Cybercriminaliteit wordt professioneler en persoonlijker

Cybercriminaliteit wordt professioneler en persoonlijker
Als het niet al te cynisch was, zou je kunnen zeggen dat 2012 een mooi jaar voor cybercriminaliteit belooft te worden. Grootschalige hacks en diefstal van data halen geregeld het nieuws. In de schaduw van het nieuws over de grote opzienbarende incidenten ontwikkelt de cybercriminaliteit zich gestaag richting meer gerichte en persoonlijke aanvallen. Opvallende trends zijn het mobieltje als bron en entree voor persoonlijke en zakelijke gegevens, cloudserviceproviders die toegang verschaffen tot een zee aan bedrijfsgegevens, social media die social-engineeringaanvallen faciliteren en het mkb dat een (te gemakkelijk) doelwit is. De rode draad: niet de techniek maar de mens is de zwakste schakel.

Rémon Verkerk
Wachtwoorden van LinkedIn die op straat liggen (juni 2012), een hacker die bankrekeninggegevens van grote aantallen ING-klanten kan verzamelen (tot en met maart 2012), KPN-klanten van wie gegevens inclusief wachtwoorden open en bloot op internet staan (januari 2012), malware die zich via Nu.nl verspreidt (maart 2012): het is een kleine greep uit de incidenten van het afgelopen half jaar. Cybercriminaliteit neemt sterk toe in omvang, impact en schaamteloosheid. Als er een centrale les is, dan is het wel dat geen enkel persoon, bedrijf of instelling heilig of veilig is. Iedereen is een potentieel doel.
Gevarieerde modus operandi
De tijd is voorbij dat cybercriminaliteit een wapenwedloop was tussen kwaadwillenden en antivirusbedrijven. Een beveiligingslek is steeds minder een technische maar eerder een sociale en beleidsmatige kwestie. Waar een hack vroeger startte met een poortscan op zoek naar een deur die wagenwijd open of op een klein kiertje staat, is tegenwoordig de gebruiker zelf een belangrijk middel om via opeenvolgende stappen steeds dieper een systeem binnen te dringen. Iedereen is continu online en via verschillende apparaten verbonden met vele netwerken en systemen: die immense hoeveelheden internetbewegingen zijn nauwelijks te controleren. De modus operandi van cybercriminelen is gevarieerd: massale aanvallen om netwerken plat te leggen – uit protest, als pressiemiddel of uit concurrentiemotieven; phishingmails om toegang te krijgen tot (meestal) bankgegevens; drive-by-downloads – malware die zich bij een bezoek aan een criminele of geïnfecteerde site op de computer van de gebruiker nestelt om bijvoorbeeld een achterdeur open te zetten; advanced persistent threats op netwerken van grote organisaties om bedrijfsgegevens of intellectueel eigendom te stelen.
De weg van de minste weerstand
Cybercriminaliteit beweegt zich volgens de paden van de minste weerstand. Waar de kans op succes met de minste inspanning het grootst is, daar zal de aandacht zich op richten. Daarom is de mobiele telefoon een gewild doelwit. Dat mobieltje heeft zich ontwikkeld van gadget tot centraal en essentieel communicatiemiddel. Het is het apparaat waarmee medewerkers kunnen inloggen op het bedrijfsnetwerk, het betaalmiddel voor bijvoorbeeld parkeren, de database met bankgegevens en andere privacygevoelige informatie, enzovoort. Een gemiddelde gebruiker heeft geen flauw idee of en hoe zijn mobiele telefoon beveiligd is. En vaak is er ook nauwelijks beveiliging, terwijl mobiele apparaten, inclusief tablets en BlackBerry’s, in toenemende mate bedreigd worden. De aanvallen, met name op het Android-platform (iOS van Apple is relatief goed dichtgezet), nemen hand over hand toe. De ontwikkelingen in mobiele technologieën gaan daarbij zo snel dat organisaties die met hun beveiligingsmaatregelen nauwelijks kunnen bijbenen. De behoefte om medewerkers met de nieuwste generatie mobieltjes en tablets alvast toegang te geven is zo groot dat dat vaak al gebeurt voordat het netwerk daar in veiligheidstechnische zin klaar voor is. Bovendien zijn mobiele apparaten erg diefstalgevoelig en dat betekent dat systemen voorbereid moeten zijn op binnendringing via de nieuwste én via verouderde apparaten.
