Het Hornetsecurity Security Lab publiceert nieuwe cijfers: ongeveer 70% van alle e-mails is ongewenst

Het Hornetsecurity Security Lab publiceert nieuwe cijfers: ongeveer 70% van alle e-mails is ongewenst

Dagelijks worden ongeveer 300 miljard e-mails verzonden. Het aantal verzonden en ontvangen e-mails voor privé- en zakelijke doeleinden zal toenemen tot naar verwachting 361,6 miljard tegen 2024. Niet alle e-mails die in de inbox van gebruikers terechtkomen zijn gewenst, en de ongewenste e-mails bevatten niet alleen twijfelachtige advertenties, maar ook vaak schadelijke bijlagen en links.

De experts van het Hornetsecurity Security Lab hebben geanalyseerd hoeveel e-mails daadwerkelijk door gebruikers gewenst zijn en welke gevaren op de loer liggen in hun inbox op basis van de ontvangen e-mails in 2020 en zijn tot interessante resultaten gekomen: slechts 28 % van de e-mails kon als “schoon” worden geclassificeerd, dwz onschadelijk door de Hornetsecurity filters, dus meer dan 70% van alle geadresseerde e-mails werd door de ontvanger als ongewenst beschouwd.

Welke e-mails zijn van tevoren al geblokkeerd?

In totaal wordt 67% van de inkomende e-mails van tevoren door de filtermechanismen van Hornetsecurity geblokkeerd: dit betekent dat deze e-mails door verschillende factoren niet eens als schadelijk of ongewenst zijn geclassificeerd. In juni 2020 analyseerde het Security Lab de redenen voor het blokkeren van inkomende e-mails. Hieronder bekijken we de belangrijkste:

In de eerste plaats, kan bijna 58% van de e-mails van tevoren als spam worden geclassificeerd met behulp van een realtime blackhole-lijst.

Op de tweede plaats, ​​met 12% zijn e-mails die de e-mailservers van Hornetsecurity als open relay proberen te gebruiken. Open relay is het proces waarbij een e-mailserver e-mails bezorgt waarvoor hij niet verantwoordelijk is. Voorbeeld, als voorbeeld.com een e-mailserver heeft, mag deze alleen e-mail accepteren voor mustermann@voobeeld.com. Een open relay server accepteert ook e-mail voor andere domeinen, zoals @test.com. Deze open relays worden vaak misbruikt om spam te versturen met valse afzenderadressen.

In 5,9% van de door Hornetsecurity geblokkeerde e-mails kon geen correct afzenderadres worden gevonden. Cybercriminelen proberen hun identiteit te verbergen of doen zich voor als iemand anders. Een voorbeeld: in het geval van mustermann@voorbeeld.com, als het domein voorbeeld.com niet bestaat, wordt de e-mail geblokkeerd.

In 5,3% van de geblokkeerde e-mails werd schadelijke inhoud aangetroffen. Schadelijke inhoud omvat bijlagen zoals *.xls, *.doc, *.pdf die malware bevatten, maar ook links die naar kwaadaardige of gecompromitteerde webpagina’s leiden.

Welke bedreigingen worden gevonden in de e-mails die niet van tevoren zijn geblokkeerd?

Het aandeel van spam, malware en andere bedreigingen in de niet-geblokkeerde e-mails is ook interessant. Voor deze evaluatie hebben de beveiligingsexperts het totale aantal inkomende e-mails minus de geblokkeerde e-mails gecontroleerd.

Ongeveer 10% van deze geanalyseerde e-mails was spam en ongeveer 3% was infomail. De experts van het Security Lab konden malware vinden in ongeveer 1% van alle inkomende e-mails en iets minder dan 0,1% werd zelfs gedetecteerd door Hornetsecury’s Advanced Threat Protection. Dit zijn aanvallen zoals CEO-fraude, phishing of aanvallen waarbij gebruik wordt gemaakt van nieuwe soorten malware, die alleen werden gedetecteerd door de Hornetsecurity ATP Sandbox en niet door klassieke filters. Omgekeerd betekent dit dat meer dan 10% van de e-mails die niet vooraf worden geblokkeerd spam of bijlagen en inhoud bevatten die schadelijk zijn voor de gebruiker.

Hoewel de meeste schadelijke e-mails kunnen worden geblokkeerd, moeten bedrijven nog niet achteroverleunen: cybercriminelen vinden voortdurend nieuwe manieren om kwaadwillende e-mails naar gebruikers te sturen en hun aanvallen zijn nog steeds vaak succesvol.

