Ever thought to outsmart phishing exercises and have Microsoft Outlook alerting you for phishing, upfront?
You can.
In short
Set a mail rule that
inspects the mail headers for X-PHISH and/or PHISHINGTEST tags…
Moves the incoming mail to a folder
Optionally flag the mail or set a category
Steps
Create a mail rule
Step 1: Select condition
Set : “specific words in the message header”
Set the tags
X-PHISH
PHISHTEST
There might be some variations on these tags.
Additionally, if you know phishing test mails are sent from specific domains… add the domain/mail server
Step 2: move it to specified folder in your mailbox
Other options
Some other ideas: set mail alerts or use Power Automate to alert you… (but that’s for another article)
Disclaimer
Obviously it only works for these specific mail header tags, if phishing tests use different headers or other approach, you’ll need to adapt. Don’t take this solution for granted.
And worse, the real stuff… is still out there attacking you.
Stay alert, don’t click on mails and links you don’t expect!
Advanced
While you never should click on any suspicious mail, suspicious links or links in these mails… it still might be a good exercise and learning item to inspect the mail header info.
Look for anomalies in
mail sender name and published address mismatch with mailbox listed
sender vs reply-to mismatch
mail server mismatch with originating server
mail domain mismatch with originating domain
Advisory – Best practice
If you suspect a mail to be the real thing, actual phishing, better report the mail as spam and forward it to your local CERT or local cybersecurity authority for analysis (and domain URL blocking)…
And message your security team they failed the phishing test 😉
Early last year ISO updated the ISO27002 to version 2022, putting the previous version to rest after almost 10 years.
The ISO27002:2022, “Information security, cybersecurity and privacy protection — Information security controls”; This document provides a set of guidelines for generic information security controls. And in fact, it’s the foundation of the ISO27001 Annex (remember the annex is derived from the ISO27002).
The ISO27001:2022, published in october 2022, is a new land mark for information security and governance best practices and basics.
With the launch, there has been a lot of articles explaining what changed.
In numbers we went from 114 controls to 93, which looks like a compression but there are also 11 new controls added.
I explained this situation in an article I wrote early last year in #PECB Insights Magazine: here is the link
Most important : section “New controls in ISO/IEC 27002:2022”:
New as in, new named controls in ISO27002 version 2022… with explicit requirements. But if you look into them, you’ll discover you can perfectly fit them in the existing ISO27001:2013 version to protect your environment.
And you should have them implemented already a long time ago.
They are not new to protect your current environment against the current cyber threats.
But how do you map these new ISO27002/ISO27001:2022 controls in the existing 2013 implementation?
The quick and dirty overview
A bit more details
A bit more explanation needed, check this XLS Spread Sheet.
For the hardcore perfectionistas: yes, the ISO27002 does update and change some the security controls, to be more modern.
Also the structural approach in the ISO27002 is now PPT, correction PPPT: Physical, People, Process and Technology (logical security tools).
But more important, major changes are actually present in the ISO27001 management clauses, not really in the ISO27002 (considering a reshuffle). The most important update on the level of governance, compliance and audit DOES contain some important updates.
And it will be more result based, related to risk.
Do you want to know what has changed significantly, in de management processes, have a look at the presentation I hosted with PECB:
So, there is some work to do, moving from ISO27001:2013 to ISO27001:2022…
But make your life easy, fix the ISMS implementation now, update your SoA using the ISO27002 translation tables. Watch out for the extra requirements in ISO27001 (As Koenraad Béroudiaux rightfully mentions on LinkedIn: check clause 4.4 and 8.1).
More info in the webinar.
Get ready!
It’s not perfect, send your feedback.
If you got improvement suggestions, let me know.
We can always make it better, together.
I’ll update the blog post and files with constructive suggestions.
Need more?
If you are curious about the topics below, let me know.
personal use spreadsheet for SoA mapping 2022 and 2013 version
personal use spreadsheet ISO27002:2022 categories to keep using the ISO27001, the same way you did before (organizing your ISMS with 14 business functions like management, HR, CISO, dev, legal, operations, …)
You know were to find me here on LinkedIn, here on Twitter, by mail, or direct messaging via Signal and other.
