Spamfiltering en social engineering preventie

 E-mail is een belangrijke ingang voor cybercriminelen tot bedrijfsnetwerken of het uitvoeren van online oplichting. E-mail is veelgebruikt, alomtegenwoordig en lang niet altijd goed beveiligd. Veel medewerkers bij organisaties komen om in de e-mails. Afstemming met collega’s, uitnodigingen voor vergaderingen, hele notulen, nieuwsbrieven, automatische berichten van verschillende gebruikte applicaties, herinneringen voor uit te voeren taken, noem maar op, de mailbox loopt al snel over. “Even snel de e-mail wegwerken” ligt dan op de loer. Door de haast, wordt niet ieder mailtje aan een kritische blik onderworpen; Is deze boodschap op dit moment logisch? Ken ik de afzender? Is dat wel het juiste e-mailadres van de afzender? Wat een vreemde afsluiting staat er onder dit bericht! Waar leidt die link in de e-mail naartoe? 

Met awareness training en het uitvoeren van phishing simulaties maken we medewerkers bewust van de gevaren en leren we ze waar op te letten. Echter kan de factor “tijdsdruk” de geleerde lessen altijd (tijdelijk) teniet doen. Tevens toont onderzoek aan dat de effecten van bijvoorbeeld een phishingsimulatie na enkele maanden wegebben. Een cultuuromslag en duidelijke werkafspraken kunnen risico’s wellicht verkleinen, maar het is ook van belang dat er technische maatregelen worden genomen om de kans dat een oplichtingspoging een medewerker bereikt te minimaliseren. 

Het meest ingezette middel hiertegen is het klassieke ‘spamfilter’. Deze filters werken vaak op basis van een statistisch model. De bekendste variant is ‘Bayesiaanse filtering’. Deze filters zijn getraind op een verzameling aan ‘spam’ e-mails en legitieme e-mail om zodoende bepaalde zinnen en woorden te herkennen die statistisch gezien vaker voorkomen in spam, dan in ‘ham’ (een benaming voor alle e-mail die niet tot spam wordt gerekend). Het filter heeft de potentie om over tijd beter te worden door te leren van de daadwerkelijk geïdentificeerde (en gemiste) e-mail, bijvoorbeeld door handmatige feedback van de gebruikers. 

Op grotere schaal, bijvoorbeeld bij internet en e-mailproviders kan ook worden gekeken naar e-mail met een gelijksoortige inhoud die vanuit verschillende afzenders afkomstig is. Waarschijnlijk een van de redenen waarom populaire diensten als Outlook en Gmail zoveel legitieme mail als spam aanmerken (de zogenaamde false positives).

Als organisatie zijn zowel de belangen van het weren van spam, alsook de middelen om dat te doen groter. Met een eigen maildienst/mailserver, eventueel aangevuld met een extern spamfilter, kan veel specifieker worden ingesteld wat voor e-mail moet worden geweerd. Denk daarbij aan het standaard weren van ‘nieuwsbrieven’ naar alle medewerkers, met een lijst toegestane uitzonderingen. Of de aanwezigheid van bepaalde soorten informatie (persoonsgegevens, creditcardnummers, etc) die aanleiding geven om de e-mail eerst te laten controleren door een expert.

Daarnaast passen spamfilters vaak ook technische regels toe. Iedereen die een domeinnaam bezit, kan via het Sender Policy Framework door middel van het toevoegen van een DNS record aangeven vanaf welke IP adressen e-mail mag worden verstuurd en suggereert een actie om uit te voeren als de daadwerkelijke afzender niet toegestaan is. De ontvanger kan hierin meegaan en na controle besluiten om de e-mail te weren, maar kan er ook voor kiezen deze alsnog in de mailbox van de medewerker te laten landen. 

Al deze verschillende filters worden vaak uitgevoerd door een enkele oplossing. Maakt je organisatie gebruik van Microsoft 365? Dan beschikt de mailserver zelf al over de nodige spamfilters die worden toegepast voordat de e-mail wordt afgeleverd. Maar het is ook prima mogelijk om een aparte spamfilter toe te passen, voordat de e-mail de mailserver (in dit geval die van Microsoft) bereikt. E-mail wordt in zo’n geval afgeleverd op het spamfilter, die na controle de mail doorstuurt naar de mailserver (of niet, in geval er spam is gedetecteerd). E-mail die niet wordt toegelaten komt vaak terecht in een ‘quarantaine omgeving’ waar de beheerder of de gebruiker de e-mail kan inspecteren en alsnog kan vrijgeven. 

