IT-managers en CISO’s zien dagelijks cyberbedreigingen voorbijkomen, maar de meest beslissende aanvallen beginnen vaak klein: één klik, één download, één onvoorzichtige medewerker. Soms zijn er dubbelrollen in het spel. Meer en meer worden leveranciers getroffen. Dit zijn vijf belangrijke vormen van bedreigingen die vandaag je veiligheid, budget en reputatie kunnen lamleggen.
1. Phishing
Veel onheil komt nog steeds voort vanuit aloude phishing. “Hoewel er in de pers voornamelijk wordt gerapporteerd over de grote ransomware-aanvallen, is phishing, met frauduleuze e-mails, vaak de eerste stap”, benadrukt Nathalie Claes, externe CISO en DPO en ook auteur van het boek Gehackt, wat nu?
De reden waarom bedrijven zo kwetsbaar blijven voor phishing, heeft volgens haar twee grote oorzaken. Er wordt enerzijds onvoldoende of verkeerd geïnvesteerd in informatiebeveiligingsinfrastructuur in het algemeen. En anderzijds wordt de menselijke factor zwaar onderschat. “Hoe vaak kom ik niet in organisaties waarbij er totaal niet geïnvesteerd wordt in het aanbieden van de juiste training aan werknemers? Het is van belang dat medewerkers de switch maken van reactief naar proactief gedrag op het gebied van informatiebeveiliging.”
E-mail blijft een van de belangrijkste manieren waarop phishingaanvallen worden uitgevoerd. “Ongeveer 1 op de 99 e-mails is een phishingpoging, en 30% van deze e-mails wordt daadwerkelijk geopend”, weet ze. Al viseren aanvallers, naast e-mail, ook gecompromitteerde websites en samenwerkingsapps.
Bekend voorbeeld: de Nigeriaanse prins is natuurlijk een klassieker: “We have currently thirty million US dollars which we got from over inflated contract…” Maar één blik in je mailbox (vooral bij ongewenste e-mail) en je krijgt nog talloze voorbeelden.
2. Baiting
Baiting tilt phishing naar een hoger niveau door iets aantrekkelijks te bieden dat mensen niet kunnen negeren: van een bestand dat je echt wilt zien tot een link die je nieuwsgierig maakt.
Wat baiting echt anders maakt, is dat het slachtoffer er zelf voor kiest om in de val te lopen door actief iets te doen dat niet pluis is. Maar de nood aan alertheid is dezelfde als bij phishing. “Als baiting-aanvallen slagen, is dat door zwakke beveiligingsprotocollen. Maar meer nog door het feit dat medewerkers zich onvoldoende bewust zijn van mogelijke risico’s en de impact ervan”, oppert Nathalie Claes. Baiting is hardnekkig. “Geen enkele branche is veilig voor dergelijke aanvallen die inspelen op onze nieuwsgierigheid, angsten of verlangens, met infecties, datalekken en het overnemen van infrastructuren én financiële en reputatieschade tot gevolg”, stelt ze. “Bij mijn klanten zie ik dat baiting in allerlei vormen voorkomt – van verleidelijke deals tot illegale downloads en gecompromitteerde apparaten.”
Bekend voorbeeld: Uber. Een cybercrimineel kon een paar jaar geleden via het Slack-account van een interne Uber-medewerker diens referenties kapen. De crimineel kreeg uiteindelijk toegang tot een groot aantal cloud storage buckets en databases met gevoelige klantgegevens, financiële cijfers en broncode.
3. Pretexting
In tegenstelling tot phishing is pretexting meestal nog meer gericht en vereist het een meer gedetailleerde voorbereiding. “Aanvallers creëren een overtuigend, maar fictief scenario of fictieve identiteit om specifiek geselecteerde slachtoffers te overtuigen”, verklaart Claes.
Pretexting is doorgaans een best sluwe vorm van social engineering. “Om geloofwaardigheid op te bouwen bij het potentiële slachtoffer, doet de cybercrimineel zich meestal voor als iemand met gezag over het slachtoffer, zoals een baas of leidinggevende. Of als iemand die het slachtoffer geneigd is te vertrouwen, zoals een collega, IT-medewerker of vriend.”
En naast het personeel hoort er ook een nepverhaal bij dat de oplichter bovenhaalt. “Dat kan algemeen zijn, zoals ‘u moet uw accountgegevens bijwerken’, of ze kunnen heel specifiek zijn, vooral als de oplichters het op een bepaald slachtoffer gemunt hebben.”