Wees voorzichtig bij het archiveren van e-mails: veel archiveringsservices voldoen niet aan de AVG

Wees voorzichtig bij het archiveren van e-mails: veel archiveringsservices voldoen niet aan de AVG

Al geruime tijd houdt overal één onderwerp directies en besturen bezig: gegevensbescherming en de algemene verordening gegevensbescherming, die in mei 2018 in werking is getreden. De Europese wet inzake gegevensbescherming heeft de goedkeuring en lof van velen gekregen, omdat het ervoor zorgt dat consumenten controle hebben over hun gegevens. Het onderwerp veroorzaakt echter nog steeds vaak verwarring en hoofdpijn. Bedrijven worden overbelast met niet-transparante regelgeving en een aanzienlijke hoeveelheid extra werk, om nog maar te zwijgen van de extra kosten:

Slechts een kwart van de ondervraagde Duitse bedrijven voldoet volledig aan de eisen van de EU-verordening algemene gegevensbescherming. Deze bevindingen waren het resultaat van een Bitkom-studie die werd uitgevoerd in september 2019, waarbij 500 bedrijven werd gevraagd naar hun voortgang met betrekking tot de implementatie van de AVG.

De gevreesde golf van waarschuwingen en schijnbrieven kwam niet uit, echter voorlopig. In plaats daarvan werden kleinere boetes opgelegd. Tot november 2019, toen alles veranderde. De woningbouwvereniging Deutsche Wohnen kreeg een boete opgelegd voor inbreuk op de gegevensbescherming voor het hoogste bedrag ooit in Duitsland: 14,5 miljoen euro. De reden voor dit enorme bedrag was dat het archiveringssysteem dat in het hele bedrijf werd gebruikt geen mogelijkheid bood voor het verwijderen van gegevens die het bedrijf niet langer nodig had.

Het is precies dit onderwerp waaraan we ons hieronder hebben gewijd en laten zien welke functies een e-mailarchief moet hebben, zodat het audit-bestendig is EN voldoet aan de gegevensbescherming.

E-mails archiveren – maar correct!

In de dagelijkse praktijk wordt e-mail al lang beschouwd als een standaard communicatiemiddel. Facturen voor gekochte producten en diensten worden naar klanten gestuurd, aanbiedingen en vragen worden naar leveranciers gestuurd en nog veel meer. In de loop van deze ontwikkelingen is het niet verwonderlijk dat de wettelijke en regelgevende kaders voor de afhandeling van zakelijke e-mails is uitgebreid. In Duitsland komt de wettelijke grondslag voor het archiveren van e-mails dus voort uit de verordeningen voor het juiste beheer en de opslag van boeken, documenten en documenten in elektronische vorm en voor gegevenstoegang, kortweg GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Vorm sowie zum Datenzugriff).

De archiveringsplicht geldt dus voor alle handelaren, bedrijven en rechtspersonen. De archiveringsduur is afhankelijk van het type correspondentie. Hoewel voor conventionele handels- en zakenbrieven een archiveringsperiode van zes jaar is vastgesteld, geldt voor boekhouddocumenten, facturen, balansen en jaarrekeningen een bewaartermijn van maximaal tien jaar.

Volgens de GoBD moeten archiveringssystemen die door bedrijven worden gebruikt aan de volgende basiscriteria voldoen om auditbestendige e-mailarchivering te garanderen:

  • E-mails moeten ongewijzigd worden gearchiveerd
  • Onderweg naar of in het archief mag geen e-mail verloren gaan
  • E-mails moeten opvraagbaar zijn en op korte termijn
  • E-mails mogen niet verwijderd worden tijdens de beoogde levensduur
  • E-mails moeten exact kunnen worden weergegeven en afgedrukt zoals ze zijn ingevoerd
  • Documentatie van wijzigingen in de organisatie en structuur van het archief moet het mogelijk maken de oorspronkelijke staat te herstellen
  • Migratie naar nieuwe platforms moet mogelijk zijn zonder verlies van informatie

Bovendien moeten gebruikers van het archief gedurende de levensduur van het archief voldoen aan de wettelijke en operationele voorschriften inzake gegevensbeveiliging en gegevensbescherming.

