5 OKT, 2016 • Actueel
Hoeveel gaten laat úw bedrijf vallen? De 9 wegen van de cybercrimineel
Opnieuw relevant Pas op voor cybercriminelen! Ze vormen een steeds grotere bedreiging voor de digitale veiligheid in Nederland. Maar wat kunt ú daar nou aan doen? Daarom wordt ieder jaar de campagne Alert Online gehouden. Negen manieren waarop de cyberboef nu nog via de digitale achterdeur binnenkomt:
1. Slordige werknemers
Een jaar of tien geleden had het ministerie van Defensie een probleem. Medewerkers laadden gegevens op USB-sticks om elders verder te werken. In een paar jaar tijd raakten medewerkers zeker vijf USB-sticks met vertrouwelijk informatie kwijt. De frequentie was zo hoog dat de Tweede Kamer vragen stelde. Daaruit bleek ook dat er geen plicht was om gegevens te versleutelen. En denk niet dat het alleen om ‘voetvolk’ ging. Ook een medewerker van de militaire inlichtingendienst moest bekennen dat hij een stick kwijt was.
‘Het is niet erg hightech’, zegt Santiago Pontiroli, security researcher van Kaspersky, ‘maar de reply-to-all-knop is zeker een risico.’ En een andere is slordige mailadressering. Zo komt een mail waarvan je zeker weet dat hij is verstuurd bij de verkeerde terecht. En die gaat daar niet altijd discreet mee om te. ‘Werknemers moeten alleen toegang kunnen krijgen tot de gegevens die ze nodig hebben. Dat hoort in protocollen en workflows vast te liggen’.
2. Verkeerde zuinigheid
Beveiligen is duur. Goed beveiligen helemaal. Er is software voor nodig, maar ook menskracht die de ontwikkelingen in de gaten houdt. Bedrijven die erg afhankelijk zijn van ict, hebben steeds vaker een chief information officer. Die is ook verantwoordelijk voor het beveiligingssysteem.
Veel bedrijven vinden het moeilijk hun belang bij goede beveiliging te zien. Bij ons valt niets te halen, klinkt het dan. Waarom moeten we er dan zoveel tijd en geld in investeren? Maar hackers kunnen met de gegevens uit de ene server heel veel kwaad doen bij anderen. Denk aan namen, adressen, rekeningnummers en aankopen van klanten. Die gegevens kunnen worden gebuikt om onder een valse naam artikelen te bestellen (en die na aflevering niet te betalen) of voor allerlei bankzaken. Veel hacks zijn mogelijk dankzij slechte en verouderde software.
Volgens Santiago Ponteroli (Kaspersky) wordt vaak vergeten communicatie te versleutelen. En als het wél wordt gedaan, worden externe opslagmedia niet meegenomen. ‘Via die externe media kunnen hackers snel een glimp opvangen van het reilen en zeilen van een bedrijf.’
3. Chantage
Met zogenoemde DDoS-aanval kunnen criminelen het internetverkeer van en naar een website helemaal plat legen. Ze sturen zoveel verkeer naar de site, dat de toegang verstopt raakt. Soms is de aanval een afleidingsmanoeuvre om via een achterdeurtje naar binnen te glippen. Maar er zijn er ook die een DDoS-aanval gebruiken als dreigmiddel (chantage). In augustus werden Nederlandse banken getroffen door een grootschalige aanval, waarschijnlijk om ze te chanteren.
Schadelijk is ook het op slot zetten van een computer doordat de gebruiker van de pc op valse pagina’s of nep-advertenties klikt. Daarmee wordt dan een programma geladen dat de computer op slot zet. De criminelen gokken er op dat mensen makkelijk klikken op buttons, vooral als ze naar de site geleid zijn via een bevriende dienst of persoon (zie ook Grooming). Zodra een fiks bedrag is overgemaakt, beloven criminelen de blokkade op te heffen. Maar dat kan de geïnfecteerde wel op zijn buik schrijven. De politie heeft een speciale website met oplossingen voor deze blokkade. Oplossing: alt-F4 om pop-ups te sluiten, de pagina-terug-pijl om een website te verlaten.
4. Bring your own device
Lekker makkelijk, apparatuur van het werk gebruiken voor thuis en andersom. Vooral mobiele telefoons en tablets worden zowel voor werk als privé gebruikt, maar er wordt natuurlijk ook vaak werk verricht op de pc thuis. Werknemers vinden het makkelijk, werkgevers vaak ook. Daar zit wel een risico aan. Doorgaans heeft een bedrijf dan weinig controle over de beveiliging. Is er wel een goede beveiliging? Worden alle updates trouw geïnstalleerd?
Bij mobiele telefoons is er een ander probleem: de onbetrouwbaarheid van de software. Apps kunnen van alles bijhouden over de communicatie, vertrouwelijkheid is niet per se gegarandeerd. Daarnaast brengen veel mobiele software ontwikkelaars nog niet uitontwikkelde bèta-versies in de verkoop om zo snel mogelijk in te spelen op nieuwe trends. Daar zitten nog fouten en beveiligingslekken in. Onlangs ontdekten Amerikaanse onderzoekers dat duizenden apps voor Android-apparaten lek zijn, zoals apps van Facebook, LinkedIn en Amazon Web Services.
