Bloeiende cyber crime industrie: hoe makkelijk is het?

Cybercriminelen krijgen het steeds makkelijker om (financiële) fraude te plegen en informatie te stelen. Het aantal organisaties wat kwetsbaar is voor malware infecties neemt hand over hand toe. Banken en financiële instellingen zijn allang niet meer het specifieke doelwit van criminelen; grote (online) bedrijven, vliegmaatschappijen en overheidsbedrijven als de belastingdienst zijn steeds vaker het slachtoffer. Bij dit soort bedrijven is de beveiliging vaak pico bello in orde: firewalls, preventie- en detectiesystemen en antivirus systemen zijn het resultaat van grote investeringen van de afgelopen tijd. En toch….

Drive-by crime

Al onze beveiligingen, fysiek en elektronisch zijn terecht geïmplementeerd. Banken en financiële bedrijven zijn zelfs verplicht aan een bepaalde mate van beveiliging te voldoen. Door die goede beveiliging zien we nu dat de cybercrimineel zijn aandacht verlegt van het systeem naar de eindgebruikers. Hiervoor gebruiken cybercriminelen het zogenaamde van drive-by downloads die misbruik maken van beveiligingslekken in browsers en besturingssystemen. Hierdoor wordt een code geïntegreerd in bedrijf websites waardoor ze kunnen inbreken. Gebruikers worden misleid en krijgen de indruk dat ze op de legitieme website aangelogd hebben, terwijl alle gegevens die ingevuld worden (bijv. Digi-ID, bankgegevens, BSN nummer), direct bij de cybercrimineel terecht komt.

Cybercriminelen gebruiken hiervoor zgn. ‘malware sets’ waarmee je (bij wijze van spreken) in drie klikken een programma voor dit soort code in elkaar sleutelt. De investering in de (dure) tool kits worden vaak in enkele dagen terugverdiend en meer!

Antivirus software dan?

Bij de meeste van de eindgebruikers, wordt de pc of laptop beschermd door antivirus software. Deze software is ontworpen om te voorkomen dat onbekende en ongewenste software de apparatuur binnendringt. Een leverancier van antivirus software verzamelt doorgaans de ‘samples’ van malware en voorzien die van een filter om een unieke handtekening te genereren en infectie van de computers te voorkomen. Deze handtekening wordt op alle gekoppelde computers geïnstalleerd en zijn vanaf dat moment beschermd tegen infectie van de specifieke malware. Omdat de handtekeningen zo uniek zijn, zal de cybercrimineel manieren bedenken om juist de antivirus software te omzeilen. Of ze wijzigen de malware vaak zodat de antivirus software ze niet opmerkt, maar de misdadige werking van de malware in tact blijft. Vanzelfsprekend test de cybercrimineel zijn malware op de nieuwste versies van de antivirus software.

Eindgebruiker

Bij het verschuiven van een kwaadaardige aanval op de systemen van het bedrijf, is nu de eindgebruiker in het vizier. Immers, toegang krijgen tot een (zwaar) beveiligd systeem / netwerk is moeilijk en complex. Toegang tot het zelfde systeem of netwerk, via de gebruiker is een stuk eenvoudiger. Een voorbeeld uit de praktijk:

Tina van de financiële administratie ontvangt een Excel sheet van een klant die ze kent. Ze herkent het adres van de afzender en de afzender is een bekende van haar. In de begeleidende mail staat een opmerking dat de roodgemaakte vakjes in de sheet niet duidelijk zijn, of onjuist of onvolledig, geef het maar een naam. Tina is erg klantvriendelijk en opent meteen het spreadsheet en herkent de opmaak als een die zij zelf gemaakt zou kunnen hebben. Ze tuurt naar de roodgemaakte vakjes en klikt er een aan om te kijken wat er niet klopt. Ze ziet niets verkeerd en stuurt de afzender een vrolijke mail, dat alle cijfers kloppen.

Tina heeft hogere rechten in het systeem en dus toegang tot de ‘kroonjuwelen’ van het bedrijf. Met het openen van de mail zou al een berichtje naar de cybercrimineel zijn verzonden, zonder dat Tina het doorheeft. Met het openen van de spreadsheet en aanklikken van de roodgemaakte vakjes, activeert zij een ‘softwareagent[1]’ die direct toegang heeft tot de ‘kroonjuwelen’ van het bedrijf. Zonder dat iemand, zelfs niet Tina, er wat van merkt, loopt de informatie weg.

Cybercriminelen laten geen middel ongebruikt om erachter te komen wie de hoge rechten in het bedrijf heeft. Informatie uit sociale media, even bellen met de receptie van het bedrijf of een mail aan het contactadres helpt ze daarbij. Zo vormt zich een beeld van de ‘sleutel personen’ in het bedrijf, de potentiele prooi van de cybercrimineel.

Awareness

Het is belangrijk gebruikers regelmatig te informeren over de ontwikkelingen in de wereld van cybercriminelen. Zorg dat men terecht kan bij een medewerker die training kan geven of vragen beantwoorden.

  • Zorg dat incident management goed geregeld is en ook opgevolgd wordt. De les die men leert uit het incident aanleiding laten zijn om een proces of procedure te verscherpen;
  • Publiceer regelmatig informatie op de intranetsite of zorg voor een onderwerp op de agenda van de afdelingsvergadering. Nodig evt een specialist uit om vragen te beantwoorden of zaken toe te lichten;
  • De gebruikers binnen het netwerk met hogere rechten op het systeem ofwel toegang tot de ‘kroonjuwelen’ moeten zich goed bewust zijn van hun verantwoordelijkheden;
  • Daarnaast moet het bedrijf natuurlijk alles in hun vermogen doen om de medewerker te beschermen. 

[1] Softwareagenten worden gebruikt in het IT vakgebied. Softwareagenten zijn autonome computerprogramma's. Deze programma’s hebben meestal een bepaalde doelstelling, en gedragen zich autonoom.