Je medewerkers als Human Firewall

Voorkom phishing, leer een URL lezen

Onder phishing verstaan we pogingen om mensen via e-mail gevoelige informatie te ontlokken. Zo worden mensen door bedrog, vervalsing en manipulatie overgehaald om bijvoorbeeld geld te sturen, gevoelige informatie te verstrekken of zelfs ongemerkt malware te downloaden. Phishing ook wel "social engineering" genoemd: een soort aanval, die eerder berust op menselijk falen dan op fouten in de hardware of software. De gebruiker is hierin een ‘human firewall’.

Een herkenbaar voorbeeld: je bent aan het werk en opeens zie je in de hoek van je scherm een mailtje van de IT-servicedesk met daarin de vraag om je wachtwoord aan te passen. Je krijgt direct een link te zien naar een website waar je je wachtwoord kunt aanpassen. Bij de meesten van ons is bekend dat je er niet zomaar vanuit moet gaan dat e-mails die je krijgt ook daadwerkelijk afkomstig zijn van de organisatie of persoon in de afzender. Zo ook in dit voorbeeld: is deze e-mail daadwerkelijk afkomstig van de IT- Servicedesk? Dat is een belangrijke vraag. Maar hoe achterhaal je dit nou?

Het identificeren van de afzender
Vaak kun je aan verschillende factoren zien of een e-mail legitiem is, zoals bijvoorbeeld het e-mailadres van de afzender. Echter, vandaag de dag kunnen kwaadwillende personen een e-mail zo manipuleren dat er geen verschil te zien is tussen een legitieme en malafide e-mail. Er blijft dan maar één optie over, namelijk controleren of de webpagina waar de link naar verwijst legitiem is. Aan de hand van de opbouw van een URL kun je de identiteit van de afzender identificeren. In het vervolg van deze blog gaan we hier dieper op in. Daarnaast delen we een praktisch stappenplan waarmee je aan de hand van URL’s phishing-aanvallen kunt herkennen.

Gebruikers en URL’s
Aan de hand van URL’s specificeren we de identiteit van een internethost. URL’s hebben een complexe vorm en structuur. Hoewel je met de juiste software de identiteit van URL's nauwkeurig kan ontleden, hebben gebruikers hier vaak meer moeite mee. Het onjuist identificeren van een URL kan gebruikers blootstellen aan phishing-aanvallen.

Onderdelen van een URL
URL’s zijn tenminste opgebouwd uit de volgende onderdelen:

  • Protocol
  • Domeinnaam
  • Topleveldomein

Voorbeeld opbouw URL:
http://example.com: protocol (http://)+domeinnaam (example)+topleveldomein(.com)

Daarnaast kan een URL ook nog bestaan uit:

  • Authenticatiegegevens, zoals een gebruikersnaam en wachtwoord
  • Poortnummer
  • Padnaam
  • Querystring
  • Fragment/identifier

URL-codering
Om een URL goed te kunnen ontleden is het handig om te weten wat URL-codering is. URL-codering (URL-encoding) is een methode om informatie in een URL te coderen. Dit kan gebruikt worden om gevoelige karakters te versturen als data in een URL, maar dit kan ook gebruikt worden om de URL minder leesbaar te maken.

URL-codering bestaat uit een procent teken gevolgd door twee alfanumerieke tekens. Voorbeelden hiervan zijn %2F of %2E. URL-codering is niet hoofdlettergevoelig. Een URL kan naast handmatig ook softwarematig gedecodeerd worden. Een handige tool hiervoor is: https://www.urldecoder.org/.

Stap voor stap een URL ontleden
Om te achterhalen wat het daadwerkelijke domein is waar de URL naar verwijst kun je het onderstaande stappenplan gebruiken.

  1. Decodeer de URL als de URL %-tekens bevat (https://www.urldecoder.org/)

  2. Verwijder het protocol

  3. Alles wat volgt na de eerste slash(/) of hashtag(#) is niet van toepassing

  4. Tussen de laatste punt(.) en de eerste slash(/) of hashtag(#) is het topleveldomein

  5. Alle tekst voor de laatste punt(.) is het domein totdat er een punt(.) of at(@) staat.

Een tweetal voorbeelden
In de voorbeelden hieronder wordt een URL ontleed. Gaat de URL daadwerkelijk naar het domein dat je op het eerste oog ziet of naar een compleet andere locatie?

Voorbeeld 1:

Domein: https://www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Decodeer de URL als de URL %-tekens bevat

-> https://www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Verwijder het protocol

-> www.google.nl/imghp?hl=nl&tab=wi&ogbl

  1. Alles wat volgt na de eerste slash(/) of hashtag(#) is niet van toepassing

-> www.google.nl/

  1. Tussen de laatste punt(.) en de eerste slash(/) of hashtag(#) is het topleveldomein

-> www.google.nl/

  1. Alle tekst voor de laatste punt(.) is het domein totdat er een punt(.) of at(@) staat

->  www.google.nl/

  1. Resultaat: google.nl

Voorbeeld 2:

Domein: https://www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  1. https://www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  2. www.facebook.com.js2awp-1lf8xe89770by5cyxqbwewp.gvicw9vl45liecsmcmcut7z95qcms.etz5811-eiue348wi0li27dh8jtkku.mx

  3. etz5811-eiue348wi0li27dh8jtkku.mx.

Security awareness van je medewerkers vergroten
De conclusie is dat met gerichte kennis van gebruikers je phishing aanvallen in jouw organisatie kunt afwenden. Door technische maatregelen zoals een firewall of spamfilter worden veel kwaadaardige e-mails al afgevangen. Echter, deze maatregelen zijn nooit perfect en het kan gebeuren dat een medewerker nog steeds een malafide e-mail ontvangt. Het is dus van groot belang dat gebruikers weten hoe ze deze aanvallen kunnen herkennen en buiten de deur kunnen houden. Je zorgt als het ware voor een extra “beveiligingslaag” in je digitale organisatie.

Heb jij inzicht in de kennis van je medewerkers op dit gebied? Klikt iedereen overal op of zijn ze juist zeer oplettend?
Hands on helpt je graag om dit in kaart te brengen en waar nodig te verbeteren. Om deze extra beveiligingslaag voor je organisatie te ontwikkelen en je medewerkers te leren om dit te herkennen en te hanteren is een continue verbetercyclus noodzakelijk waarbij de mens, zowel op individuele basis als in organisatieverband, centraal staat. Dit resulteert direct in:

  • Een lager percentage medewerkers dat op een phishing link klikt;
  • Een afname van het aantal malware infecties;
  • Een afname van dataverlies.

Vragen, meer weten of een vrijblijvend gesprek? Neem dan gerust contact met ons op.
Samen kijken wij graag hoe we jouw (digitale) organisatie veilig kunnen maken en houden.

Neem contact met ons op voor een vrijblijvende afspraak