Audit bestendig betekent niet noodzakelijkerwijs dat het AVG-conform is

Inmiddels stelt een oplettende lezer waarschijnlijk de volgende vraag: hoe kan een archiveringssysteem worden gewaarschuwd of geïnformeerd wanneer niet wordt voldaan aan de verwijderingsverplichtingen als e-mails volledig en op een auditbestendige manier moeten worden gearchiveerd? Terechte vraag. Hier is het antwoord:

De Algemene Verordening Gegevensbescherming voorziet in de verplichting om alle persoonsgegevens die niet langer worden gebruikt te verwijderen. Dit omvat ook alle e-mailcommunicatie. Volgens de GDPR is de opslag en verwerking van dergelijke gegevens daarom altijd voor een specifiek doel. Het doel kan bijvoorbeeld betrekking hebben op het leveren van een specifieke dienst die zonder de verwerking van klantgegevens niet mogelijk zou zijn. Als dit doel na enige tijd niet meer bestaat, moeten deze gegevens worden verwijderd.

U

Een voorbeeld van de afdeling Human Resources:

Monica M. solliciteert naar een baan als bediende bij een middelgroot bedrijf in de toeristische sector. De sollicitatie bevat doorgaans relevante persoonlijke gegevens, zoals adres, geboortedatum en nog veel meer. De documenten worden gecontroleerd door de afdeling Human Resources en de desbetreffende gespecialiseerde afdeling.

Als Monica M. indruk op ze maakt, wordt ze uitgenodigd voor een interview en kan ze de functie idealiter vervullen. Om als werknemer van het bedrijf te kunnen optreden en hiervoor betaald te worden, moet het bedrijf de gegevens van Monica opslaan en verwerken. Als Monica tijdens het interview echter geen indruk maakt op het bedrijf, is de basis voor gegevensopslag niet langer van toepassing. Het bedrijf moet de gegevens daarom uiterlijk zes maanden na afwijzing van Monica’s aanvraag volledig vernietigen. En wat hier wordt bedoeld is “verwijderen”. Dit omvat alle documenten die op papier en digitaal beschikbaar zijn, zoals sollicitatiebrieven, curriculum vitae, kopieën van certificaten, aantekeningen van het interview, testpapieren en alle gerelateerde e-mails die zijn ontvangen.

Naast de hier zojuist beschreven situatie zijn er nog twee andere gevallen waarin archivering is beperkt of helemaal niet is toegestaan. Het eerste geval betreft e-mailcommunicatie tussen werknemers en de ondernemingsraad of bedrijfsarts. De tweede betreft persoonlijke e-mails, als werknemers deze mogen verzenden en ontvangen wat over het algemeen zo is.

Het audit bestendige en AVG-conforme archiveringssysteem

Zoals al beschreven is de opslag van persoonsgegevens gekoppeld aan een specifiek doel. En zoals we hebben gezien, kan dit doel ook veranderen. Een wettelijk opgelegde verplichting om gegevens te bewaren kan daarom ook worden beschouwd als een doel voor de opslag van persoonsgegevens.

Om te kunnen voldoen aan zowel de bewaar- als verwijderingsverplichtingen, moet een onderneming drie belangrijke aspecten in gedachten houden bij het archiveren van e-mails. Allereerst moet het mogelijk zijn om persoonlijke informatie te herkennen en te markeren, zoals de privé-e-mailcommunicatie van werknemers. Ten tweede moeten gegevens worden geclassificeerd om de vraag te beantwoorden waar deze gegevens betrekking op hebben. Last but not least moeten bewaartermijnen worden gedefinieerd.

Het is daarom bijzonder belangrijk om bij het kiezen van een zakelijk archiveringssysteem op zowel onveranderlijkheid als conformiteit van gegevensbescherming te letten – omdat niet elk archiveringssysteem gegevens kan verwijderen en, zoals we hebben gezien, kan dit duur worden!

Archivering van Hornetsecurity

Een archiveringssysteem dat aan alle eisen voldoet en ook lage administratie- en onderhoudskosten heeft, is Hornetsecurity Archiving. Alle inkomende en uitgaande e-mails worden volledig, automatisch en veilig in de cloud gearchiveerd. Dit zorgt voor de vereiste onveranderlijkheid en volledigheid van de e-mails zonder enige inspanning van uw kant.

Verdere kenmerken van het archief zijn onder meer het markeren van privé-e-mails en het volledig uitsluiten van bepaalde gebruikers van archivering, zoals leden van de ondernemingsraad. Op deze manier kunnen persoonlijke gegevens worden beschermd in overeenstemming met de AVG. De archiveringsperiode voor e-mails kan vooraf worden geconfigureerd, tussen de zes maanden en 10 jaar. Met de bestaande full-text zoekfunctie kunnen specifieke e-mails snel worden gevonden. Ten slotte heeft de archivering van Hornetsecurity ook een veilige import- en exportfunctie met een gestandaardiseerd formaat..

