Het zijn woelige tijden voor ondernemers. Men investeert in verschillende lagen van fysieke beveiliging: rampaaltjes, alarmsystemen, camerabewaking, gepantserde rolluiken en mogelijks zelfs veiligheidsagenten. Maar dan begint het pas. Voor vele organisaties gaat de ganse bedrijfsvoering vandaag digitaal. Hackers gaan steeds driester en vooral gerichter te werk, als een wolf in schapenvacht. Ook hier moet dus beveiliging van verschillende lagen worden voorzien.

Voorbeeldscenario

U werkt als boekhoud(st)er bij “Ziekenhuisgroep Sint-Roel”. U krijgt een dringende mail van uw baas of financieel directeur met een factuur als bijlage waarin hij/zij u persoonlijk aanspreekt om deze betaling zo snel mogelijk uit te voeren. Mailadres, schrijfstijl en handtekening van de persoon in kwestie is perfect identiek. Weinig mensen twijfelen en schrijven het bedrag over. Tot wanneer blijkt dat de baas deze mail helemaal niet geschreven had.

Nochtans kwam de mail wél van directeur@ziekenhuisgroupsintroel.be. Uw domein bevindt zich echter op ziekenhuisgroepsintroel.be. Ziet u de fout? Hier is een gerichte aanval gebeurd. Pogingen hiertoe zien we intussen meer dan wekelijks en bescherming is bijzonder lastig, maar haalbaar.

Roel Van Looy

Roel Van Looy Technical Business Manager bij VanRoey.be

Harvesting

De oorzaak van dit soort gerichte aanvallen is harvesting. We ervaren er de laatste maanden een exponentiële groei van. Zorgwekkend. Het is een gerichte aanval om gegevens over uw bedrijf en uw werknemers te ontfutselen om vervolgens een zware slag te slaan.

U krijgt een onschuldig mailtje in perfect Nederlands: “Beste, ik ben een student – … –  bij wie kan ik mogelijk terecht voor een stage op de dienst …” Een eenvoudige reply van één of meerdere behulpzame werknemers is genoeg om juiste e-mailadressen, de juiste handtekening en de juiste namen van specifieke personen te bemachtigen. Nu al kan men een gelijkaardig domein registreren, of proberen vanuit hetzelfde domein te mailen om u in de val lokken.

Hoi [Uw Correcte Voornaam]

We gaan binnenkort van start met een nieuw systeem. Zou u even op deze link uw gegevens kunnen verifiëren? Het duurt amper 10 seconden en dan kunnen wij weer verder.

Alvast bedankt en groetjes,
[Correcte Voornaam en handtekening van uw ICT verantwoordelijke]

Het wordt erger wanneer specifieke collega’s een ‘officiële’ mail krijgen van het ICT departement.

De link verwijst naar een pagina die er bekend uitziet op een domeinnaam die nauwelijks afwijkt van die van uw (IT-)organisatie. In tegenstelling tot phishing-mails van uw bank vertrouwen uw medewerkers dit soort mails bijna blind. Hackers maken zo in mum van tijd een schat aan log-ins en wachtwoorden buit.

Hoe kan je tegen harvesting beschermen?

Wij raden hiervoor volgende 3 lagen van beveiliging aan:

Één Een spamfilter met sandboxing (meer hierover onderaan deze pagina) houdt de meeste spam, cryptolockers en virussen tegen. Een absolute must-have dus, en sinds kort ook beschikbaar voor cloudoplossingen. Globale ongerichte aanvallen komen er zo goed als zeker niet door. Deze spamservers komen meteen op internationale blacklists terecht. Het echte probleem is gerichte spam die enkel naar uw of enkele bedrijven in de regio gestuurd wordt. Één reply is genoeg om namen, handtekeningen en mailadressen te verzamelen. Een goede spamfilter alsook antivirus gaat u niet helpen tegen vervalste mails, facturen of links naar valse aanmeldformulieren.

Twee Stel, uw bedrijf is ‘geharvest’ en enkele werknemers hebben hun aanmeldgegevens ingegeven. 90% van de organisaties is op dit ogenblik een vogel voor de kat met mogelijks zeer ernstige gevolgen. In dit geval kan two-factor-authentication zoals SMS Passcode uw vel redden. Dit systeem vraagt bij iedere aanmeldpoging een éxtra code die u op uw GSM aankrijgt via SMS. Hackers zouden over uw ontgrendelde telefoon moeten beschikken om aan deze code te kunnen geraken.

Drie De derde laag van beveiliging is de meest logische, maar wordt vaak onderschat. De zwakste schakel binnen uw organisatie blijven uw mensen. Een goede training en besef van de risico’s is van groot belang. Stel policies op, maak mensen waakzaam voor de risico’s. Bel uw collega’s van ICT zodra u sms’jes krijgt van aanmeldpogingen die u niet zelf veroorzaakt hebt. Zo kunnen ze uitspitten wie erachter zit. Leer collega’s signalen van vervalsing identificeren etc…

Dit zijn slechts enkele van de lagen beveiliging die we u kunnen bieden. Wilt u onze volledige 10 lagen aanpak ontdekken?

Klik Hier

Een gerichte aanval kan geweerd worden, maar het vereist een gezonde mix van hoogtechnologische snufjes en gezond verstand. Grote overschrijvingen of gevoelige data doorsturen zou steeds persoonlijk, liefst mondeling geverifieerd moeten worden.

Wat is uw aanpak?

