De politie zag een verdubbeling van het aantal digitale misdrijven in het eerste kwartaal van 2021 vergeleken met het jaar ervoor. Per week zijn er 294 cyberaanvallen op Nederlandse bedrijven, zo stelt het Nederlandse handelsregister van de KvK. Een geslaagde hack kost een onderneming gemiddeld 67.000 euro. Dit artikel legt je uit hoe criminelen aan hun software komen, hoe een aanval wordt uitgevoerd en hoe serieus bedrijven hun digitale veiligheid nemen.
Geschreven door: Youri van Heumen
DISCLAIMER: Dit artikel is gepubliceerd voor educatieve doeleinden. Ik ben niet verantwoordelijk voor potentiële schade of malafide praktijken die met opgedane kennis na het lezen van dit artikel wordt toegepast. Als je verder leest, stem je toe deze informatie UITSLUITEND voor ethisch verantwoorde zaken te gebruiken. Zo niet, dan verzoek ik je te stoppen met lezen.
Tilburg – De Mediamarkt werd op 8 november 2021 slachtoffer van een mega ransomware-aanval. De daders eisten 43 miljoen euro in ruil voor toegang tot de gegijzelde systemen. Niet alleen de Mediamarkt is het slachtoffer van een cyberaanval met aanzienlijke impact. Het aantal cybercrimes is de laatste jaren flink toegenomen. De onderstaande grafiek illustreert het aantal cybercrimes over de jaren heen.
(Bron: Datalekt.nl; aantal cyberaanvallen over de jaren heen inclusief de soort aanval)
Malware op bestelling
Een degelijke hoeveelheid kwaadaardige tools en software van relatief lage kwaliteit kan al worden gekocht voor 70 Dollar – omgerekend 61,06 Euro. Een premium set kan oplopen tot de 6000 Dollar – omgerekend 5233,42 Euro. Dit blijkt uit een artikel van beveiligingssite Privacy Affairs. De goedkoopste software heeft logischerwijs ook een lager slagingspercentage dan de duurdere software. Tools met een gemiddelde kwaliteit en een slagingspercentage van ruim 70% kosten rond de 750 tot 800 Euro.
Onderzoek van researchorganisatie CyberNews.com laat zien dat malware steeds makkelijker kan worden gekocht én toegepast. Ieder jaar is er een toename zichtbaar in het aantal cyberaanvallen. Ook bevestigt CyberNews dat de software kinderlijk eenvoudig te bemachtigen valt. Daarnaast blijkt dat er weinig tot geen technische kennis is vereist om malware te kopen of zelfs te maken. Criminelen die weinig IT-kennis hebben om eigen malware te maken, hoeven dus niet verder te zoeken dan het Dark Web. Onderstaand screenshot illustreert een homepage op het Dark Web.
(Bron: cybernews.com; overzicht van een homepage op het Dark Web)
Eén YouTube-video bekijken werkt ook
Je hoeft dus helemaal niet technisch aangelegd te zijn om zelf malware te maken. Sterker nog, op YouTube zijn meerdere voorbeelden te vinden over hoe je je eigen malware maakt. In de eerste de beste zoekopdracht – het filmpje van 33 minuten en 41 seconden – wordt in een half uur voorgedaan hoe je ransomware kan ontwikkelen om bedrijven plat te kunnen leggen én heel veel vertrouwelijke data buit te kunnen maken.
Het internet
Het WWW (World Wide Web), oftewel het internet dat voor iedereen toegankelijk is, is slechts een minuscule fractie van het gehele internet. Om de lagen van het web te illustreren, gebruiken we de bekende metafoor van de ijsberg.
Het topje (Surfaceweb) staat voor het toegankelijke internet dat voor iedereen beschikbaar is. Het gigantische stuk ijs onder water representeert het lastiger te bereiken Deep Web. De duistere, donkere kant van het internet wordt ook wel het Dark Web genoemd. Hier worden bijvoorbeeld wapens en drugs verhandeld. Minstens zo belangrijk is het hebben van basiskennis en het nemen van voorzorgsmaatregelen bij het bezoeken van het Dark Web. Het Dark Web is een complexe omgeving waar veel mis kan gaan. Om hierop te komen, heb je een speciale software nodig. De meest gebruikte software is ‘TOR’ (The Onion Router). Dit netwerk zorgt ervoor dat het zo goed als onmogelijk is om je te traceren en je gegevens worden versleuteld door middel van zogeheten encryptie.
Beveilig jezelf!
Door te weten hoe cyberaanvallen worden geplant en gepleegd, kan je jezelf beter beveiligen op het internet. Een cyberaanval is een project dat over het algemeen veel tijd kost. Als er sprake is van een gerichte aanval, praten we over minimaal drie maanden. Binnen een aanval wordt dus onderscheid gemaakt tussen twee categorieën: een gerichte aanval en een ongerichte (algemene) aanval. Een voorbeeld van een algemene/ongerichte aanval is phishing. Bij phishing worden e-mails naar grote hoeveelheden mensen verstuurd waarin mensen wordt gevraagd een neppe website te bezoeken en gevoelige informatie te delen met kwaadwillende criminelen. Een voorbeeld van een gerichte aanval is spear-phishing. Hierbij worden e-mails – geïnfecteerd met malafide software – naar individuen gestuurd in de hoop een grote hoeveelheid geld en/of data buit te maken.