SecLab Report: HTML Phishing Vraagt twee keer om een Wachtwoord

SecLab Report: HTML Phishing Vraagt twee keer om een Wachtwoord

Niets anders dan dezelfde bekende dreiging? Phishing campagnes lijken altijd volgens hetzelfde principe te verlopen: Een link of bijlage die in een e-mail wordt geplaatst, verwijst naar een phishing-website om specifieke gegevens over de ontvanger te achterhalen. Echter, sommige gebruikers volgen inmiddels bepaalde processen waardoor traditionele phishing-tactieken vaker worden herkend. Nu heeft het Hornetsecurity Security Lab een phishing manier ontdekt dat is ontworpen om deze methode te omzeilen.

 

Het Proces

In het geval van de gedetecteerde phishing tactiek wordt de hele phishing-website als HTML-bijlage naar het slachtoffer gestuurd en vervolgens lokaal in de browser uitgevoerd. Tijdens het onderzoek naar een dergelijke phishing activiteit ontdekte het Security Lab een interessante tactiek in een van de gebruikte phishing-webformulieren. In één formulier wordt het eerste door de gebruiker ingevoerde wachtwoord altijd als foutief afgewezen en wordt alleen het tweede wachtwoord geaccepteerd.

Dit is waarschijnlijk een workaround om een methode die sommige gebruikers hebben bedacht ter voorkomen van phishing. Sommige gebruikers zijn van mening dat phishing-websites altijd elk wachtwoord accepteren. Daarom kunt u een phishing-website herkennen door een verkeerd wachtwoord in te voeren. Een phishing-website accepteert het verkeerde wachtwoord, terwijl de legitieme site het als onjuist afwijst. Deze veronderstelling is echter onjuist en het Security Lab zal in dit artikel uitleggen waarom.

 

Achtergrond

Phishing door slachtoffers de volledige HTML-bron van de phishing-webpagina als e-mailbijlage te sturen, is niet nieuw [1]. In het algemene is het zo dat het slachtoffer een e-mail ontvangt met een bijgevoegd HTML-document. 

Hier zien we een recent voorbeeld van zo’n phishing-poging gericht aan een bank:

In de e-mail wordt de gebruiker verteld dat het gebruikersprofiel moet worden bijgewerkt, anders kunnen de diensten van de bank niet meer worden gebruikt. Wanneer de gebruiker de bijlage opent, vraagt een formulier om de gegevens van de gebruiker of in dit geval een hele reeks persoonlijke en vertrouwelijke informatie:

Het document is zelfs zo behulpzaam dat het controleert (lokaal via HTML5-functies) op, of de informatie die de gebruiker heeft ingevoerd een geldig formaat heeft, het e-mailadres bijvoorbeeld een @ -symbool bevat, enz.: 

Nadat de invoer van de gebruiker lokaal was gevalideerd, wordt een HTTP POST-verzoek verzonden die de ingevoerde informatie naar een externe server stuurt:

Deze tactiek is een geweldige manier om te voorkomen dat uw phishing-website op de zwarte lijst komt te staan, aangezien er geen zichtbare phishing-webpagina online is die een hostingprovider kan verwijderen. Het blokkeren van een website omdat deze HTTP POST-verzoeken ontvangt, is moeilijk uit te leggen aan een hostingprovider of eigenaar van een gecompromitteerde website.

Onlangs vond het Security Lab een interessante nieuwe wending aan de tactiek van een langlopend manier van dergelijke HTML-phishing-bijlagen die doen alsof ze afkomstig zijn van een grote logistiek en supply-chain containerbedrijf.

 

Analyse

De phishing-activiteit waar deze interessante tactiek deel van uitmaakt, is ononderbroken maandenlang gaande – en in een andere vorm waarschijnlijk al jarenlang:

 

Het feit dat er tijdens werkdagen meer e-mails worden verzonden, zou erop wijzen dat deze activiteit op bedrijven is gericht:

Hoewel de taal van de phishing-e-mails uitsluitend Engels is, worden de e-mails voornamelijk verzonden naar Duitse, Amerikaanse en Britse bedrijven:

Toegegeven, de weergave per land is enigszins vertekend door het klantenbestand van Hornetsecurity, aangezien Hornetsecurity marktleider is in de DACH-regio.

