Cybercriminelen kiezen steeds vaker de mens als doelwit

Cybersecurity is meer dan alleen techniek. Het draait om een integrale aanpak gericht op de mens, de organisatie en techniek. Dat bleek nog eens duidelijk tijdens de Cyber Security Xperience, georganiseerd door Hoffmann. Verschillende sprekers demonstreerden hoe tegenwoordig niet meer via firewalls wordt ‘gehackt’, maar via medewerkers van organisaties. Daarnaast lopen ook individuele mensen steeds meer risico om slachtoffer te worden van cybercrime, waarbij vooral identiteitsfraude in opkomst is.

Petra Oldengarm, unit manager Hoffmann Cyber Security, benadrukte dat het vooral belangrijk is om het proces op orde te hebben. Tenslotte is een cyberincident nooit voor honderd procent te voorkomen. Wanneer het dan plaatsvindt, dient de organisatie in staat te zijn om direct de juiste maatregelen te treffen, zodat het incident niet de continuïteit schaadt. “De te nemen stappen tijdens een incident moeten van tevoren zijn bedacht. Ook verdient het aanbeveling om een Information Security Officer aan te stellen, die als belangrijkste taak krijgt om de organisatie voor te bereiden op incidenten. Die dus ervoor zorgt dat de medewerkers weten wat ze te doen staat, want dit is niet alleen een verantwoordelijkheid voor ICT-ers. Mensen moeten ook zelf begrijpen waarom informatie beveiligd moet worden en waartegen. Alleen dan bereik je dat ze zich cyberveilig gaan gedragen.”

Dreigingsbeeld

Het dreigingsbeeld is in de loop der jaren veranderd, vervolgde Oldengarm. “Het begon met ‘script kiddies’ die inbraken op computersystemen uit baldadigheid of voor het verkrijgen van prestige. Maar tegenwoordig hebben we ook te maken met hactivisten, die het hacken als drukmiddel gebruiken of die er op uit zijn om maximale schade aan te richten. Je hebt interne actoren die zich met fraude willen verrijken, criminelen die het bedrijf willen oplichten, spionnen die in opdracht van concurrenten of zelfs buitenlandse overheden werken en in de toekomst zullen daar waarschijnlijk ook terroristen bij komen, die cybercrime gebruiken om samenlevingen te ontwrichten. Verwacht wordt dat over vijf jaar de helft van de misdaden in cyberspace zal plaatsvinden.”

De spreekster noemde twee belangrijke trends. De eerste is privacy, die actueel is geworden met de invoering van de meldplicht datalekken. Als persoonsgegevens in verkeerde handen komen, dient de getroffen organisatie dat binnen 72 uur te melden bij de Autoriteit Persoonsgegevens, anders volgen enorme boetes. “Tot nu toe zijn pas zo’n duizend meldingen binnen gekomen, terwijl ik zeker weet dat er aanzienlijk meer incidenten plaatsvinden. Kennelijk weten bedrijven nog niet goed hoe zij het nieuwe overheidsbeleid in hun proces moeten verwerken. Dit is ook niet alleen een kwestie voor de ICT-afdeling. Personeelszaken en juridische afdelingen hebben er net zo goed mee te maken.”

Digitalisering

De tweede trend is verdergaande digitalisering van de samenleving. Met onder andere zelflerende robots gaat technologie steeds meer een rol spelen in de samenleving. Oldengarm: “Hoe waarborgen we de veiligheid als een zelfrijdende auto gehackt wordt? En het gaat niet alleen om hacken. Een heel effectieve methode om de firewall te omzeilen is nog altijd gewoon overdag een pand binnenwandelen. Er zijn altijd wel onbeheerde computers te vinden. Natuurlijk maken cybercriminelen nog altijd gebruik van aanvalstechnieken als phishing, spam en malware, maar professionals onder hen richten zich meer en meer op de mens achter de computer. ID-fraude is snel in opkomst. Cybercriminelendoen zich voor als leverancier van een organisatie en melden dat zij een nieuw bankrekeningnummer hebben gekregen. Voordat de echte leverancier over betalingsachterstanden gaat klagen, kunnen er al tonnen naar de rekening van de criminelen zijn overgemaakt. Een andere vorm is CEO-fraude. Cybercriminelen laten medewerkers denken dat deze een mail van hun werkgever hebben ontvangen. Dergelijke mails worden doorgaans direct geopend, met alle gevolgen van dien.”

