Een kijkje door de ogen van een hacker

Phishing is één van de grootste digitale dreigingen van dit moment. Hoe gaat het in zijn werk? Wat is er voor nodig om het uit te voeren? Wat zijn de gevaren en gevolgen als uw organisatie het doelwit is? Hoe voorkomt u het? Hoe gaat u er mee om? In deze blog geef ik u een kijkje door de ogen van een hacker om maar aan te geven hoe snel u slachtoffer kunt worden van een cyberaanval.

‘Ik’ als hacker 

Veel mensen werken momenteel thuis. Zo ook ‘ik’. Het kan zijn dat ik een student ben, maar misschien ben ik thuis vanwege mijn contactberoep. Het kan zijn dat ik ben ontslagen omdat ik nog in mijn proefperiode zat, of misschien laat ik mij inhuren door organisaties. Ik zit in ieder geval thuis en heb een klein beetje kennis en alle tijd. Ik heb geld nodig, ik ben gefrustreerd of ik heb een politieke boodschap. 

Mijn doelwit wordt voor mij aangewezen of ik kies zelf een doel. Het liefst met een lage pakkans en een hoge beloning. Wie val ik aan? Een technisch bedrijf heeft ontwikkelingen en tekeningen. Overheden, scholen en zorginstellingen hebben persoonsgegevens. Organisaties uit het MKB hebben van beide wat. Ach, het maakt ook niet zo veel uit welke… 

Ik heb wat info nodig

Om te krijgen wat ik wil, heb ik enige informatie nodig. Laat ik daar maar mee beginnen. Ik kijk wat op de website van mijn doelwit en zie een info@-mailadres staan. Wat ik eigenlijk zoek is een e-mailadres van een medewerker. Ik wil namelijk weten uit welke combinatie de e-mailaccounts van medewerkers zijn opgebouwd. Is het voornaam.achternaam@organisatie.nl of is het v.achternaam@ organisatie.nl. Ik denk dat mijn doelwit mij daar zelf wel mee kan helpen. Daarom stuur ik de organisatie een e-mail, op het info@-mailadres, met een willekeurige vraag. Ik krijg een nutteloos antwoord terug maar ik heb wat ik wil. De handtekening met het logo, de volledige naam van een medewerker en verdere adresgegevens krijg ik er cadeau bij.  

Het volgende wat ik nodig heb is een lijst van e-mailadressen. Trouwens, namen van medewerkers zijn eigenlijk wel voldoende. Omzetten naar een e-mailadres kan ik nu zelf wel. Laat ik eens kijken welke namen de ‘tool’ LinkedIn mij geeft. Nadat ik de naam van de organisatie of instelling in de zoekbalk in heb gevoerd verschijnen enkele medewerkers als resultaat. Ik krijg de CEO, enkele managers en een paar medewerkers op mijn beeldscherm te zien. 

7 tips om datalekken te voorkomen

Digitale gevaren liggen overal op de loer. Ook voor de MKB-bedrijven! Vooral de minder grote bedrijven beschikken niet over enorme ICT-afdelingen. 

Hoe zorgt u er dan voor dat de ICT security zo optimaal mogelijk is ingericht? In onze infographic (A4) geven we u 7 tips. Deze downloadt u direct door onderstaand uw naam en e-mailadres in te vullen!

Infographic 7 tips tegen datalekken

• Bedrijfsnaam
• Naam
  Voornaam
• E-mailadres*
• Door op versturen te klikken gaat u akkoord met onze privacyverklaring.
• Comments
  Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Even creatief zijn met een ‘nepmailtje’

De maillijst begint al aardig vorm te krijgen. Het volgende wat ik nodig heb is de inhoud voor een mail, betrouwbaar genoeg om de nieuwsgierigheid van medewerkers te wekken. Eén klikje is genoeg. Eens kijken welke template ik ga gebruiken: 

• Microsoft;
• Office;
• SharePoint;
• Citrix; 
• Navision;
• AFAS; 
• Gensys.

Er is keuze genoeg. En welk onderwerp? Is het tijd voor een kerstpakket, een nieuwsbericht over corona, een software update, tijd voor het wijzigen van het wachtwoord, de betaling van een factuur, is er een bestand gedeeld of komt er een grote wijziging binnen de organisatie? Na een template en een onderwerp te hebben gekozen stel ik een mail op die identiek is aan een originele mail van deze organisatie.  

Wat ik verder nodig heb is een mogelijkheid tot het binnen hengelen van inloggegevens. Ooit heb ik op school wel eens met HTML en PHP gewerkt. Ik weet niet precies meer hoe het werkt maar internet helpt mij hierbij. De volledige codetaal voor een website met de mogelijkheid tot het invullen van inloggegevens haal ik van internet. Ik wijzig de lay-out zodat het lijkt alsof ook de website van een welbekende organisatie is. Vervolgens zet ik de website online. De weblink, daar gaat het allemaal om. Ik wil dat één van de werknemers hier op klikt. Daarom wijkt mijn eigen gecreëerde weblink minimaal af van het origineel. Alleen de i heeft ineens twee puntjes of de S is een $ geworden. De link naar mijn website voeg ik toe aan de e-mail die ik heb opgesteld.  