Interessante aanvulling, de netwerken van waaruit deze e-mails worden verzonden zijn als volgt:

Met de eigenaren van de 7 AS met het hoogste aantal verzonden e-mails zijn:

Volume ASN ASN owner
5450 199653 ARUBAFR-AS, FR
5425 6697 BELPAK-AS BELPAK, BY
3300 266772 TRIMOTION S.R.L., AR
1450 8374 PLUSNET Plus network operator in Poland, PL
1375 15704 XTRA TELECOM S.A., ES
1275 54290 HOSTWINDS, US
1225 1221 ASN-TELSTRA Telstra Corporation Ltd, AU

 

Vraag de gebruiker tweemal

Hoewel de meeste van de waargenomen phishing documenten de eerder beschreven tactiek volgen – behalve dat de gebruiker alleen om een wachtwoord wordt gevraagd en het e-mailadres van de gebruiker al in het document is ingevuld – geven enkele andere phishing documenten in deze serie er een andere draai aan.

Bij het openen van het phishing document wordt de gebruiker gevraagd het wachtwoord in te voeren om zodoende een aantal verzendbewijzen te kunnen bekijken:

Ongeacht het wachtwoord dat wordt ingevoerd, krijgt de gebruiker onmiddellijk een ander wachtwoord pop-up formulier te zien waarin wordt beweerd dat het ingevoerde wachtwoord onjuist is:

Dit is waarschijnlijk gedaan om te voorkomen dat slimme gebruikers eerst een verzonnen wachtwoord proberen – om phishing te voorkomen – en ze het juiste wachtwoord pas invoeren als een vals wachtwoord ze geen toegang geeft.

Maar alleen dat laatst ingevoerde wachtwoord wordt naar de externe server gestuurd:

Last but not least wordt de gebruiker doorgestuurd naar de imagehostingservice Imgur en krijgt hij een afbeelding van verzendbewijzen te zien:

Het is duidelijk dat die afgebeelde documenten net zo nep zijn als de phishing-e-mail zelf.

 

Conclusie en Oplossing

Dit voorbeeld laat zien dat de truc die door sommige gebruikers wordt voorgesteld om bescherming te bieden tegen phishing door altijd eerst een vals wachtwoord in te voeren en pas nadat dat wachtwoord is geweigerd het juiste wachtwoord in te voeren, niet werkt. De logica achter deze truc lijkt te zijn dat de meeste phishing-formulieren elk wachtwoord accepteren. Dus als een systeem een ​​verkeerd wachtwoord weigert, moet het legitiem zijn, hoe kan het anders weten dat het wachtwoord verkeerd is. Maar zoals in dit geval is gebleken, kan een phishing-formulier ook eenvoudig uw wachtwoord weigeren. In feite kan het alle wachtwoorden weigeren en alle pogingen naar de aanvaller sturen in de hoop dat het slachtoffer alle wachtwoorden zal overhandigen terwijl hij probeert in te loggen op het nep-wachtwoordformulier.

Oplossen is niet zo eenvoudig. Omdat de phishing-webpagina lokaal in de browser van het slachtoffer wordt geladen, zullen blacklists zoals Googles Safebrowsing de gebruiker niet waarschuwen dat een phishing-webpagina wordt geopend. Een ander ding is het exfiltration mechanisme. Het enkele HTTP POST-verzoek wordt naar een waarschijnlijk gehackte WordPress-website gestuurd, waardoor het moeilijk te vinden is in een druk netwerk en omdat er geen zichtbare phishing-website online is, ook moeilijk te onderzoeken door een netwerkanalist.

De veiligste manier om u te beschermen tegen deze HTML phishing-webpagina-bijlagen is op de eerst plaats door ze niet toe te laten ​​in de mailbox van de gebruiker. Als voorbeeld, de precieze analyse mechanismen van Hornetsecurity’s Spam and Malware Protection detecteren dergelijke e-mails in de eerste filter ronde en blokkeren deze phishing-e-mails voordat ze in een mailbox kunnen worden afgeleverd.

 

Referenties

Corona Opportunisten: hoe kwaadwillende de crisis benutten

Corona Opportunisten: hoe kwaadwillende de crisis benutten

In tijden van crisis zijn er altijd opportunisten die proberen te profiteren van de situatie. Dit is niet anders met de huidige Corona COVID19-pandemie, aangezien de experts van Hornetsecurity steeds vaker campagnes kunnen zien ontstaan. Momenteel stijgt het percentage kwaadaardige e-mails met links naar Corona enorm.

Hieronder zullen we daarom beschrijven hoe de huidige crisissituatie hackers in toenemende mate helpt om frauduleuze pogingen aan op te hangen, evenals voor de verspreiding van spam en malware.