When you have smart devices at home, like smart TVs, you might notice that they are bypassing your internal DNS server, by using public internet DNS (like Google DNS).
And if you use a DNS black hole server like PI-Hole, to protect your network against adware, malware, phishing this is not a healthy situation, as these smart devices bypass your security.
Originally, I tried to implement the solution proposed and documented by Scott Helme.
But I ended up with DNS lockdown (and killing my entire internet connection, due to blockage of DNS.)
The solution documented by “Fiction becomes Fact” on this page, did the trick.
Apparently, since the 2018 version, some configuration items like the folder locations have changed…
Important: carefully verify the site folder location mentioned in the posts, to upload the config file. It has changed in newer Ubiquity versions. (Currently : unifi/unifi/data/sites/default/)
Older articles might point to wrong folders (I suppose it has recently changed with new versions of Ubiquiti…)
Just a few more important attention points:
in the newer version (dd oct 2022) of the Ubiquity interface, it looks like the topology does not support upload of maps anymore… so you can’t auto-create the site folder… (to be confirmed). You need to create the folders manually. And set the owner/group permission of the folders and config file yourself.
explicitly verify the owner settings of the newly created folders too
You can of course, apply this approach to other security solutions.
In essence:
all DNS traffic through your firewall must come from your (PiHole) DNS server
DNS traffic from any other device is redirected to the DNS server
DNS server logs and manages and filters (blocks/allow) the DNS requests
If you’re in my community and professional network you must have witnessed a wave of Microsoft MVP #mvpbuzz announcements and notifications, early july on the various social media, Twitter, LinkedIN, blogs… a bit later than usual this year.
I was part of it, but due to personal reasons and summer vacation early July, I only had time till now to process it…
Certainly this year is a special year for me, a lot of things have changed professionally. And when another special award disk dropped in the mail box just a few days ago, I can proudly announce that I’m honored to be awarded the Microsoft MVP award for the 10th time. You work hard for it, hope for it, but never know if you have met the tough expectations.
[If you want to know more about the Microsoft MVP award, check this page on the MVP site. It’s a reward for a select expert community with great passion for Microsoft technologies, for all community efforts for last year.]
Honestly, it’s not about these white and blue glass disks, but appreciation for the passion and effort in the Microsoft community, to be recognized for the passion in Microsoft Security, more specifically Identity & Access.
And I certainly welcome the program change where the group of MVP “Enterprise Mobility” now moved to MVP Security, which aligns better with reality, what I stand for.
But I could never have achieved this with the great help and support of you, my audience. So want to thank you, more than 10x for this.
Deze week is er een aanpassing van het Belgische Wetboek uitgevoerd, die het eindelijk mogelijk maakt om via email kennisgeving te doen… zodat je via elektronische mail rechtsgeldige verzending zou moeten kunnen doen. Zou…
Want het is misschien wel een grote stap vooruit in de rechtsspraak… maar waarom zou je de tegenpartij moedwillig in de kaart willen spelen? In het ergste geval zou je dus ZELF het bewijs gaan leveren aan de tegenpartij…
‘Als blijkt dat u de mail gelezen heeft, door te antwoorden of via een leesbevestiging, dan is de kennisgeving sowieso geldig gebeurd.’ Het voorgaande impliceert dat e-mailgebruikers maar beter voorzichtig met leesbevestigingen omspringen. Zonder leesbevestiging of antwoord is het nog altijd aan de verzender om te bewijzen dat de ontvanger de mail wel degelijk ontvangen of gelezen heeft.
Maar hoe schakel je die ontvangstbevestiging van mail nu uit?
Voor enkele van de meest gebruikte mail programma’s geef ik je alvast de nodige stappen mee. Voor alle duidelijkheid, veel van die stappen vind je al op ‘t internet, dus voor enkele programma’s geef ik wat pointers naar goeie artikels… kwestie van de mail niet opnieuw uit te vinden.
Mogelijk voeg ik er later nog wat extra mail programma’s toe aan het lijstje.. maar hier kan je al mee starten. Kijk maar even of je favoriete mail client er tussen zit… En anders nog wat opties helemaal achteraan dit artikel.