Even andermans naam gebruiken

Ik wil mijn phishingmail versturen maar bedenk me dat ik de medewerkers het meest overtuig als ik mail vanuit een voor hen welbekende organisatie. Moet ik hiervoor Microsoft, Citrix, Navision, AFAS of Gensys hacken? Nee. Ik leen alleen even hun mail adres. Hiervoor gebruik ik de SMTP-server die ik bij het domeinnaam heb gekregen bij de organisatie waar ik mijn website heb gelanceerd. Middels een eenvoudige tool kan ik nu zelf invoeren vanuit welk e-mailadres ik mijn e-mail verstuur. Het maakt niet uit dat dit e-mail adres al bestaat. Vervolgens verstuur ik de e-mail naar de medewerkers van de organisatie die heeft wat ik wil hebben. 

Hierbij denk ik ook na over de timing. Het is vrijdagmiddag als de medewerkers van een organisatie de laatste werkzaamheden afronden voor deze week. “Hee collega’s, krijgen jullie ook dit e-mai… ow wacht, thuis aan het werk. Eens kijken wat het is. Snel even regelen dan kan het weekend eindelijk beginnen. Huh, moet ik hier voor inloggen? Hm, zal wel komen omdat ik thuis aan het werk ben.” De inloggegevens worden ingetypt maar er verschijnt een foutmelding. Na het nog een keer te hebben geprobeerd wordt besloten er volgende week verder naar te kijken. 

En ik kan inloggen

‘Ik’ zit nog steeds thuis. Ik open een bestand waarin de inloggegevens worden opgeslagen van medewerkers die hebben geprobeerd in te loggen. Ik zie dat al verschillende medewerkers dit geprobeerd hebben. Voor mij een paar open deuren naar hetgeen dat ik wil hebben. Het versturen van een phishing mail maakt mij geen hacker. Maar ik ben nog maar net begonnen… 

Met deze inloggegevens kan ik inloggen in het systeem. Ik heb toegang tot interne bestanden. Ik heb de mogelijkheid om malware achter te laten zodat ik niet eenmalig binnen ben maar ook binnen blijf. Een klein achterdeurtje zodat ik toegang houdt zelfs nadat de wachtwoorden worden gereset. De malware (ransomware) die ik kan achterlaten heb ik verstopt in een Excel of Word bestand. Uw medewerkers hoeven dit bestand maar te openen en ik heb niet alleen toegang tot clouddiensten waarvan u gebruik maakt maar ook tot uw lokale netwerk, uw lokale apparaten, uw software en uw back-ups. Ik wacht twee, drie of zes maanden en heb al uw gegevens in handen. Ik geef ze graag aan u terug, laten we een deal sluiten. Hoe klinkt € 200.000,- ? 

Dit overkomt u toch niet?

Mogelijk vraagt u zich af hoe vaak dit voorkomt? Of denkt u: dit overkomt mijn organisatie niet.

• Als we kijken naar een nieuwsbericht eerder deze maand wordt duidelijk dat hackers creatief en actief zijn: Cybercriminelen spelen in op corona-angst.
• Microsoft geeft aan dat 91% van de cyberaanvallen begint met een e-mail.
• En we kunnen ons allemaal nog de cyberaanval op Universiteit Maastricht herinneren.

Mijn boodschap: zorg dat ICT-security de aandacht heeft binnen uw organisatie!

Waarom kiezen hackers veelal voor phishing?

Bij het markeren van een doel worden zij niet gedetecteerd. Bij het verzamelen van informatie kan gebruik gemaakt worden van open source informatie. Internet biedt alles wat de hacker nodig heeft. 

Vluchten en ontsnappen niet nodig. Fysiek aanwezig zijn op een locatie is niet meer nodig voor het plegen van diefstal, fraude of verstoring. Dit alles betekent dat het eerste moment van detectie pas mogelijk is bij de uitvoering van de aanval.

Uw belangrijkste verdediging: Security Awareness…

Om phishing te voorkomen is security bewustzijn van de medewerkers het belangrijkste. Hoe kunt u dit verhogen? Medewerkers moeten:  

• bewust zijn van de aanvalsmethoden en werkwijze van criminelen om deze aanvallen te herkennen;   
• bewust zijn van de protocollen binnen de organisatie;  
• bekwaam zijn om op de juiste manier te handelen tijdens en na een incident. Dit kan de schade van de aanval beperken of zelfs voorkomen. 

Train medewerkers, maak ze bewust en het allerbelangrijkste.. herhaal deze dit onderwerp. Voorzie uw medewerkers van actuele informatie, hou ze op de hoogte en hou ze scherp door periodieke training.

…En professionele inrichting van ICT-security

Met onze dienst 365 Protect helpen wij u graag. Hierdoor: 

• worden gestolen inloggegevens waardeloos middels multi factor authenticatie;
• worden verouderde protocollen zoals SMTP geblokkeerd waardoor het niet meer mogelijk is om een email te versturen vanuit een ander e-mailadres;
• worden binnenkomende bijlagen en links gescand; 
• bent u beschermd tegen phishing en malware aanvallen;
• kunt u uw medewerkers scherp houden door periodiek een phishing scenario te trainen. 

Sterker nog! Bent u bang dat uw organisatie al het doelwit is van een cyberaanval? Of dat hackers al binnen uw organisatie aanwezig zijn? Met onze Blue Socks dienst verlening scannen wij continu uw uitgaand netwerkverkeer op verdacht gedrag om zo criminelen zo spoedig mogelijk te detecteren. Een extra stok achter de deur.

Totaal advies om uw ICT-security te optimaliseren? Uw netwerk veilig, uw apparaten en mobile device veilig, uw back-ups in een afgescheiden VLAN? We informeren u graag over de mogelijkheden.