Kwetsbaarheid van clouds
Cloud computing is natuurlijk een andere actuele ICT-trend en de verwachting is dat cloudserviceproviders een belangrijk aanvalsdoel zijn. Wie via een cloudserviceprovider hooggeprivilegieerde toegang heeft, kan in potentie bij de gegevens van al diens klanten. Zo kunnen betaalgegevens, persoonsgegevens, intellectuele eigendommen en strategische informatie gestolen worden, en dat zijn waardevolle data voor eigen gebruik of om door te verkopen. Want behoudens de hacks uit ideële motieven is verreweg het vaakst geldelijk gewin de drijfveer voor een aanval of hack.
De kwetsbaarheid van clouds is iets wat zorgen baart, maar is tegelijkertijd relatief. De vraag is of gegevens die lokaal gehost staan, zoveel veiliger zijn. De gemiddelde cloudaanbieder investeert veel in beveiliging. Niet verwonderlijk, want gegevensveiligheid is zo’n beetje corebusiness. Aan de andere kant blijkt dat veel bedrijven die in zee gaan met een cloudserviceprovider, nauwelijks navraag doen naar de beveiligingsstrategie van de dienstverlener. Hoe wordt bijvoorbeeld het personeel daarvan gescreend? Is die screening net zo zwaar (of juist niet) als bij het eigen bedrijf?
Cybercrime is big business
Cybercriminaliteit professionaliseert. Het is big business, dus wordt er ook veel geld en tijd voor vrijgemaakt. De aanvallen worden gerichter, slimmer en persoonlijker en zijn gefaseerd opgezet. In de eerste fase gaat het erom sleutelfiguren te identificeren die verregaande privileges hebben bij een bepaald bedrijf of netwerk. Stap twee is om veel persoonlijke informatie over die persoon te verzamelen, om ten slotte die informatie in te zetten om de malware uit te zetten. Het uitsturen van miljoenen mailtjes als een schot hagel in het duister, in de hoop dat een of twee mensen happen, is ‘old skool’. Een gepersonaliseerde mail die inhaakt op een persoonlijke omstandigheid of interesse van degene die men op de korrel heeft, is de methode van nu. Als een directeur die in zijn vrije tijd zijn oude Citroën opknapt een persoonlijk mailtje ontvangt met een foto van een gerestaureerde CX, dan is de kans groot dat hij de bijlage opent. En zijn apparaat zo mogelijk besmet.
Social-engineeringaanval
De informatie om een zo persoonlijk mogelijke aanval op te zetten, ligt voor het grijpen. Facebook, LinkedIn, Twitter en Hyves bieden een schat aan informatie voor de gerichte distributie van malware en voor social engineering – het manipuleren van mensen om bepaalde handelingen uit te voeren. In 2012 is het aantal socialmediaprofielen dat uitsluitend bedoeld is voor social engineering enorm gestegen, en dat aantal zal zich blijven uitbreiden. Facebook-gebruikers wanen zich redelijk veilig op het platform waar ze omgeven zijn door vrienden, familie en bekenden. Een bestand delen, een link ‘liken’, vrienden attenderen op een site: het gebeurt vrijwel gedachteloos. De risico’s zijn evenwel niet gering. Ten eerste wordt ongemerkt veel persoonlijke informatie verstrekt, die voor andere partijen – al is het alleen maar voor marketingdoeleinden – waardevol is. Ten tweede kunnen ze door apps te liken, enquêtes in te vullen of spelletjes te spelen die programma’s toegang geven tot hun eigen gegevens en die van hun vrienden. En soms downloadt men ongemerkt malware bij het openen van een filmpje of foto.
Springplank voor bedrijfssystemen
Facebook, Twitter, Hyves en LinkedIn zijn niet alleen platforms voor aanvallen op particulieren. Ze zijn juist springplanken om binnen te dringen in bedrijfssystemen. Op de meeste zakelijke computers is er een bepaalde mate van privégebruik. Daarbij is het midden- en kleinbedrijf steeds vaker doelwit van cybercriminelen, ook al omdat de veiligheidsprotocollen niet altijd sluitend zijn. Onderzoek eind vorig jaar door de Amerikaanse National Cyber Security Alliance toont aan dat zo’n 40 procent van de kleinere bedrijven geen beleid geformuleerd heeft voor de respons op incidenten waarbij oneigenlijk inbreuk wordt gemaakt op data of waar dataverlies optreedt. Dat onderzoek werd in de VS gehouden, maar het veiligheidsbewustzijn in Europa en Nederland is van vergelijkbaar niveau.