Disclaimer: ik heb zelf niet altijd de Nederlandstalige versie van de gebruikersomgeving, dus sommige referenties gebruiken Engelse termen, maar je komt er zo ook wel.
Ik heb de volgende mail clients alvast opgelijst
Windows Mail app (Win10/11)
Outlook.com (web)
Microsoft 365 / Office 365 Outlook web
Microsoft 365 / Office 365 Outlook client
Outlook for Mobile Devices (Android)
Apple
GMail
Windows Mail app (Win 10)
Geen probleem, want er zijn geen opties in de Windows Mail app. Dus als je opties wil, moet je een andere mail client zoeken, deze is te eenvoudig.
Outlook.com (web)
Zelf leesbevestiging vragen?
Njet, de Outlook.com web mail heeft die optie niet. (Wel via de Outlook voor Windows)
Login op je mailbox (je moet onderstaande herhalen als je meerdere maiboxen hebt)
Kies Settings/Instellingen (View All Settings)
Kies General/Algemeen > Mobile Devices
Kies Don’t send read receipts for messages read on devices that use Exchange ActiveSync.
Apple
Houd er rekening mee dat de meeste instellingen voor het lezen van e-mails zich op het niveau van de e-mailtoepassing bevinden… het hangt er dus van af welke e-mailapp u op uw apparaat gebruikt.
Geen opties voor ontvangstbevestiging bij verzenden of ontvangen. [Opmerking, ik heb ze alvast niet gevonden, … als ze er zijn, laat gerust iets weten.]
Vakantie is de ideale tijd om even bij te lezen… dus ik heb van de gelegenheid gebruik gemaakt om 2 nieuwe, versgepubliceerde boeken onder handen te nemen. 1 boek van onderzoeksjournalist Tim Verheyden en een boek van fact-checker Maarten Schenk.
Beide gaan over desinformatie en fake news…een vakgebied dat op ‘t eerste zicht niks te maken heeft met privacy, data protection of cybersecurity…
Hoewel het minder relevant is voor cyber-security, is het na 2 jaar corona-pandemie anders wel heel erg duidelijk hoe desinformatie en manipulatie van de publieke opinie een belangrijke rol heeft gespeeld in het verloop van de pandemie…
Maar als je even wat verder kijkt en beseft dat recente wereldconflicten en grote politieke evenementen tegenwoordig allemaal vooraf gegaan worden door grote cyberaanvallen en massieve internet-propaganda campagnes, wordt het snel duidelijk dat desinformatie en fake news daar integraal een onderdeel van zijn.
Maar desinformatie is geen recent fenomeen. Dat is in de voorgaande wereld-oorlogen ook steeds toegepast of zelfs in recente oorlogsgeschiedenis,… kijk maar waar zogezegde atoomdreiging in het Midden-Oosten toe geleid heeft…
Alleen, door internet zijn de proporties en de mogelijkheden enorm toegenomen om beïnvloeding en manipulatie toe te passen. En het feit dat we zowat alles vanop afstand regelen, en nauwelijks nog direct contact met mekaar hebben… (en zeker niet tijdens corona), maakt desinformatie alleen maar makkelijker.
En dit heeft een grote impact op respect voor mekaar, begrip voor mekaar, tolerantie, rekenschap/aansprakelijkheid, vrijheid van spreken, … heel wat grenzen vervagen.
En dat is wat de boeken van Tim Verheyden en Maarten Schenk mooi uit de doeken doen, op een goed leesbare manier. (Maar ik garandeer je dat je op ‘t einde met een hoop nieuwe vragen achter blijft…)
2 boeken
Het is erg nuttig om beide boeken na elkaar te lezen…
Start eerst met het boek van Tim Verheyden: “Het had waar kunnen zijn”.
De reden is simpel, op het einde van zijn boek verwijst Tim naar het tweede boek: “De fake news files” van Maarten Schenk (Subtitel : “De onthullingen van een bullshit detective“).
