Dat hackers een grote creativiteit en vindingrijkheid aan de dag leggen, dat was al langer geweten. Hun methoden om aan de haal te gaan met data en met geld, zijn soms bijna onuitputtelijk. Dat gedrag is absoluut niet goed te keuren en mag zeker niet worden getolereerd, maar soms is het bekijken van deze technieken ook leerrijk te noemen.
De nieuwste toepassing van oudere trukken: "overlay layers" om wachtwoorden en gebruikersnamen op bedrijfswebsites te ontfutselen.
Er gaat al enige tijd enorm veel aantrekkingskracht uit van de inloggegevens (credentials) van firma-mails binnen de Outlook Online omgeving. Via valse mails -zogezegd vanuit de ondersteunende IT-diensten- werd er aan de eindgebruikers gevraagd om bepaalde ‘geblokkeerde spammails’ te valideren om vrij te geven of te wissen vanuit de quarantaine box. Dit omdat ze verdacht werden als potentiële spam.
Zeker binnen die bedrijfsomgeving willen de personeelsleden géén belangrijke bedrijfsmails missen en worden zij zo makkelijker in de val gelokt.
Als eindgebruiker is het belangrijk dat je zelf, naast de geautomatiseerde hulp van veiligheidssystemen en filterende regels, kan beslissen of half-verdachte mails wel of niet moeten worden gerecupereerd uit quarantaine. Het huidige misbruik in de ontvangen mail valt enkel op wanneer men met de muisaanwijzer over de link gaat, zonder deze aan te klikken (‘to hover over’). Dan is het wel een verdacht lange URL die men te zien krijgt. Maar verder dan dat, is er niet veel verdachts te zien aan de ontvangen helpdeskmail.
Bij het aanklikken van de link wordt de gebruiker wel doorgestuurd naar de inlogwebsite van de firma, waarbij er wordt gevraagd om de nodige gegevens, username en paswoord, terug in te vullen. Ondertussen maken de hackers een onzichtbare laag, de overlay layer, actief bovenop de werkelijke, actuele webpagina van de organisatie : het inloggen lijkt dus echt, maar ondertussen geeft men bij het eventuele inloggen wél zijn gegevens door aan de hackers.
De getoonde pagina geeft immers veel vertrouwen, want het is de actuele website. Door de bovenliggende laag is het in de val lokken van de slachtoffers via deze meer geavanceerde technieken mogelijk.
Het is dus opletten geblazen, zeker wanneer er opnieuw naar jouw inloggegevens wordt gevraagd op een ietwat onverwacht moment.
En zeker niet op de echte hoofdpagina van de actuele bedrijfswebsite, op een plaats waar je het eigenlijk normaal niet verwacht…
Ps: ik geef ook aan dat ondertussen alle links in de MS-omgeving 'als erg lang' kunnen aanzien worden, doordat ze automatisch ingepakt worden in een 'secure safelink URL'. Dat maakt het dus meteen extra lang en dus is het niet makkelijk om de aanmerking 'abnormaal lang' nog echt te kunnen herkennen.