Willekeurige cyberaanvallen en bescherming

Gezien de overgrote meerderheid van de cyberaanvallen tegen willekeurige slachtoffers gericht zijn, gaan we dieper in op bescherming tegen deze aanvalsvorm. In grote lijnen herkennen we bij deze willekeurige aanvallen twee grote patronen. Er zijn aanvallen die zich tegen mensen richten, en er zijn er die zich tegen specifieke systemen richten.

Persoonsgerichte aanvallen

Credential stuffing is het stelen van een wachtwoord, en dat dan weer gebruiken op verschillende andere populaire online diensten. Want in de praktijk blijkt dat veel mensen hetzelfde wachtwoord hergebruiken. Ergens is dat te begrijpen: voor bijna elke online dienst, winkel of organisatie moet men zich tegenwoordig registreren, en wordt men hierbij gevraagd een paswoord te kiezen. Dus kiezen mensen vaak hetzelfde. Begrijpelijk, maar zeer onveilig.

Het probleem hierin stelt zich dat niet elke online dienst dezelfde beveiligingsmaatregelen hanteert. Bijgevolg belanden soms wachtwoorden van online diensten op straat. Een gekend voorbeeld hiervan was de breach van LinkedIn in 2016

Eens een aanvaller een combinatie gebruikersnaam/wachtwoord gestolen heeft, kan hij deze uitproberen op gekende websites zoals office365, LinkedIn, dropbox, … 

Zelf moet ik natuurlijk ook kleur bekennen. Ik heb het ook al meegemaakt! Voor ogenschijnlijk onbelangrijke diensten durfde ik vroeger te snel een eenvoudig wachtwoord hergebruiken. Helaas is dit wachtwoord gelekt, wat me duidelijk werd toen ik onderstaande mail kreeg van Netflix:

In dit geval was de aanvaller gelekte paswoorden aan het uitproberen om deze vervolgens te verkopen in een zwarte markt. Zo wilde hij geld verdienen op het abonnement dat ik betaal.

Phishing, vishing & smishing

Wat-shing? Iedereen heeft wel al eens gehoord van phishing: vervalste e-mails sturen in de poging iets van u te verkrijgen. Dat kan het openen van een link zijn, een bijlage of het uitvoeren van een actie zoals een overschrijving of betaling. We merken al een aantal jaren dat aanvallers hun methodes uitbreiden, en niet langer alleen e-mail inzetten, maar ook durven bellen (vishing = voice phishing) of tekstberichtjes sturen (smishing = SMS phishing). 

In welke vorm dan ook, de aanvaller probeert u in de val te lokken, en deze pogingen worden steeds professioneler. De taal is verzorgder, de lay-out is mooi nagemaakt, en de boodschap is vaker psychologisch onderbouwd. Bijvoorbeeld om in te spelen op de natuurlijke behulpzaamheid van mensen.

Hoe herkent u een phishing poging?

  1. Kent u de afzender van het bericht? Gebruikt de persoon een gekend e-mailadres of telefoonnummer (en bv. niet plots een persoonlijk e-mailadres, wat hij/zij normaal nooit doet)
  2. Analyseer aandachtig de (e-mail) header. Welk adres zit er achter de naam van de afzender? Komt dezelfde naam erin terug?
  3. Bevat het een bericht een link? U kunt deze link controleren door er met uw muis op te gaan staan, zonder te klikken. Dan verschijnt de echte URL onderaan links. Is deze conform aan de beschrijving?
  4. Bevat het bericht een sterk afwijkend taalgebruik, foutieve informatie of grammaticale fouten? Zoja, wees extra achterdochtig.
  5. Bevat de e-mail bijlages? Open ze dan niet zelf, maar contacteer de afzender bijvoorbeeld telefonisch om te verifiëren of hij dit daadwerkelijk zelf heeft verstuurd. Het kan zijn dat uw collega/klant/leverancier slachtoffer is geworden van bv. credential stuffing, en dat ze vanuit zijn of haar account malware trachten te verspreiden naar alle contacten!
  6. Roept de e-mail op tot een actie? Zoals een overschrijving of betaling? Wees dan extra op uw hoede! Lijkt het bericht afkomstig van een hoog geplaatst persoon bij de organisatie van uw correspondent? Is het aannemelijk dat deze aanvraag zo tot bij u komt? Wordt er gedaan alsof er een hoog dringendheid is? Wordt er absolute confidentialiteit gevraagd? Dit kunnen allemaal tekenen zijn dat het om fraude gaat.
TIPS

Zich hiertegen wapenen kan op twee vlakken:

- Enerzijds kan u systemen opzetten zoals anti-virus, anti-spam, internetfilters, etc… als bescherming tegen mails met malafide links of bijlages.
- Maar een zeer belangrijk aspect is hier de menselijke factor. Uw medewerkers moeten opgeleid worden voor dreigingen die relevant zijn aan hun job. Mensen met een financiële functie lopen bijvoorbeeld andere risico’s dan operatoren.

Systeemgerichte aanvallen

De tweede grote trend zijn aanvallen gericht tegen systemen. Met de regelmaat van de klok worden fouten in software en code ontdekt. Afhankelijk van de natuur van deze fouten kunnen mensen met slechte bedoelingen het systeem in kwestie acties laten uitvoeren die niet gewenst zijn. Dit worden ‘vulnerabilities’ genoemd.

Aanvallers kunnen aan de slag met de kennis van deze vulnerabilities om zo slachtoffers te maken. Denk bijvoorbeeld aan Windows XP of ouder. Microsoft brengt hier geen updates meer voor uit, dus aanvallers hebben nu vrij spel om hier de vulnerabilities volop van te benutten.

Wat is dan wel een goede aanpak voor procesnetwerken?

Jammer genoeg bestaat er niet één enkel product dat alle problemen oplost. Cybersecurity is een mindset (een strategie) die berust op 4 pijlers.

  1. Identificeren van wat u heeft, wie toegang heeft, wat gekende kwestbaarheden zijn.
  2. Preventieve maatregelen. Door bv. best practices te hanteren in configuraties, anti-virus software, onnodige software en processen uit te schakelen, USB toegang uit te zetten indien mogelijk, …
  3. Responsieve maatregelen: security kan nooit waterdicht zijn, dus u dient ervan uit te gaan dat er iets kan gebeuren, en hierop te anticiperen.
  4. En tot slot, de omgeving actief beheren, en onderhouden. Ook op het vlak van cybersecurity!

Om hiermee van start te gaan, is het noodzakelijk dat er een behapbaar plan is opgemaakt, op maat van uw omgeving. Wanneer we een dergelijk plan opstellen, mikken we eerst op de grootste risico’s, daarna op minder dringende zaken. Wanneer mogelijk combineren we met andere geplande projecten of uitbreidingen, en op deze manier kunnen we drastische vooruitgangen maken in cybersecurity, tegen overzichtelijke budgetten.

Zie cybersecurity vooral niet als een apart agenda-item, maar als een aandachtspunt met betrekking tot alle activiteiten van uw organisatie.

What's next?

Wil u met mij eens samenzitten over wat de concrete volgende stappen kunnen zijn voor uw omgeving, geef dan zeker een seintje!

contact

Vragen? Wil u graag een persoonlijk gesprek of weet u niet meteen hoe te beginnen?

Contacteer me op dean.deblieck@vinci-energies.com

Dean De Blieck
Network Solution Architect