Beide boeken bespreken een heel aantal real-life cases en verwijzen naar een shitload van andere lectuur, boeken, papers, websites en ander referentie materiaal. Het boek van Tim Verheyden vermeldt niet duidelijk de bronnen. Dat is erg jammer, want het is vaak erg handig om eens te gaan kijken naar de inhoud en de kernpunten van het verhaal.
[Dit is alvast een oproep aan Tim Verheyden om, net zoals Maarten Schenk, een bronnenlijst te publiceren, zodat je zelf wat verder op zoek kan gaan naar de achtergrond van hun verhalen.
Tim is een uitstekende onderzoeksjournalist, dus die lijst heeft ie al. Daar ben ik zeker van.]
“Het had waar kunnen zijn”
Tim Verheyden toont aan, met ondersteuning van een aantal experts zoals Nathalie Van Raemdonck, Siri Beerends, Rien Emmery, Maarten Schenk, … hoe erg desinformatie en fake news ons dagelijks leven beïnvloedt.
Het pakt echt bij de adem als je erbij stilstaat hoe ver het gaat. Maar vergis je niet, zoals ik al eerder zei, dit is geen recent probleem. Desinformatie, propaganda en fake news is zo oud als de mensheid. Dus het is erg moeilijk uit te roeien, net zoals roddels is het een onderdeel van menselijk gedrag.
Het is door internet en de overvloed van informatie, alleen maar moeilijker geworden om feiten en fictie uit elkaar te houden.
De conclusie van Tim is duidelijk, we moeten back to the basics van persoonlijke communicatie, zeker na de corona periode.
“Durf bullshit te benoemen, meer dan ooit. Maar laten we vooral weer met elkaar praten”
(Tim Verheyden)
Bovendien zijn we de laatste decennia heel erg gewoon geraakt aan een stabiele, bijna risicoloze wereld. En Corona en de Russisch-Oekrainse oorlog heeft dat beeld ernstig verstoord.
“De fake news files”
Terwijl Tim Verheyden als onderzoeksjournalist, desinformatie, fake news en propaganda eerder bekijkt vanuit het recente wereldnieuws, bekijkt Maarten Schenk het onderwerp eerder vanuit een technische hoek.
Dit is op het eerste zicht een totaal andere aanpak… Maar het wordt snel duidelijk dat de 2 boeken heel erg op elkaar aansluiten. En het boek van Maarten Schenk brengt heel wat verheldering op het boek van Tim Verheyden.
Daarnaast verwijzen ze allebei naar herkenbare verhalen, die we allemaal wel al ergens in ‘t nieuws gezien hebben, of op internet of op social media…
Maarten maakt duidelijk dat voor heel wat mensen de desinformatie een essentieel onderdeel van hun identiteit geworden is en dat elk redelijke discussie of bewijsmateriaal van het tegendeel dan onmogelijk is omdat het een persoonlijke belediging wordt, die op hun persoon gericht is.
Maar deze gedachtengang kan, net zoals het corona virus, erg aanstekelijk zijn… En je kan door continue factchecking wel een soort vaccinatie opzetten, die de impact besmetting kan indammen… maar het is werk van lange adem.
En je moet er continue aan blijven werken want er komen elke dag nieuwe fabeltjes bij.
Extra info – Het had waar kunnen zijn (Tim Verheyden)
Maarten Schenk heeft de meeste van zijn bronnen en referenties uit het boek verzameld op onderstaande link, wat het erg handig maakt om dit verder door te nemen…
https://decheckers.be/ : “Een non-profitorganisatie die het publieke debat wil voeden met feiten en nieuwsgeletterdheid stimuleren. deCheckers werkt samen met journalisten van Knack, VRT NWS en Factcheck.Vlaanderen.“
CIS (Center for Internet Security) has published an interesting guide on software supply chain security.
Even if you do not build software on your own, it still is useful to to pick the relevant security measures/controls as part of your information security management to protect yourself and your enterprise.