Er zijn verschillende argumenten aan te voeren of het spamfilter van Microsoft 365 voldoet, of dat je toch een aparte dienst hiervoor wilt inzetten. Hoe goed scoren de filters op het herkennen van spam? En hoe vaak is er sprake van (vervelende) false positives? Welke mogelijkheden biedt een filter om organisatiespecifieke regels op te stellen? Hoe eenvoudig is het beheer uit te voeren, of kan dit worden uitbesteed? In hoeverre wordt het risico vergroot dat e-mail überhaupt aankomt? Een spamfilter dat offline is, zal de mailstroom mogelijk ook onderbreken. En dan komt er vaak ook nog een aardig kostenaspect bij kijken. 

Vergis je niet, e-mail is een oud en eenvoudig protocol, maar spamfilters zijn behoorlijk complexe apparaten die vaak complexe hiërarchische structuren van regels kennen om e-mail mee te beoordelen. De ervaring leert dat juist door die complexiteit ook veel potentieel onbenut blijft. Verder is het stapelen van spamfilters, wat in theorie mogelijk is, niet altijd een goed idee, omdat de tussenliggende schakels ervoor zorgen dat met name de technische controles niet over de juiste gegevens kunnen beschikken. Hierdoor wordt het nog lastiger om de juiste checks op de juiste plaats in de keten in te schakelen (om false negatives te voorkomen) of juist uit te schakelen om false positives te voorkomen. 

Een alternatieve methode om toch aanvullende diensten in te kunnen zetten om de bescherming tegen bijvoorbeeld social engineering aanvallen op te voeren, is gebruik te maken van oplossingen die niet in de mailstroom geplaatst hoeven te worden, maar die werken op basis van de application programming interface (API) van de ontvangende mailserver. Kijken we wederom naar Microsoft 365, dan kan hier de Graph API voor worden gebruikt. Bij het ontvangen van een e-mail wordt een signaal naar de dienst gezonden, die de mail (of relevante details daarvan) kan opvragen om aan verschillende checks te onderwerpen. Onze eigen ‘Social Engineering Protection voor E-mail’ service gebruikt deze methodiek om bekende trucs voor geloofwaardige oplichting, zoals impersonatie of (cousin) domein spoofing, op te sporen. 

Belangrijk daarbij is de hoeveelheid informatie die verwerkt wordt door een dergelijke dienst te beperken. We hebben het immers over bedrijfs e-mail, waaronder vaak vertrouwelijke stukken. Het grote voordeel van een dergelijke werkwijze, is dat toegang tot de koppeling, en daarmee de extra controle, met 1 druk op de knop kan worden uitgeschakeld vanuit de eigenaar van de e-mail. Zonder dat de e-mailstroom hier verder hinder van ondervindt. Iets dat ondenkbaar is bij een traditionele (spam)filter die in de e-mailstroom geplaatst wordt. 

Betekent dit dat alle filtering zo plaats kan vinden? In principe niet! De mail wordt in de mailbox ontvangen alvorens de checks worden uitgevoerd. Hoewel dit allemaal vrij snel plaatsvindt, bestaat er een kans (bij het haperen van een dienst, of in geval van grote volumes) dat een e-mail al geopend is door de ontvanger. Voor geavanceerdere controles, is dit vaak goed genoeg, in de wetenschap dat er al een generieke filteractie heeft plaatsgevonden. Voor meer basale checks, bijvoorbeeld op een Sender Policy Framework, of door gebruik te maken van zogenaamde IP- of domein blacklists, is een dergelijke vertraging onacceptabel, daar het de mogelijkheid opent om de mailbox met spam te overspoelen. 

Tot slot, zijn we bij StackSecure van mening dat je voor de inrichting van een (aanvullende) mailfilter, die poging tot social engineering op moet sporen zonder daarbij een waslijst aan false positives te genereren, niet alleen heel goed de technische mogelijkheden en werking moet kennen, maar ook kennis moet nemen van de opzet en werkwijze van de betreffende organisatie. Wil je meer weten wat ons advies in uw situatie is, of over hoe we dit zelf aanpakken? Neem dan gerust contact op!