 

 

Vergeleken met het totale aantal e-mails dat door Hornetsecurity als kwaadaardig is geclassificeerd, is het aantal e-mails met het onderwerp Coronavirus nog klein, maar neemt wel toe.

Om lezers inzicht te geven in hoe cybercriminelen de COVID19-crisis met verschillende activiteiten uitbuiten, wil het Security Lab enkele van hun dagelijkse bevindingen laten zien.

 

Analyse

We zullen drie activiteiten bekijken:

– Oplichting
– Spam
– Malware

 

Sextortion afpersing draait om COVID19-oplichting

Eerst kijken we naar oplichting. Een langlopende blijvende manier is de sextortion-oplichting [1]. Bij sextortion-oplichting ontvangt een slachtoffer een e-mail waarin wordt beweerd dat zijn computer is gehackt en dat er een video is opgenomen terwijl ze op een pornografische website aan het surfen waren. Om te voorkomen dat deze video wordt gedeeld met vrienden en familie, moet het slachtoffer cryptovaluta (meestal Bitcoin) overmaken naar een specifiek Bitcoin-adres. Het is duidelijk dat de computer van het slachtoffer niet is gehackt en er geen video is gemaakt.

Een “activity group” die eerder door het Security Lab is waargenomen bij dergelijke sextortion-oplichting, hebben zich aangepast om zich nu voor te doen als WHO en slachtoffers te maken door donaties te vragen vanwege het coronavirus. Deze oplichting e-mails zijn hieronder te zien:

 

 

Een andere soortgelijke activiteit is recentelijk gestart. Er wordt gelijk gevraagd naar Bitcoins, simpelweg omdat ze geïnfecteerd zijn, thuis moeten blijven en hierdoor het gezin van het slachtoffer beschermen door het virus niet te verspreiden:

 

 

Op de volgende tijdlijn is de toename van activiteit te zien – de WHO-oplichting gebruikt de Bitcoin-adressen 16gmYrbqMr4SZeA7SqNVmirhnhDG3maYPK en 13Rfk6FXkqswaYnqMys5BkiDvJbwVdL8TD (kleuren blauw en rood) terwijl de oplichting die gelijk om Bitcoins vraagt 18P3S6DuNUpW2WLozsrrW6rRd6xh24Rc7N gebruikt (groen gekleurd):

 

 

Andere “activity groups”, pikken momenteel nog geen graantje mee van het coronavirus. Vandaar dat de klassieke sextortion-oplichting ook nog steeds in gebruik is.

 

Spam met N95 / FFP3 – mondkapjes

Vervolgens bekijken we de spammers. Deze groep probeert meestal de ontvangers producten of diensten te verkopen, of verkeer voor websites te genereren (ongeoorloofd SEO) of interesse in aandelen te stimuleren (marktmanipulatie).

Hier is duidelijk welke producten met betrekking tot de corona-crisis spammers waarschijnlijk zullen gebruiken – mondkapjes. Heel veel ervan:

De tijdlijn van deze activiteiten laat zien dat niet alleen de diversiteit van de verschillende mondkapjes wordt geadverteerd, maar dat ook dat het totale volume van deze spam-e-mails toeneemt:

 

 

Massa distributie van malware

Last but not least, er zijn ook activiteiten waargenomen die malware distribueren en zich hebben aangepast naar corona-gerelateerde lok -e-mails. We presenteren hier inzichten van één “threat activity group” die is geobserveerd bij het verspreiden van Formbook [1], Loki Bot [2], Agent Tesla [3] en AZORult [4] malware binnen verschillende bestanden (ZIP, RAR, ACE, ISO, GZ, …) in e-mails.

Terwijl het Security Lab deze activiteit continu heeft gevolgd, begonnen op 17 maart 2020 sommige e-mails die tot deze activiteitengroep behoorden ‘corona’ of ‘Covid-19’ te gebruiken in het onderwerp- of de bijlagenaam. Deze trend blijft toenemen, zoals blijkt uit de volgende tijdlijn, waarin e-mails van deze “activity group” zonder corona onderwerp in het groen en e-mails met een corona onderwerp in het rood worden weergegeven:

 

 

Conclusie en herstel

Over het algemeen is het risico voor de economie van deze dreigingsactiviteiten hetzelfde als vóór de crisis. Cybercriminelen blijven dezelfde regelingen en methodes gebruiken.

