De illusie van digitale muren: waarom beroepscriminelen ons te slim af zijn
„Soms weten we een dag tot enkele uren vooraf al van een digitale aanval of inbraak, omdat we elkaar waarschuwen voor opvallende datastromen of DDos-aanvalspatronen”, zegt Dimitri van Zantvliet, voorzitter van CISO Platform NL, een netwerk van Chief Information Security Officers.
Soms leest een van hun teams over een naderende DDos-aanval op een dark leak- of leaksitel, waar cybercriminelen vaak opschepperig samenklonteren. Dan verstuurt die persoon direct rooksignalen naar collega’s: ‘Volgens mij zijn jullie aan de beurt, waarschuw jullie medewerkers, let even op’.
Het klinkt bijna geruststellend: zo’n alerte groep online beveiligers. Alsof het speelveld van cybersecurity overzichtelijk is. Alsof geen enkele zware jongen nog ongezien online kan inbreken. Zeker als je ziet hoe intensief bedrijven op sectorniveau samenwerken binnen zogeheten ISAC-communities (Information Sharing and Analysis Centers). De luchtvaartindustrie, de energie- en bankwereld en ook de telecomsector alarmeren elkaar, delen trends in cybercriminaliteit en analyseren TTP’s (Tactics, Techniques & Procedures) en IOC’s (Indicators of Compromise).
Hoe gaan aanvallers te werk, met welke tactieken, technieken, tools en scripts? Wat is hun gedrag en hoe herken je dat? Wat zijn online sporen die wijzen op een mogelijke inbraak? In de cybersecuritysector kennen ze de signalen: een verdacht IP-adres, een kwaadaardige domeinnaam, een digitale vingerafdruk of een gekke en ongebruikelijke systeemwijziging. Toch zijn beroepscriminelen hen soms te slim af.
Lees ook: Na cyberaanval bij Odido: hoe beschermt jouw bedrijf zich tegen hackers?
Cybercrime als businessmodel: een schimmige miljardenindustrie
Kijk naar de cijfers. Vorig jaar groeide het aantal DDos-incidenten wereldwijd naar meer dan 47 miljoen. Even rekenen: 5.376 aanvallen per uur. Cybercrime is dan ook een extreem lucratieve business. De omzet bedroeg al in 2018 ruim 1,26 biljoen euro en ligt volgens internationale ramingen vandaag op zo’n 10,5 biljoen euro. Op het darkweb wemelt het zodoende van de vacatures. Cyberspecialisten zijn ook most wanted in de onderwereld. Malwaretesters, witwassers of geldezels: werk genoeg.
Reconstructie van de Odido-hack: hoe een simpele babbeltruc de kluis opende
Ook Nederlandse bedrijven vallen geregeld ten prooi aan cybercrime. Het laatste slachtoffer is Odido. In het weekend van 7 en 8 februari werden bij de telecomprovider de klantgegevens van zo’n acht miljoen mensen gestolen. Geen digitale ramkraak, geen Hollywood-hack: een paar phishingberichten naar Odido-medewerkers waren genoeg om inloggegevens te bemachtigen, gevolgd door de ouderwetse babbeltruc.
De cybercriminelen bellen dezelfde medewerkers op, weten ze bij CCinfo.nl. Ze doen zich voor als collega’s van de IT-afdeling en vragen om een inlogverzoek, waarschijnlijk om een update goed te keuren. Er was geen extra verificatiestap. De Odido-medewerkers openden zelf de kluis. Kraak gepiept. Binnen enkele seconden konden de dieven alle klantenbestanden downloaden.
Cybercrime as a Service: van 'Spray and Pray' tot datadiefstal
Een menselijke uitglijder? Een technische ontwerpfout? Wat bij Odido gebeurde, past in een strak georganiseerde criminele keten, met onderaan zogeheten initial access-groepen, vertelt Van Zantvliet. Hun werk is eenvoudig: binnenkomen via phishing, smishing of password spraying. „Daarbij laat je op grote schaal veelvoorkomende wachtwoorden online los.” Welkom12, bedrijfsnaam123: echt waar, die gebruiken organisaties nog steeds. En dan maar hopen dat ergens een digitaal deurtje opengaat. „Spray and pray.”
Als zo’n groep eenmaal beetheeft, verkopen ze hun buit aan access brokers. Dat zijn een soort beurshandelaren die gestolen wachtwoorden en inloggegevens aanbieden op darkwebmarktplaatsen. Mogelijke geïnteresseerden zijn ransomwaregroepen die systemen versleutelen, data-exfiltratiegroepen die gevoelige bestanden stelen en bedrijven afpersen, of BEC-fraudeurs (Business Email Compromise) die zich via een overgenomen mailbox voordoen als collega’s, zoals gebeurde bij Odido. Bovenaan in de cybermaffia staan experts voor de financiële afhandeling: cryptoconstructies, escrowdiensten en witwasconstructies. Geen SaaS, maar CaaS: Cybercrime as a Service.
In ons land is er het Nationaal Cyber Security Centrum (NCSC). Daar - en via deze link - vind je vijf basisprincipes van veilig digitaal ondernemen.