Weerbaarheid

Veel technische kennis is volgens de cybersecurityspecialist niet nodig. “De benodigde tools zijn op internet te vinden en er zijn zelfs al organisaties die Cybercrime as a Service aanbieden. Nederland is nauwelijks weerbaar tegen deze ontwikkelingen. Daarom komt er wetgeving die organisaties gaat verplichten weerbaarheidsmaatregelen te treffen. De overheid helpt door de politie uit te breiden met negenhonderd cyberprofessionals, al vraag ik mij af of die gevonden gaan worden.” Een lastig punt blijft volgens Oldengarm dat organisaties nauwelijks bereid zijn informatie over cybersecurity te delen. “Niemand wil ermee te koop lopen als hij slachtoffer is geworden. Daardoor blijft het moeilijk om van de ervaringen van anderen te leren. Ons advies is om eerst de ‘kroonjuwelen’ in kaart te brengen en dan een roadmap te maken met te nemen stappen als het mis gaat. Het gedrag van de mens is daarbij cruciaal. Wij hebben nu zelfs een psycholoog in dienst genomen om op dat gebied te kunnen adviseren. Wat techniek betreft is het belangrijk om beveiliging al in het ontwerp van nieuwe ontwikkelingen mee te nemen. Test de beveiliging regelmatig en monitor continu wat er in de systemen gebeurt!”

Crisisplan

Een cyberincident kan iedereen overkomen. Belangrijk is dat dan een crisisplan klaarligt, vertelde Jan van Hummel, die IT security officer is bij de Gemeente Enschede. “En nog belangrijker dan dit plan zelf is dat er vooraf mee geoefend wordt! Wij hebben dat samen met Hoffmann gedaan.” Er staat volgens de specialist veel op het spel. Een ICT incident leidt al snel tot reputatieschade, die weer voor verstoring van de continuïteit zorgt. En onderzoeken wijzen uit dat 60 procent van de bedrijven binnen twee jaar failliet gaat na een grote verstoring van de continuïteit. Hij wees er ook op dat je het bestrijden van een crisis niet aan de gewone medewerkers kan overlaten. “Ieder mens heeft zijn eigen taken en belangen. Die prevaleren boven de crisis als het erop aankomt. Stel daarom een crisis management team samen. Dat mag uit medewerkers bestaan, maar die dienen zich goed te realiseren dat zij tijdens de crisis niet meer met hun dagelijkse werkzaamheden bezig zijn. Voor de coördinatie zorgt een crisismanager. Die houdt ook in de gaten of de mensen aan de benodigde rust toe komen, want een crisisorganisatie werkt 24/7 en niemand wil op dat moment de boel de boel laten, maar als je mensen niet op tijd naar huis stuurt voor rust, zit je binnen een dag met een opgebrande organisatie.”

Methodes

Oscar Vermaas en Mathijs van der Pol, twee beveiligingsspecialisten van Hoffmann, gingen demonstreren hoe makkelijk het is om op een netwerk in te breken. In minder dan een half uur wisten ze wachtwoorden te achterhalen en de besturing van computers over te nemen. Het was uiteraard wel een simulatie en het overwegend uit niet in techniek geschoolde publiek vond het nog niet zo eenvoudig als werd voorgespiegeld. Er zijn volgens de twee verschillende methodes om de steeds beter wordende beveiligingstechniek te omzeilen. “Door naar binnen te wandelen in een net pak en ergens je laptop op een netwerkpoort aan te sluiten, kan je vaak al systemen benaderen waar je van buitenaf niet bij komt. Maar ook medewerkers kunnen je helpen. Door gerichte phishing mail te sturen, kan je macro’s op hun computer installeren, waarmee je op het netwerk komt. Een andere methode is ARP poisoning waarbij de cybercrimineel een ‘man in the middle’ wordt, die al het verkeer kan onderscheppen of manipuleren. Met DNS-spoofing kunnen cybercriminelen ervoor zorgen dat gebruikers van openbare netwerken op nagemaakte websites van bijvoorbeeld banken terecht komen.”