As we all learned from the log4j issue which impacted many generally used platforms, it has become very clear that you need to look beyond the first level of control (your own)…
It’s critical to manage 2nd (your suppliers) and even third level (suppliers of suppliers)
Highlights
In high level overview, the document discusses:
Source code
Code changes
Repository management
Contribution access
Third party
Code risks
Build pipelines
Build environment
Build worker
Pipeline instructions
Dependencies
Third party packages
Validate packages
Artifacts
Verification
Access to artifacts
Package registries
Origin traceability
Deployment
Deployment configuration
Deployment environment
Supply chain guide access (need to register on CIS)
I see more and more phishing exercise fatigue kicking in at my customers…
But it’s more than ever required to be vigilant for new techniques that try to circumvent the typical URL blocking and the other protection layers you put in place.
You’re the best firewall.
What is going on?
You know, these companies that first announce a #phishing test…
which go unnoticed because they are caught by the 𝐬𝐩𝐚𝐦 𝐟𝐢𝐥𝐭𝐞𝐫…
And a few weeks later you get the 𝐫𝐞𝐚𝐥 𝐬𝐭𝐮𝐟𝐟 𝐢𝐧 𝐲𝐨𝐮𝐫 𝐢𝐧𝐛𝐨𝐱 from the same company.
With ridiculous worse quality than the actual test… but still its in the inbox ready to click (DON’T!).
You assume phase 2 of the phishing test…another round, right? (you think: “yeah, right, not me.”).
Because the new mail comes with ridiculous bad quality (⚠️1) than the actual test…
Nowadays you expect smart mails from these criminals…
But still it doesn’t feel OK …you start to realize that this might the real stuff…
Checking for some more phishing indicators (⚠️)
A mail with you in bcc…. (⚠️2)
Addressed to a very strange (New-Zealand) mail address (⚠️3)
with a PDF alike icon image embedded (⚠️4)
via a google drive link (⚠️5)….
SPOILER: I crippled the link mentioned in previous screenshot to avoid any accidents…
SPOILER 2: DO NOT, EVER CLICK these links…
Still, If you can’t control your curiosity, you might peek into the link via alternative methods (see later).
The display of unrelated content, with payment instructions (⚠️6), isn’t really what you would expect.
Because if you even dare to click the links you get another link (⚠️7)… and this time the browser malware detection (Smartscreen filtering) kicks in .. at last… so I’ll stop the curiosity here…
Why is this an issue?
The main issue here is: the phishing links are pointing to well-known (like Google drive, Microsoft OneDrive, Dropbox…) for hosting malware, which usually escape or bypass the malware URL detection…
Security tips
Rule nr 1: Don’t click links in unexpected mails
Curiosity kills the cat: Please withstand the urge to click the links to satisfy your curiosity….
If you don’t expect the mail, be very cautions, don’t click the links.
Control your curiosity: test the links in isolated mode
If you can’t control your curiosity, don’t ever click the links on your main computer.
But copy the link and open it
in a Windows sandbox
virtual machines or test machine… not your production machine
mobile device
Use Windows Sandbox
Since Windows 10 (Pro) you can use Windows Sandbox (free), that is a virtual, isolated environment. So you can test some interesting things without damaging your production host machine.
By stopping the Sandbox, the machine forgets all settings and returns to default state, pristine.
Use Microsoft Hyper-V (free) or Oracle Virtual box (free) and install a client OS in the virtual machine. Snapshot the machine before the test, perform the test, return to snapshot to avoid any left overs of malware.
Run the link on a mobile phone
Less secure, but better than running malware on your most important machine, is running the link on a browser on your mobile device. There is lower risk of infection and less impact than loosing your primary working machine, although… be aware, there is still a small risk of infection even for smartphones…
Additional security measures
To permit some stupidity and protect against accidents, please make sure
to implement all the latest OS security updates, patch on a continuous basis
have an anti-malware and anti-virus that is updated continuously
keep the default OS security features enabled including local system firewall and malware detection
consider a paid antivirus subscription, it’s worth the money and keep it up to date every hour
get a mail protection against malware, tracking, phishing and ransomware (like Windows defender for 365) have regular backups (1 online and 1 offline) and test the restores
use cookie/tracking/advertisement blockers
use a DNS blackhole system to protect your network from accessing suspicious URLs (including tracking and phishing websites, advertisements, C&C Command and control malware domains, …)
You must be logged in to post a comment.