarefilters de e-mail blokkeren en voorkomen dat de bijgevoegde of gekoppelde audio- of videobestanden worden geopend. De filters kunnen deepfakes echter niet per se herkennen, maar analyseren de berichten bijvoorbeeld om te bepalen of het domein, IP-adres of afzender op de zwarte lijst staat of dat ze schadelijke links of bijlagen bevatten

Hoe meer gefocust en individueel de aanvaller is, hoe groter de kans dat de aanval zijn doel met succes bereikt.
Het wordt bijzonder gevaarlijk als de aanval wordt uitgevoerd via telefoon of videogesprek, omdat er in dit geval geen beveiligingsmechanismen kunnen optreden.

De IT-beveiligingsexperts van Hornetsecurity benadrukken daarom dat het cruciaal is om medewerkers en managers bewust te maken van dit nieuwe dreigingsscenario. Alleen een voldoende bewustzijn van deze vorm van aanval kan op dit moment een effectieve bescherming bieden.