Misbruik

De ‘hackers’ van Hoffmann maakten gebruik van Local Link Multi Name Resolution, dat standaard in Windows zit. Stap voor stap lieten zij zien hoe misbruik is te maken van deze functie. Standaard kijkt Internet Explorer of er een proxyserver in het netwerk zit. Dat kan ook de PC van een cybercrimineel zijn. Die op het interne netwerk aangesloten computer fungeert dan als webserver, die op zoek gaat naar de proxyinstellingen van de andere computers. Vervolgens is het de uitdaging om wachtwoorden te vinden. De specialisten maakten gebruik van wachtwoordkraker John de Ripper. Dit open source-programma bevat onder andere 173.800 Nederlandse woorden in de database. Zij konden niemand ervan overtuigen dat hacken zonder technische kennis eenvoudig was, maar het lukte hen om in te breken op de doelwitcomputer.

Identiteitsfraude

Als laatste kwam Maria Genova aan het woord. Zij is auteur van het boek ‘Komt een vrouw bij de h@cker’. Genova wees er op dat het voor hackers niet alleen interessant is om organisaties te hacken, maar dat zij zich ook focussen op individuele personen, bijvoorbeeld om identiteitsfraude te plegen. Zij gaf verschillende praktische tips om identiteitsfraude tegen te gaan. “Bewaar bijvoorbeeld nooit een kopie van je paspoort op je computer. Sla ook geen wachtwoorden op de computer op!” Het lijken inkoppertjes, maar op vragen ‘wie wat wel eens deed’ gingen toch heel wat handen omhoog. Zo blijken heel wat mensen hetzelfde wachtwoord voor meerdere websites te gebruiken. Als cybercriminelen dan bij een slecht beveiligde webwinkel weten in te breken, kunnen zij wel heel makkelijk identiteitsfraude plegen. De auteur adviseerde om zo min mogelijk identiteitsgegevens te delen op internet. “Waarom wil een webwinkel uw geboortedatum weten? Dat is belangrijke informatie voor identiteitfraudeurs. Bel maar een apotheek. Ze vragen naar uw naam en geboortedatum en als u die weet, kunt u alle medische informatie over uzelf opvragen.” Een nadeel van verschillende wachtwoorden is dat het aantal tegenwoordig behoorlijk kan oplopen. Genova adviseerde om dan een wachtwoordmanager te gebruiken. Dan hoef je nog maar één wachtwoord zelf te onthouden. “Of gebruik een zin, zoals facebookditiseenhelemooielocatie. Maak wachtwoorden zo lang mogelijk. Dan is het moeilijker om ze met robots te raden.” Zo’n tien van de aanwezigen antwoordden bevestigend op de vraag naar wie er op niet één social medium zit. “Als je geen account hebt, kan een ander die voor je maken en zich als jou voordoen”, waarschuwde de spreekster. “Je weet sowieso nooit zeker of je online te maken hebt met de persoon met wie je te maken denkt te hebben.” Dagelijks worden volgens Genova vijfhonderd tot duizend Nederlanders slachtoffer van ID-fraude. Zij had aan het beschikbaar gestelde half uur duidelijk niet genoeg om haar boodschap te verkondigen, maar de aanwezigen kregen haar boek ‘komt een vrouw bij de h@cker’ cadeau, met daarin honderden tips om niet het slachtoffer te worden van het razendsnel stijgende aantal methodieken dat cybercriminelen tegenwoordig tot hun beschikking hebben.


Dit verslag is eerder gepubliceerd in vakblad Beveiliging nummer 7/8 juli – augustus 2016.