Is uw organisatie vandaag op het ergste voorbereid? Wat is uw veiligheidsstrategie? Dit zijn zware vragen maar vroeg of laat komt ook u in aanraking met een bende die u als doelwit gekozen heeft. En geloof ons: dit wilt u niet meemaken. Tal van bedrijven overleven een grootschalige hack niet, want afgezien van financiële schade of technische werkloosheid is het vaak de vertrouwensbreuk met uw cliënteel die u de das omdoet.

De gelegenheid maakt de dief.

Vaak staat de deur wagenwijd open, en deze kansen zullen vroeg of laat benut worden. VanRoey.be biedt hierom een security audit aan waar onze specialisten uw organisatie op tal van beveiligingsniveaus aftoetsen om achteraf samen met u te bespreken welke strategie uw organisatie best volgt.

Security Audit Aanvragen?

Mail ons of tel: 014 470 605 of laat uw gegevens achter in het invulformulier.

Invulformulier openen

Onze specialisten zullen u contacteren met meer informatie over onze Security Audit




Onze experts nodigen u uit voor een vrijblijvend en open gesprek over de beveiliging van uw bedrijf met de optie om op korte termijn een Security-audit te reserveren.

Deze blog kwam tot stand dankzij Roel van Looy, Technical Business Manager bij VanRoey.be. Meer weten over onze gelaagde security-aanpak? Klik hier.

Addendum
Hacks die we recent meegemaakt hebben

Vaak klinken aanvallen als science-fiction, maar niets is minder waar. Ze kunnen vanuit alle mogelijke hoeken komen, ook daar waar u het niet verwacht. We komen de gekste dingen tegen, en dat in dramatisch stijgende lijn, bij compleet willekeurige organisaties. Hoe groot of hoe klein ze ook zijn is voor de hackers vaak niet relevant.

Wireless Sniffer

Bij een grote klant werd recent een wireless sniffer aangetroffen onder de vloer. Heel toevallig omdat iemand een kleine wijziging merkte. Dit soort apparaatjes zijn nagenoeg niet te detecteren, maar kunnen enorm veel data buitmaken door ofwel draadloos surfverkeer af te tappen ofwel door zich voor te doen als een accespoint van uw organisatie. Gelukkig waren er camerabeelden van de man die de sniffer plaatste en werd de bende opgerold. Ook bij andere bedrijven in de buurt werden de toestelletjes aangetroffen.

De gratis USB key

Er bestaan USB sticks die worden afgegeven als cadeau of bewust achtergelaten op strategische plaatsen. De gebruiker merkt niet dat de stick een zéér beperkt ingebouwd PC’tje bevat.

Eens verbonden met een PC is het hek van de dam en kan deze dienst doen als keylogger, instructies injecteren … Deze manier van aanvallen is vaak even schadelijk als wanneer een hacker fysieke toegang tot uw toestel zou bemachtigen.

Cryptolockers en virussen

Net als tal van klanten ervaren we zelf ook geregeld gerichte aanvallen. Een voorbeeld: er werden duizenden mails met .exe cryptolocker in bijlage gestuurd naar ons domein. Niemand merkte dit gezien onze oplossing FortiSandbox deze executables in een gecontroleerde omgeving loslaat op een virtuele Windows (XP t/m 10). Er wordt een grondige analyse gemaakt van het gedrag van de executable en het systeem beslist of een bestand door mag komen. Zo kunnen zelfs de meest recente of verdoken virussen toch geïdentificeerd worden nog voor ze een eindgebruiker of virusdatabases bereiken. Een vuistregel luidt dan ook: het is te laat als een virus, zelfs ongeopend, tot bij de eindgebruiker geraakt.

Terug naar de aanval: nadat de eerste aanvalserver op onze blacklist verscheen ondervonden we iets later poging 2. Er werd vanuit een nieuw domein gespamd, maar dan met een geïnfecteerd javascript in bijlage. Ook deze werden op dezelfde manier geïdentificeerd dankzij Sandboxing. In een derde en laatste fase probeerde men het via een geïnfecteerd Adobe Acrobat bestand, dat opnieuw geweerd werd, nog voor het bij gebruikers in de mailbox terecht kwam.

Wekelijks worden we een paar keer gecontacteerd door klanten en organisaties die zo onder vuur liggen van gerichte aanvallen. Sandboxing is hier een concrete oplossing. FortiSandbox opent bovendien alle links in mails in verschillende browsers om te zien of ook zo geen malware verspreid wordt. En zelfs op de geopende pagina’s wordt nogmaals op alle links geklikt voor de zekerheid.

Opgelichte klanten

Een groot leverancier verkoopt bijzonder kostelijke applicaties. Vaak investeringen die in één grote hap betaald dienen te worden. Enkele grote facturen werden op korte termijn uitgestuurd. Blijkbaar was iemand hiervan op de hoogte. De facturen werden onderschept en met een andere rekeningnummer naar klanten gestuurd. Zij verwachtten deze factuur dus zagen er geen graten in te betalen.

Wie is hier de schuldige? Waar zat het lek? Wisten bepaalde individuen dat deze facturen zouden vertrekken bij de post of koerierdienst? Zoja: hoe wisten ze dat? In ieder geval is het een zeer vervelende situatie. Klanten hebben betaald en zullen zeker niet nogmaals de grote som willen betalen. Terugvorderen is onmogelijk… In dit geval had digitale facturatie wellicht een oplossing kunnen bieden.