Aanvalsfases
Over het algemeen is een aanval onderverdeeld in drie verschillende fases. De eerste fase is de verkenningsfase. In deze fase gaan de hackers op verkenning. Maandenlang nemen ze hun potentiële doelwit onder de loep en proberen zij zo veel mogelijk te weten te komen. Als er voldoende informatie is ingewonnen, dringen ze binnen. Dit kan door middel van bijvoorbeeld phishing, of andere hackmethoden. Het doel van de aanvallers is om zich zo diep mogelijk in het netwerk te vestigen, uiteraard zonder betrapt te worden. Na de indringfase komt de laterale bewegingsfase. In deze fase proberen de criminelen zoveel mogelijk controle te krijgen over het aanstaande slachtoffer. Nu is de jacht naar vertrouwelijke gegevens geopend.
Deze proberen zij te bemachtigen met bestaande accounts van medewerkers. Via deze accounts worden zo veel mogelijk rechten verkregen, waardoor er toegang wordt verleend tot bedrijfsgevoelige en soms zelf persoonlijke gevoelige informatie. Deze fase vindt ongeveer een aantal weken voor de aanval plaats.
De derde – en laatste – fase is de exfiltratiefase plaats. In deze fase wordt de aanval in gang gezet. Er wordt zoveel mogelijk data onopgemerkt gestolen. Soms kan het zelfs weken tot maanden duren voordat de IT-medewerkers de digitale inbraak ontdekken.
Politie gaat mee met de tijd
Cybercriminelen zijn lastig op te sporen, vertelt de politie. Cybercriminelen opereren vaak over de grenzen heen en wisselen vaak van server. Dit betekent dat de pakkans uitzonderlijk laag is. Dit maakt het dus aantrekkelijk om dit soort criminaliteit te bedrijven, zo blijkt uit de risicorapportage cyberveiligheid van het Centraal Planbureau (CPB).
De politie werkt steeds intensiever samen met zowel binnenlandse als buitenlandse organisaties om cybercriminelen op te sporen. Er zijn steeds meer teams die het opnemen tegen de high tech crime, oftewel de ingewikkeldste vormen van cybercrime. Organisaties waarmee de Nederlandse politie mee samenwerkt zijn bijvoorbeeld Interpol, Europol en de FBI. Daarbij is de Nederlandse politie onderverdeeld in tien verschillende eenheden. Iedere eenheid heeft professionals binnen de digitale recherche. Daarnaast heeft iedere eenheid een cybercrime-team. Deze teams worden intensief ondersteund door meerdere expertisebureaus.
Vergeleken met 5 jaar geleden zijn het aantal cybercrimebureaus explosief gestegen. Onderstaande grafiek laat zien hoeveel cybersecuritybedrijven per 10.000 bedrijven er waren op 1 januari 2016 vergeleken met 5 jaar later (1 januari 2021). Uit de grafiek is dus af te leiden dat er steeds meer bedrijven zijn – en opkomen – die andere bedrijven ondersteunen en adviseren over hun actuele staat van digitale veiligheid.
(Bron: tweaker.net; visualisatie over het aantal cybersecuritybedrijven per 10.000 particuliere bedrijven)
Er zijn steeds meer bedrijven die elkaar ondersteunen op het gebied van online veiligheid. Volgens Sijmen Ruwhof, ethisch hacker van beroep, is dit aantal bedrijven alsnog veel te laag: “Er komen meer en meer bedrijven die het MKB ondersteunen met cyberveiligheid, maar we zijn nog lang niet waar we willen zijn. We zijn de wedstrijd aan het verliezen, maar dat realiseren we nog niet.”
Investeren in cybersecurity
Om een kantelpunt te bereiken, zal er nog meer besef moeten ontstaan voor het belang van cyberveiligheid. Onderzoek uit het Thales European Data Threat Report toont aan dat slechts 28 procent van de – in totaal 509 ondervraagde – bedrijven plannen hebben om de investeringen te verhogen. Ter vergelijking: het gemiddelde Europese percentage komt neer op 38, waar het wereldwijde percentage zelfs 49 bedraagt. Bedrijven voelen zich daarnaast 20 procent minder vatbaar voor cyberaanvallen.
Uit aanvullend onderzoek van Motiv ICT Security blijkt echter dat de investeringen in cybersecurity in oktober van het vorige jaar wél zijn toegenomen. “Voor de wereldwijde pandemie reserveerde 17 procent van de organisaties meer dan 10 procent van het IT-budget voor cybersecurity. Inmiddels is dit gestegen naar bijna een kwart (24%). Deze trend laat zien dat organisaties steeds beter doordrongen zijn van de cyberrisico’s en het belang van cybersecurity”, zo blijkt uit het onderzoek. Toch zag de politie een verdubbeling van het aantal digitale misdrijven in het eerste kwartaal van 2021 vergeleken met het jaar ervoor, ondanks het feit dat dus steeds meer bedrijven zich (beter) hebben beveiligd tegen cyberaanvallen.
Steeds meer bedrijven investeren wel in cybersecurity, maar dit zijn voornamelijk de grote bedrijven die over de financiële middelen beschikken. De relatief kleinere bedrijven kiezen er nog altijd vaker voor om zich kwalitatief slechter te beveiligen tegen digitale inbraken. Volgens Ruwhof komt dit door het feit dat cyberaanvallen abstract zijn: “Cyberaanvallen zie je niet. Als je in een fysieke winkel – beveiligd met sensoren, laserstralen en camera’s – inbreekt, gaan de alarmbellen af en word je direct gewaarschuwd. Een cyberaanval is ‘onzichtbaar’, wat betekent dat je het niet ziet als iemand je digitale mappen afspeurt naar gevoelige data als je niet beveiligd bent.” Ruwhof legt uit dat mensen sneller geneigd zijn deze gevaren te negeren, omdat ze niet zichtbaar zijn.