Het is echter zeer waarschijnlijk dat potentiële slachtoffers, gezien de actualiteit, eerder vallen voor de frauduleuze praktijken. Een ander aspect dat niet mag worden verwaarloosd, is dat e-mails over gevoelige onderwerpen in tijden van crisis ook de psyche van de ontvangers aanspreken en deze zelfs onder druk kunnen zetten.

Een goed e-mailfiltersysteem moet voorkomen dat deze e-mails de mailboxen van eindgebruikers bereiken, ongeacht of ze een verwijzing naar Corona bevatten of niet.

De bescherming tegen spam en malware van Hornetsecurity biedt de hoogste detectiepercentages op de markt met een gegarandeerde 99,9% spamdetectie en 99,99% virusdetectie. Dit betekent dat zelfs opportunisten die de Corona-crisis willen uitbuiten, geen kans hebben om in de mailboxen van eindgebruikers te komen om schade aan te richten.

 

Referenties

Veiligheidsrisico’s door thuiswerken? De uitdaging van IT-beveiliging in tijden van crisis

Veiligheidsrisico’s door thuiswerken? De uitdaging van IT-beveiliging in tijden van crisis

Het aantal coronavirusinfecties neemt elke dag toe, wat heeft geleid tot drastische tegenmaatregelen. Winkels, restaurants en andere openbare plaatsen blijven gesloten om verspreiding van het virus te voorkomen. Bedrijven vragen hun werknemers om vanuit huis te werken. Tijdens deze buitengewone en soms overweldigende situatie zouden bedrijven en werknemers zich niet druk hoeven te maken over de IT-beveiliging door thuis te werken. Hornetsecurity heeft hiervoor enkele aanbevelingen.

De vooruitgang van de digitalisering en de ontwikkeling van nieuwe technologieën heeft de economie wereldwijd al veel veranderingen gebracht. Cloud computing, big data, robotica en kunstmatige intelligentie bieden bedrijven voordelen zoals procesoptimalisatie, de mogelijkheid om resources te besparen en om snel gegevens- en informatie uit te wisselen. Op basis van deze ontwikkelingen zijn nieuwe bedrijven en banen gecreëerd. Bovendien kunnen veel werknemers hun werk uitvoeren, ongeacht de locatie, terwijl ze blijven communiceren met hun collega’s en werkgever. Hierdoor maken bedrijven het hun werknemers vaak mogelijk om thuis te werken.

Microsoft Office 365 wordt beschouwd als een belangrijke factor voor samenwerking via de cloud. Belangrijke bestanden kunnen overal realtime worden opgeslagen en uitgewisseld. Dit maakt het werken vanuit huis nog makkelijker. In tijden van crisis zoals deze, is het voor bedrijven vaak de enige manier om werknemers thuis te laten werken om de veiligheid van hun personeel te garanderen met behoud van bedrijfsactiviteiten. Zowel werkgevers als werknemers staan ​​door deze verandering voor grote uitdagingen. De meest gestelde vragen gaan over het onderwerp IT-beveiliging:

  • Hoe kan de IT-infrastructuur van het bedrijf worden beschermd wanneer werknemers vanuit huis werken?
  • Moeten bedrijven en werknemers specifieke maatregelen nemen?
  • Zijn beschermingsmaatregelingen zoals spam- en virusfilters ook actief bij thuis werken?

Hieronder volgen enkele tips met betrekking tot veiligheidsmaatregelen die tijdens het thuiswerken kunnen worden gebruikt om de bescherming van interne bedrijfsgegevens te waarborgen. We bespreken ook de speciale beveiligingsmaatregelen voor Office 365, aangezien gebruikers van de Microsoft Cloud Service steeds vaker het doelwit zijn van hackers en hoe cybercriminelen profiteren van de angst voor COVID-19 en phishing e-mails en nepwebsites verspreiden om zodoende wachtwoorden, gebruikersnamen en e-mailadressen te verkrijgen.

Volgens de beveiligingsexperts van Hornetsecurity moeten de volgende voorzorgsmaatregelen genomen en overwogen worden om thuis te werken:

  • Gebruik van een VPN-service zodat werknemers een veilige verbinding met het bedrijfsnetwerk tot stand kunnen brengen (perimeter security)
  • Installeer de laatste updates van besturingssystemen en apps
  • Beperk de toegangsrechten van mensen die verbinding maken met het bedrijfsnetwerk
  • Alle zakelijke apparaten, inclusief smartphones en laptops, moeten worden beschermd door geschikte beveiligingssoftware. Idealiter omvat dit functies voor het wissen van gegevens van apparaten die als verloren of gestolen worden gemeld, scheiding van persoonlijke en zakelijke gegevens en beperkingen op de installatie van apps
  • Training van het personeel, om te informeren over de gevaren die kunnen worden geassocieerd met ongevraagde berichten
  • Office 365-gebruikers worden het doelwit van cybercriminelen, vooral in tijden van crisis. Beveiligingsexperts raden daarom aan om niet alleen te vertrouwen op de beschermingsmechanismen van Microsoft, maar ook om Office 365-accounts te beveiligen met oplossingen van derden. (Lees verder)