Wie is ShinyHunters? De ervaren afpersers achter het datalek
ShinyHunters is de groep die Odido afperst. Ervaren criminelen die al zes jaar ‘zakendoen’ met grote bedrijven, waarvan ze de namen als referenties op hun website hebben gezet. Dus Odido: betalen maar, miljoenen graag. Het exacte bedrag is onbekend. Betaalt de telecomprovider niet voor donderdagochtend, dan publiceert ShinyHunters de gegevens van zes tot acht miljoen Odido-klanten op leaksites op het darkweb. Voor iedereen die daarvan gebruik dan wel misbruik wil maken. IBAN-nummers, geboortedata en paspoortnummers: die combinatie is een goudmijn.
De cyberverzekering-mythe: waarom je polis pas dekt als je basis op orde is
Hoe voorkom je dit, maar ook: wat doe je als het misgaat? Dan komt de cyberverzekering in beeld. Die krijg je alleen als je basisbeveiliging op orde is, vertelt Maarten de Jonge, Head of Insurance Development bij Eye Underwriting, een onderdeel van Eye Security.
Hij noemt onder meer multi-factor authenticatie, goede back-ups, endpointdetectie (EDR) en het vermijden van verouderde software die niet meer wordt ondersteund. Een cyberverzekering fungeert zo als een soort security-audit vooraf. Sommige verzekeraars stellen daarbij acht vragen, anderen 160. „Wij verzekeren alleen bedrijven die hun security op orde hebben, die onze security hebben. Dan weten we wat hun minimale beveiligingsniveau is.”
Maar stel: je bent bij een andere maatschappij verzekerd of je dekking is beperkt. Wie betaalt dan? De medewerker die per ongeluk de deur voor criminelen heeft opengezet? De externe beveiliger die even de andere kant opkeek? Of keert de verzekeraar toch alles uit? Het antwoord van De Jonge is even flauw als logisch: dat is afhankelijk van je polis.
Waarvoor ben je eigenlijk verzekerd? De 3 pijlers van een cyberpolis
Een cyberverzekering kent grofweg drie pijlers.
- 1.
Incident response: de kosten om een aanval te herstellen.
- 2.
Bedrijfsstilstand: gederfde winst omdat de tent tijdelijk stilligt. Met in de kleine lettertjes: de eerste twaalf uur zijn voor eigen risico.
- 3.
Aansprakelijkheid: claims van klanten en juridische kosten. Meestal inclusief een vergoeding van ransom-bedragen.
De Jonge: „Nooit zonder tussenkomst van een gespecialiseerd onderhandelingsteam en wanneer de ontvangende partij op een sanctielijst staat.”
Ook belangrijk, zegt De Jonge, is de vraag of de criminele organisatie haar afspraken echt nakomt. Hebben ze alle data verwijderd? „Want die kun je tot in de eeuwigheid bewaren en verhandelen.” Controleer dus wat je precies hebt verzekerd. „Er zijn polissen die ook menselijke of programmeerfouten dekken, of schade door uitval van applicaties van externe leveranciers als jouw bedrijf daarvan afhankelijk is.”
Wie zich vandaag wil verzekeren, moet goed beveiligd zijn
Maarten de Jonge Eye Underwriting
De gouden standaard: hanteer de 98/2-regel voor jouw bedrijf
Dat slechts 7 tot 13 procent van alle bedrijven in ons land een cyberverzekering heeft, vindt De Jonge opmerkelijk. En dan gaat het vooral om grotere organisaties. Hij kent de discussie. Moet je als bedrijf je geld stoppen in beveiliging of verzekering? Tot zo’n vier jaar geleden was het antwoord op die vraag eenvoudig: je kon je verzekeren en hoefde je daarom niet te beveiligen. Dat is geheel omgedraaid.
„Wie zich vandaag wil verzekeren, moet goed beveiligd zijn. Dus maak het jezelf makkelijk”, zegt De Jonge. „Zorg ervoor dat je organisatie voor 98 procent is beveiligd. Die twee procent investeer je in een verzekering.” Dat is volgens hem de meest kosteneffectieve manier om je bedrijf tegen cybercriminelen te beschermen. Daarbij, vindt Van Zantvliet, mag je van organisaties verwachten dat hun beveiliging in de basis op orde is. ‘Noblesse oblige’.
Wat de Odido-hack ons leert
- De mens is de zwakste schakel: ondanks geavanceerde IT-systemen, zijn een paar simpele phishingberichten en een ‘babbeltruc’ vaak al genoeg voor een gigantisch datalek.
- Cybercrime is een biljoenenindustrie: hacken is geen zolderkamerwerk meer, maar een strak georganiseerde, extreem lucratieve keten (Cybercrime as a Service) met 10,5 biljoen euro omzet.
- Verzekeren vereist beveiligen: slechts 7 tot 13 procent van de bedrijven heeft een cyberverzekering. Verzekeraars keren pas uit (en accepteren je pas) als je basisbeveiliging klopt.
- Hanteer de 98/2-regel: investeer 98 procent van je middelen en moeite in ijzersterke beveiliging, en de overige 2 procent in een goede verzekering voor de restschade.
Lees ook: Een wachtwoord verzinnen met ChatGPT of Gemini? Een slecht idee, waarschuwen experts
Ontvang elke week - op maandag - het beste van BusinessWise in je mailbox. Schrijf je hier nu gratis in en maak kans op een Apple Watch!
