Een succesvolle cyberaanval is niet per se geavanceerd

A-hack-doesnt-have-to-be-sophisticated-to-workWanneer mensen het over cyberaanvallen hebben, stippen ze vaak aan hoe knap en verfijnd deze zijn opgezet. Vaak wordt er in de media vooral gesproken over hoe precies een hacker te werk is gegaan en wat voor slimmigheden hij of zij heeft uitgehaald. Er wordt gesproken over hacken, alsof het een kunstvorm is. Cybercriminelen zijn intelligent en gebruiken verfijnde methodes, maar het is een misvatting om te stellen dat iedere aanval ook zo geavanceerd en verfijnd is.

Voor een succesvolle hack worden namelijk lang niet altijd zeer verfijnde middelen ingezet. De hacker heeft immers maar één doel: een succesvolle hack. En dat vraagt lang niet altijd om een geavanceerde methode.

Hoe maakt niet uit, als het maar werkt
Hackers doen het niet voor de show of om anderen te imponeren. Het enige waar zij om geven is dat hun werk zo effectief en efficiënt mogelijk gebeurd. Een goed voorbeeld hiervan is de aanval op de Franse tv-zender TV5 Monde.

De middelen voor de hack van TV5 Monde waren bij lange na niet geavanceerd. Integendeel zelfs, de gebruikte malware was gemaakt met het relatief simpele VBScript toolkit waarvan een instructievideo op YouTube staat. In een tijd waarin steeds meer lesmateriaal en kennis online worden geplaatst, is het verontrustend dat dergelijke video’s en informatie ook online te vinden zijn. Mensen hebben tegenwoordig geen diepgaande kennis over het ontwikkelen van geavanceerde malware meer nodig om te kunnen hacken.

Hoewel er online genoeg informatie en tools te vinden zijn om te hacken, zijn er nog simpelere manieren om toegang tot iemands persoonsgegevens te krijgen. John Brennan, directeur van de CIA, ondervond het zelf toen zijn AOL-e-mailaccount was gehackt door een tiener. Die had door middel van social engineering de gevoelige informatie verkregen.

In dit specifieke geval, belde de cybercrimineel met netwerkaanbieder Verizon en deed zich voor als technicus. De New York Post berichtte dat de tiener vroeg om informatie die het account werkend zou houden. De tiener lichtte daarmee Verizon op die hem van Brennans persoonlijke informatie voorzag. Toen hij eenmaal toegang had tot de data van CIA-directeur, nam hij contact op met AOL met de mededeling dat hij geen toegang meer had tot zijn account en zijn wachtwoord moest resetten. Nadat ook dit was gebeurd, had de tiener toegang tot het mailaccount van Brennan.

Met dit incident is duidelijk hoe makkelijk een aanval kan zijn. De jongeman heeft dankzij geweldige spreekvaardigheid en overtuigingskracht twee bedrijven om de tuin weten te leiden. Linksom of rechtsom, de kern van het verhaal is dat je al met bij wijze van twee telefoontjes toegang kan krijgen tot de inbox van de directeur van de CIA. En waarom zou je hier zeer geavanceerde of verfijnde technieken voor inzetten als je op deze relatief eenvoudige manier ook je doel bereikt?

Hoe gaan we dit bestrijden?
De realiteit is helaas dat je je als organisatie niet tegen alle aanvallen kan beschermen. Er zijn voorzorgsmaatregelen die je als bedrijf kan nemen om de kans op een aanval te verkleinen, maar gezien de grote hoeveelheid aan hackers en aanvallen, komt er een moment waarop je hiermee wordt geconfronteerd en een aanval in de eerste laag zal binnendringen. Het enige wat dan nog rest, hoe spijtig ook, is achterhalen wie het heeft gedaan en opnemen wat de schade is.

Hackers bestaan én ze zoeken constant naar manieren om de gegevens van mensen en bedrijven in hun bezit te krijgen. We moeten ons daarom beseffen dat alles, zelfs een niet geavanceerde of verfijnde aanval, een dreiging kan vormen voor onze data. Hoe simpel het soms ook is of lijkt, voorzorgsmaatregelen treffen is noodzakelijk. Zoals Raimund Genes in zijn artikel van augustus 2015 schreef: “An intrusion detection system is no longer a luxury, but a necessity.”

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.