AI maakt social engineering nauwelijks nog te onderscheiden van legitiem verkeer
Social engineering-aanvallen blijven een effectief wapen voor cybercriminelen. Met de opkomst van kunstmatige intelligentie (AI) kunnen deze aanvallen nu nog gerichter en efficiënter worden uitgevoerd, waardoor ze nauwelijks meer van legitiem verkeer te onderscheiden zijn.
Hiervoor waarschuwt Darktrace. ClickFix is een social engineering-tactiek waarbij een foutmelding of routinematig verificatieproces wordt nagebootst. Sinds 2024 wordt deze techniek gebruikt door een breed scala aan cybercriminelen, van individuele aanvallers tot geavanceerde dreigingsgroepen zoals APT28 en MuddyWater, die respectievelijk banden hebben met Rusland en Iran. Het doel van ClickFix is om toegang te krijgen tot netwerken van organisaties en gegevens te stelen. ClickFix wordt gebruikt bij aanvallen op diverse sectoren, waaronder de gezondheidszorg, horeca, de auto-industrie en de overheid.
Ondanks dat ClickFix geen nieuwe techniek is wordt het nog altijd veelvuldig ingezet, wat volgens Darktrace suggereert dat het nog altijd zeer effectief is. Met een toenemend aantal AI-tools tot hun beschikking, hebben cybercriminelen de mogelijkheid om hun aanvallen nog efficiënter te maken.
Meest kwetsbare toegangspunt tot het netwerk
Eindgebruikers blijven het meest kwetsbare toegangspunt tot het netwerk van een organisatie. ClickFix-baiting is een vorm van uitbuiting van de eindgebruiker. Via een malafide link in een e-mail of malvertisement op gecompromitteerde legitieme websites worden gebruikers doorverwezen naar een kwaadaardige URL. Op deze site wordt de gebruiker vervolgens gevraagd om een verificatiestap te voltooien, een apparaat te registreren of een niet-bestaand probleem op te lossen, zoals een fout in de weergave van de webpagina. Wanneer de gebruiker deze stappen volgt, worden schadelijke PowerShell-opdrachten uitgevoerd en malware gedownload. PowerShell is een opdrachtregelshell die gebruikt wordt om taken en systeembeheer te automatiseren. Uit verder onderzoek blijkt dat deze malware naast het verzamelen van gegevens ook code bevat die bedoeld is om externe services te ontdekken en compromitteren.
ClickFix-baiting is een veelgebruikte tactiek waarbij aanvallers menselijke fouten misbruiken om beveiligingsmaatregelen te omzeilen. Door gebruikers te misleiden tot het uitvoeren van schijnbaar onschadelijke, alledaagse handelingen, krijgen aanvallers toegang tot systemen en gevoelige gegevens en kunnen ze deze stelen.
Meerlaagse beveiliging
Om zich te verdedigen tegen dreigingen zoals ClickFix, moeten organisaties verschillende stappen nemen die verder gaan dan basisbeveiliging. Dat begint met het trainen van medewerkers om dit soort tactieken te herkennen, niet alleen traditionele phishing, maar ook nieuwere social engineering-methoden die gebruikmaken van routinematige gebruikersacties. Daarnaast is een diepgaande verdedigingsaanpak belangrijk, met onafhankelijke beveiligingslagen voor endpoints, netwerken en de cloud. Netwerksegmentatie kan helpen de beweging te beperken als een aanvaller binnenkomt. Identiteits- en toegangscontrole moeten aanwezig zijn om de blootstelling te beperken. Verder zijn e-mail- en webfiltering nuttig om initiële lokmiddelen te blokkeren. Logging en monitoring zijn belangrijk om ongebruikelijk gedrag te detecteren. Als laatste is een incidentresponsplan essentieel, want wanneer aanvallen toch slagen, is responstijd van levensbelang.
Meer over Darktrace
Over Wouter Hoeffnagel