5. Het slechte kamermeisje
De methode van het slechte kamermeisje (evil maid) is gebaseerd op het principe dat kwaadwillenden meermalen bij een computer kunnen. Ze kunnen zo software laden om in te breken op een op zich goed beveiligde computer. Ook een versleutelde computer heeft een onbeveiligd deel dat nodig is om de pc op te starten. Het ‘kamermeisje’ plaatst via een hackprogramma op een USB-stick een programmaatje op de pc dat ervoor moet zorgen dat deze niet meer goed afsluit. De persoon die daarna de computer start, merkt daar niets van. De tweede keer komt het ‘kamermeisje’ dan via een open achterdeur in de pc en is het een koud kunstje om via die ingang in de server te komen. En dan is het een kwestie van kopiëren maar.
6. Grooming
‘Goedemorgen, er zijn wat problemen met het systeem. Volgens mij werkt je pc niet naar behoren. Daar willen we even naar kijken. Kun je je inlognaam en wachtwoord even reply-en? Groet, afdeling ict.’ Met amicale mailtjes proberen criminelen toegang te krijgen tot een systeem. Ze gaan er niet onterecht van uit dat mensen welwillend reageren op een vriendelijke mail van een collega. Ook opgewekte aansporingen om nieuwe foto’s te bekijken op Facebook zijn veel gebruikte manieren om aandacht te krijgen van mogelijke slachtoffers.
Vaak is het genoeg om naar het mailadres van de afzender te kijken. Negen van de tien keer is dat helemaal niet bekend. In geval van twijfel: niet reply-en. Wél even contact opnemen met de betreffende collega of afdeling. Overigens wil de ict-afdeling het ook vaak wel weten als het overduidelijk een valse mail is: ict is dan gewaarschuwd dat er is geprobeerd aan te vallen.
7. Laks omgaan met beveiliging
Beveiliging is iets waarvan iedereen weet dat het moet, maar waar vrijwel niemand zin in heeft. Wachtwoorden moeten om de paar maanden vervangen worden. Maar als je een lekker wachtwoord hebt, is het vervelend om weer een nieuwe te verzinnen en te onthouden. En ze moeten ook een beetje ingewikkeld zijn. De reeks Jan01, Jan02, Jan03 is door een beetje hacker wel te bedenken.
Een team hackers van techsite The Tech Herald wist in 2012 in vijf uur 81 duizend beveiligde wachtwoorden te decoderen na een cyberinbraak. Binnen een seconde waren accounts met logische wachtwoorden als 123456, 11111111 en 123qwe al gekraakt. Het team gebruikte een speciaal programma (The Tech Herald benadrukte dat het legaal verkrijgbaar is), standaardlijsten, waaronder digitale versies van woordenboeken, en een gewone pc. ‘Wel vet dat iemand die bij de Nationaal Coördinator Terrorismebestrijding werkt gewoon 0000 als wachtwoord gebruikt’, tweette technologie-goeroe Alexander Klöpping.
Beveiliging is ook voorzichtig omgaan met relatiegeschenken. USB-sticks zijn handig, maar er kan ook spionage software op zitten. Uit angst voor bedrijfsspionage verplicht een Duits bedrijf medewerkers die naar China gaan een digitaal schone laptop en telefoon mee te nemen. Thuis moeten ze de apparatuur weer helemaal opschonen. Een beetje cru misschien, maar wel zeker.
8. Sniffing
Stel, er is een technologiebedrijf dat het waard is om bespioneerd te worden. Door het mailverkeer af te luisteren (deze methode komt vaak voor in combinatie met andere hacks om toegang te krijgen tot het systeem), kunnen concurrenten afleiden waar het bedrijf mee bezig is. En misschien ook wel waar belangrijke ontwerpen en testresultaten zijn opgeborgen, wie er voor verantwoordelijk is (zie ook Grooming) en wat de toegangscodes zijn. In feite is het afluisteren van de NSA een vorm van sniffing.
9. (Spear)phishing
Phishing is het met mails uitlokken dat medewerkers wachtwoorden geven. Vaak wordt één mail aan veel mensen en meerdere bedrijven gestuurd. Criminelen gooien zo ‘een hengel’ uit en kijken welke vis bijt. Spear phishing (Speervissen) is het heel gericht proberen te hacken van een computersysteem van een specifiek bedrijf. Bijvoorbeeld voor spionagedoeleinden of om met de gegevens van het klantenbestand geld te verdienen. Cybercriminelen proberen dan alle methoden die ze kunnen bedenken. Staten die de eigen industrie een kontje willen geven, doen ook aan spear phishing. En behoorlijk kapitaalkrachtige cybercrimesyndicaten.
Een goede methode om het risico te verkleinen dat je gegevens verliest, is volgens Santiago Pontiroli (computerbeveiliger Kaspersky) duidelijk aangeven welke informatie door wie gebruikt mag worden en waar deze opgeslagen is. Dat gebeurt volgens hem veel te weinig. Vitale en geheime informatie die nauwelijks via de digitale weg te bereiken is, is het veiligst. Over opslaan in de ‘cloud’, is Pontiroli niet erg positief: ‘Het opslaan van informatie in de cloud wordt een zelf uitgevoerde hack als we niet oppassen. Een bedrijf moet een helder beleid hebben welke informatie wel bij derden opgeslagen mag worden en welke in eigen bezit moet blijven.’
Campagne Alert Online
De jaarlijkse campagne Alert Online vindt dit jaar plaats van 3 tot en met 14 oktober. Doel is Nederland bewuster te maken van de noodzaak van cybersecurity. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad. Overheid, bedrijfsleven en wetenschap organiseren eigen activiteiten. Thema van de campagne dit jaar is Cyber Skills.
Handig: de wekelijkse Forum-alert
Handig: de wekelijkse Forum-alert