Om hun imitaties en situaties geloofwaardig te maken, doen cybercriminelen meestal online onderzoek naar hun doelwit. “Dat is niet zo moeilijk. Hackers kunnen een overtuigend verhaal maken op basis van informatie op sociale media en andere openbare bronnen, na slechts 100 minuten algemeen googelen.”
Een bekende toepassing van pretexting is business email compromise (BEC), waarbij meestal een zakenman met autoriteit of invloed, dringende hulp nodig heeft. “Jaar na jaar behoort BEC tot de duurste cybermisdaden”, oppert Claes. “Volgens het IBM Cost of a Data Breach-rapport kost een datalek als gevolg van BEC slachtoffers gemiddeld rond de 5 miljoen dollar.”
Bekend voorbeeld: de (zogezegde) managing director die vastzit op een vliegveld en zijn wachtwoord is vergeten. En vraagt om zijn wachtwoord van het betalingssysteem te bezorgen. Of beter: of jij een niet onaanzienlijk bedrag kunt overmaken naar een bepaalde bankrekening?
4. Insider threats
Dit is een geval apart. Een insider heeft namelijk geautoriseerde toegang tot de middelen van een organisatie. Denk aan personeel, faciliteiten, netwerken, systemen en… informatie. “Zo’n insider is dan een werknemer, maar het kan ook een consultant of ontwikkelaar zijn. Of gewoon iemand die fysieke toegang heeft.”
In het algemeen komen bedreigingen van binnenuit voort uit twee soorten activiteiten, merkt Claes op. Je hebt onopzettelijke (zoals toevallige fouten of nalatigheid) en opzettelijke activiteiten. “Het is belangrijk om het onderscheid tussen de verschillende soorten bedreigingen te kunnen herkennen, omdat ze een fundamenteel andere aanpak vereisen.”
Ook insider threats worden nog vaak onderschat. “Hoewel incidenten met insiders een aanzienlijke kost met zich kunnen meebrengen, missen vele organisaties nog steeds een formeel programma om dergelijke risico’s aan te pakken.”
Bekend voorbeeld: een van de belangrijkste ransomware-groepen LockBit drijft op insider threats. Het is eigenlijk het businessmodel van LockBit: via hun affiliate-programma verleiden ze ontevreden werknemers om hun werkgever te verraden met het doorspelen van cruciale login-gegevens.
5. Supply chain
Deze categorie is een groeiende dreiging. Bij supply chain-aanvallen richten cybercriminelen zich op de zwakste schakels in het netwerk van uw leveranciers.
In het verleden lag de focus, volgens Claes, vooral op het uitbuiten van vertrouwensrelaties, waarbij aanvallers minder beveiligde leveranciers gebruikten als opstapje naar grotere klanten en impact. “Vandaag brengt vooral de softwaretoeleveringsketen grote risico’s met zich mee”, weet ze. “Tegenwoordig bouwen we software niet meer vanaf de basis. We leunen namelijk sterk op kant-en-klare componenten zoals API’s van derden, open source code en producten van softwareleveranciers. Elk van deze bouwstenen kan een achterdeur voor aanvallers bevatten.”
Supply chain-aanvallen zorgen dus vaak voor een kettingreactie. “Een slimme hacker kan schadelijke code in jouw systemen sluizen, die niet alleen jouw infrastructuur kan infiltreren, maar ook die van jouw klanten – met mogelijk verwoestende gevolgen.”
De uitdaging is om hier iets tegen te doen. Claes haalt enkele zaken aan. “Begin met een grondige inventarisatie van wat precies beschermd moet worden binnen jouw onderneming”, stelt ze. En naast het wat is er ook het wie. “Wie zijn jouw leveranciers en wat weet je van hun beveiligingspraktijken? Het is essentieel dat je niet alleen hun namen en diensten kent, maar ook de diepte van hun beveiligingsmaatregelen begrijpt.”
Het is, volgens haar, dus de kwestie om – hoe moeilijk ook – de risico’s die verbonden zijn aan elke schakel in jouw toeleveringsketen te analyseren. “Dat omvat het beoordelen van potentiële gevaren, niet alleen bij je directe leveranciers, maar ook bij hun onderaannemers.”
Recent voorbeeld: Meerdere Europese luchthavens, waaronder Brussels Airport, London Heathrow en Berlin Brandenburg, die recent werden getroffen door een cyberaanval op Collins Aerospace, leverancier van check-in- en boardingsystemen. Hun Muse-software ging door de knieën na een aanval met ransomware, waardoor passagiers enkel handmatig konden worden ingecheckt. Met lange wachtrijen en vele geannuleerde vluchten tot gevolg.