[Video] Avonturen in Cyberland – hoe komen aanvallers in je bedrijfsnetwerk?
Linda’s experiment
In de nieuwste aflevering van onze documentaireserie ‘Adventures in Cyberland’ doet Linda Liukas, gerenommeerd kinderboekenschrijfster en TEDx-spreker, iets wat de meeste mensen niet zouden doen: ze laat zich hacken. Gelukkig zijn het onze cybersecurity-experts die een poging wagen. Zal het ze lukken?
Vertrouwen gebruiken om toegang tot het doel te krijgen
Hacken, moet je je daar zorgen over maken? Voor gewone mensen is het inderdaad niet erg gebruikelijk om een doelwit te zijn van een geavanceerde cyberaanval. Maar voor werknemers die toegang hebben tot kritieke informatie en systemen van bedrijven, is het eigenlijk een zeer relevante zorg. Linda werkt bijvoorbeeld met een een waardevol netwerk van bedrijven. Toegang tot dat netwerk kan voor een aanvaller erg interessant zijn.
Een van de beste methodes om ergens binnen te komen is tegenwoordig social engineering, aanvallers spelen dan in op de menselijke psychologie. Om toegang te krijgen tot de waardevolle activa van bedrijven is de verkenningsfase erg belangrijk. Behalve online datamining en onderzoek op social media, kan de aanvaller proberen fysieke toegang te krijgen tot het bedrijfspand. Ze doorzoeken zelfs wel eens prullenbakken om materiaal te vinden dat helpt toegang te krijgen tot het doelwit.
Een interessante aanvalsroute in het geval van Linda is: toegang krijgen tot de e-mail of social accounts van Linda via een phishing-e-mail. Speer-phishing-e-mails lijken afkomstig te zijn van iemand die het doelwit vertrouwt. Ze zijn ontworpen om het doelwit zo ver te krijgen om te klikken op een schadelijke link en gevoelige informatie, zoals wachtwoorden, te delen. Met toegang tot de accounts van Linda kunnen de aanvallers het vertrouwen van het netwerk van Linda winnen. Vervolgens kunnen ze bijvoorbeeld een bewerkte malware-payload verzenden en zo toegang krijgen tot de doelorganisatie.
Is het verkeerd om op een phishing-e-mail te klikken?
De meeste aanvallen zijn het resultaat van simpele menselijke fouten. Je kunt een aanval enige tijd ontwijken door extra alert en achterdochtig te zijn. Voor organisaties is het probleem dat aanvallers maar één fout van één individuele medewerker nodig hebben om in jouw netwerk te komen. Als aanvallers maar voldoende tijd en doorzettingsvermogen hebben, komen ze echt wel binnen.
Het is eigenlijk niet eerlijk om over menselijke fouten te praten. E-mails zijn tenslotte ontworpen om te worden geopend en gelezen te worden. De juiste manier om dit probleem aan te pakken is door meerdere opties voor bescherming te gebruiken. Als je een bedrijf wilt beschermen, moet je niet alleen afhankelijk zijn van het feit dat mensen geen schadelijke e-mails openen.
Een gerichte aanval kan maandenlang onopgemerkt blijven
Een aanvaller die via social engineering-methoden toegang heeft gekregen, is buitengewoon moeilijk te traceren. Een cyberaanval die goed in elkaar zit, kan maandenlang actief zijn binnen een organisatie zonder gedetecteerd te worden. Aanvallers vertrouwen erop dat bedrijven een gebrekkig zicht hebben op hun IT-infrastructuur, zo kunnen zij ongestoord hun gang gaan. Hoe langer de aanvaller onopgemerkt blijft, des te groter de financiële verliezen, schade aan het merk en de reputatie van het bedrijf.
Eerste aflevering gemist? Deze vind je hier.
Ben je F-Secure partner/reseller of ben je geïnteresseerd in ons portfolio en wil je reseller worden? Meld je dan aan voor de F-Secure Partner Life Security Academy op 1 juni in Eindhoven. Klik hier voor meer informatie.
Categorieën