Hackers gebruiken de crisis om gerichte cyberaanvallen uit te voeren:

Het Hornetsecurity Security Lab volgt sinds begin februari verschillende phishing-e-mailcampagnes die erop gericht zijn e-mailadressen en wachtwoorden te verkrijgen of malware via links en bijgevoegde documenten systemen van de ontvangers binnen te smokkelen. De malware kan bijvoorbeeld ransomware of spionagesoftware zijn. U kunt hier meer lezen over de methoden van hackers.

Om een ​​visueel overzicht te krijgen van de wereldwijde verspreiding van het coronavirus, hebben mensen toegang tot de interactieve ‘coronaviruskaart’ gemaakt door John Hopkins University. De afgelopen dagen circuleert er echter een nepversie van de website op internet die malware op de computers van gebruikers installeert.

De IT-beveiligingsexperts van Hornetsecurity gaan ervan uit dat de coronavirus oplichting in de nabije toekomst zal blijven toenemen. We verwachten bijvoorbeeld, nep-e-mails van gezondheidsautoriteiten en soortgelijke overheidsinstellingen of phishing-e-mails van vermeende liefdadigheidsorganisaties die om donaties vragen voor ziekenhuizen en medische noodhulpvoorzieningen.

We zijn ons ervan bewust dat het uiterst belangrijk is om betrouwbaar en veilig te communiceren, vooral in tijden van crisis. We willen daarom van deze gelegenheid gebruik maken om onze klanten te informeren, dat ondanks de huidige uitzonderlijke situatie, onze diensten de uitgebreide beveiliging van hun e-mailcommunicatie zullen blijven garanderen.

Als u nog vragen heeft, staan ​​onze medewerkers u uiteraard graag te allen tijde terzijde.

Coronavirus is also dangerous by email

Coronavirus is also dangerous by email

Hornetsecurity warns of phishing and malware attacks that pretend to be from global health organizations

Reports of new cases of Coronavirus infection are appearing rapidly. The pictures of sealed-off cities and people in quarantine suggest a horrifying scenario. But the virus is not only a risk in the analogue world: the growing fear is shamelessly exploited by cyber criminals with targeted phishing and malware campaigns. Sadly, there is now a Coronavirus infection risk via email.

Since the beginning of February, the Hornetsecurity Security Lab has observed an increased volume of emails sent in the name of the World Health Organization and the Centers for Disease Control and Prevention. The messages explicitly take advantage of people’s fear of the virus.

For example, a link provides an alleged list of new cases of infection in the immediate vicinity. The recipient would be able to access this list by entering an email address and a password. This is a classic phishing email that is intended to steal sensitive data. In other cases a download link or an attached document is offered. Both promise information on security measures to protect against infection.

If the link is clicked or the document is opened, a malicious file will be downloaded. There is a substantial risk that the IT system could be infected with a virus or ransomware.

Increase in attacks that reference current events

The experts at Hornetsecurity point out that more and more often, current events with a high emotional charge are being used as hooks for large-scale phishing and malware campaigns. By exploiting people’s emotions, cyber criminals know their emails will receive more attention and be seen as more credible. The probability that the messages will be opened increases.

The Coronavirus mailing is only one of many current cases. There have been similar mail attacks referencing the climate protests initiated by Greta Thunberg, GDPR and the bush-fires in Australia—all of these are actual exploits that have been intercepted by Hornetsecurity.

Since email communication in companies is still the number one gateway for cyber attacks, employees must be made aware of this issue in addition to setting up effective protection mechanisms. Detecting phishing emails is not easy – but not impossible either. To vet suspicious messages, the following areas should be checked:

  • The sender’s email address can provide information about the true origin of the message. If it is not plausible or contains spurious letters or cryptic symbols, this is a warning sign.
  • Large-scale phishing campaigns often only use a generic form of address for the recipient.
  • Incorrect spelling and grammar and an unprofessional layout are also an indication.
  • The use of pressure is a common tactic. This is intended to undermine critical thinking.
  • Cyber criminals often try to get the recipient to open a URL or attachment. Email attachments can present serious risks.