Security awereness
Als onderneming kun je veel investeren in beveiligingssoftware en firewalls. Toch is security awareness misschien wel het belangrijkste wapen. Want hoe goed de beveiliging ook is, een medewerker die nietsvermoedend een USB-stick van een bekende op kantoor gebruikt of via Facebook filmpjes deelt of dubieuze sites bezoekt, is een groot veiligheidsrisico. Elk bedrijf moet een veiligheidsbeleid hebben en zorgen voor naleving. Dat kan door medewerkers goed te informeren en er verder op te vertrouwen dat ze zich aan de protocollen houden, het gedrag te monitoren en bij ongewenst gedrag direct in te grijpen of ongewenst gedrag zoveel mogelijk te beperken door bijvoorbeeld USB-poorten af te sluiten en strenge URL-filtering toe te passen.
Veiligheidsrisico’s worden niet alleen veroorzaakt door ongrijpbare criminele organisaties uit Rusland of een Afrikaans land. Medewerkers die informatie doorspelen naar een familielid dat in dezelfde branche actief is, het meenemen van informatie door iemand die (gedwongen of vrijwillig) voor zichzelf begint of moedwillig vandalisme zijn net zulke reële bedreigingen voor de bedrijfsgegevens. Gegevensveiligheid vereist dat bedrijven in kaart brengen wat hun belangrijkste assets zijn om de toegang daartoe te beperken, reguleren en monitoren. Op elk moment moet duidelijk zijn wie bepaalde bedrijfskritische bestanden heeft geopend, gekopieerd en geprint, en als er onregelmatigheden zijn, moeten er meteen alarmbellen gaan rinkelen.
Achter de feiten aan
De hamvraag is natuurlijk: hoe kunnen bedrijven, instellingen en overheden zich weren tegen de talloze bedreigingen? De oplossing ligt met name bij de interne huishouding. Dan gaat het naast adequate hardware- en softwareoplossingen om strikte protocollen voor het computergedrag van alle medewerkers en een systeem om dat gedrag af te dwingen en te controleren. In de VS is het veel meer dan in Nederland gewoon om alle bewegingen van medewerkers voortdurend te monitoren. Hier zou het zich met name op de belangrijkste assets moeten concentreren. Zonder voortdurend alles in de gaten te houden is het mogelijk een systeem in te richten dat plotselinge afwijkingen in gedrag of in gegevenstoegang of gegevensbewerking signaleert en rapporteert. De ervaring van gespecialiseerde IT-forensisch onderzoeksbureaus is dat er te vaak reactief gehandeld wordt: men loopt achter de feiten aan. Overigens blijven bedreigingen vaak onontdekt en kunnen zich invreten in de systemen en tijdenlang informatie verzamelen en doorspelen. Als ze ontdekt worden, is het soms nog maar de vraag of de besmetting volledig te verwijderen is.
Forensisch sporenonderzoek
Is er eenmaal een inbraak, aanval of dataverlies geconstateerd, dan is het van belang te achterhalen wat er exact gebeurd is. Sporenonderzoek gebeurt dan uit forensisch oogpunt – om de dader te achterhalen, elektronisch bewijsmateriaal te verzamelen en eventueel de schade te kunnen claimen – en om herhaling te voorkomen. Regelmatig schakelen bedrijven dienstverleners in nadat een overheid een onderzoek is gestart op verdenking van fraude of overtreding van mededingingsregels. In zo’n ‘race for leniency’ willen de bedrijven dan een grondig en efficiënt onderzoek op hun data uitvoeren om hun positie te kunnen bepalen en de afweging te maken open kaart te spelen met een toezichthouder om de mogelijke boete te voorkomen of beperken. Verregaande technologische ontwikkelingen helpen de zogenaamde reviewteams om snel relevante documentatie en communicatie te vinden in de ‘big data’.
Samenwerking publieke en private sector
In de opsporing van cybercriminelen worden overigens wel successen geboekt, maar dan vooral binnen de lagere echelons van de criminele organisaties. De organisatoren blijven vrijwel altijd buiten schot. De verwachting dat de strijd volledig te winnen is, is dan ook een illusie. Maar het is wel van cruciaal belang om niet op te geven.
Cybercrime is in staat op grote schaal bedrijven schade te berokkenen, van mkb tot multinational. Tegelijkertijd liggen de infrastructuren van overheden en landen onder vuur. Het is dan ook belangrijk dat er een structurele informatie-uitwisseling en samenwerking komt tussen publieke en private sector. Alleen red je het niet in de strijd tegen de georganiseerde cybercriminaliteit.
Rémon Verkerkis manager Computer Forensics bij Kroll Ontrack. E-mail: remon.verkerk@krollontrack.nl.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag