IT-managers en CISO s zien dagelijks cyberbedreigingen voorbijkomen, maar de meest beslissende aanvallen beginnen vaak klein: een klik, een download, een onvoorzichtige medewerker. Soms zijn er dubbelrollen in het spel. Meer en meer worden leveranciers getroffen. Dit zijn vijf belangrijke vormen van bedreigingen die vandaag je veiligheid, budget en reputatie kunnen lamleggen.

1. Phishing

Veel onheil komt nog steeds voort vanuit aloude phishing. “Hoewel er in de pers voornamelijk wordt gerapporteerd over de grote ransomware-aanvallen, is phishing, met frauduleuze e-mails, vaak de eerste stap”, benadrukt Nathalie Claes, externe CISO en DPO en ook auteur van het boek Gehackt, wat nu?

De reden waarom bedrijven zo kwetsbaar blijven voor phishing, heeft volgens haar twee grote oorzaken. Er wordt enerzijds onvoldoende of verkeerd geïnvesteerd in informatiebeveiligingsinfrastructuur in het algemeen. En anderzijds wordt de menselijke factor zwaar onderschat. “Hoe vaak kom ik niet in organisaties waarbij er totaal niet geïnvesteerd wordt in het aanbieden van de juiste training aan werknemers? Het is van belang dat medewerkers de switch maken van reactief naar proactief gedrag op het gebied van informatiebeveiliging.”

E-mail blijft een van de belangrijkste manieren waarop phishingaanvallen worden uitgevoerd. “Ongeveer 1 op de 99 e-mails is een phishingpoging, en 30 procent van deze e-mails wordt daadwerkelijk geopend”, weet ze. Al viseren aanvallers, naast e-mail, ook gecompromitteerde websites en samenwerkingsapps.

Bekend voorbeeld: de Nigeriaanse prins is natuurlijk een klassieker: “We have currently thirty million US dollars which we got from over inflated contract…” Maar één blik in je mailbox (vooral bij ongewenste e-mail) en je krijgt nog talloze voorbeelden.

2. Baiting

Baiting tilt phishing naar een hoger niveau door iets aantrekkelijks te bieden dat mensen niet kunnen negeren: van een bestand dat je echt wilt zien tot een link die je nieuwsgierig maakt.

Wat baiting echt anders maakt, is dat het slachtoffer er zelf voor kiest om in de val te lopen door actief iets te doen dat niet pluis is. Maar de nood aan alertheid is dezelfde als bij phishing. “Als baiting-aanvallen slagen, is dat door zwakke beveiligingsprotocollen. Maar meer nog door het feit dat medewerkers zich onvoldoende bewust zijn van mogelijke risico’s en de impact ervan”, oppert Nathalie Claes. Baiting is hardnekkig. “Geen enkele branche is veilig voor dergelijke aanvallen die inspelen op onze nieuwsgierigheid, angsten of verlangens, met infecties, datalekken en het overnemen van infrastructuren én financiële en reputatieschade tot gevolg”, stelt ze. “Bij mijn klanten zie ik dat baiting in allerlei vormen voorkomt – van verleidelijke deals tot illegale downloads en gecompromitteerde apparaten.”

Bekend voorbeeld: Uber. Een cybercrimineel kon een paar jaar geleden via het Slack-account van een interne Uber-medewerker diens referenties kapen. De crimineel kreeg uiteindelijk toegang tot een groot aantal cloud storage buckets en databases met gevoelige klantgegevens, financiële cijfers en broncode.

3. Pretexting

In tegenstelling tot phishing is pretexting meestal nog meer gericht en vereist het een meer gedetailleerde voorbereiding. “Aanvallers creëren een overtuigend, maar fictief scenario of fictieve identiteit om specifiek geselecteerde slachtoffers te overtuigen”, verklaart Claes.

Pretexting is doorgaans een best sluwe vorm van social engineering. “Om geloofwaardigheid op te bouwen bij het potentiële slachtoffer, doet de cybercrimineel zich meestal voor als iemand met gezag over het slachtoffer, zoals een baas of leidinggevende. Of als iemand die het slachtoffer geneigd is te vertrouwen, zoals een collega, IT-medewerker of vriend.”

En naast het personeel hoort er ook een nepverhaal bij dat de oplichter bovenhaalt. “Dat kan algemeen zijn, zoals ‘u moet uw accountgegevens bijwerken’, of ze kunnen heel specifiek zijn, vooral als de oplichters het op een bepaald slachtoffer gemunt hebben.”

Om hun imitaties en situaties geloofwaardig te maken, doen cybercriminelen meestal online onderzoek naar hun doelwit. “Dat is niet zo moeilijk. Hackers kunnen een overtuigend verhaal maken op basis van informatie op sociale media en andere openbare bronnen, na slechts 100 minuten algemeen googelen.”

Een bekende toepassing van pretexting is business email compromise (BEC), waarbij meestal een zakenman met autoriteit of invloed, dringende hulp nodig heeft. “Jaar na jaar behoort BEC tot de duurste cybermisdaden”, oppert Claes. “Volgens het IBM Cost of a Data Breach-rapport kost een datalek als gevolg van BEC slachtoffers gemiddeld rond de 5 miljoen dollar.”

Bekend voorbeeld: de (zogezegde) managing director die vastzit op een vliegveld en zijn wachtwoord is vergeten. En vraagt om zijn wachtwoord van het betalingssysteem te bezorgen. Of beter: of jij een niet onaanzienlijk bedrag kunt overmaken naar een bepaalde bankrekening?

4. Insider threats

Dit is een geval apart. Een insider heeft namelijk geautoriseerde toegang tot de middelen van een organisatie. Denk aan personeel, faciliteiten, netwerken, systemen en… informatie.  “Zo’n insider is dan een werknemer, maar het kan ook een consultant of ontwikkelaar zijn. Of gewoon iemand die fysieke toegang heeft.”
 
In het algemeen komen bedreigingen van binnenuit voort uit twee soorten activiteiten, merkt Claes op. Je hebt onopzettelijke (zoals toevallige fouten of nalatigheid) en opzettelijke activiteiten. “Het is belangrijk om het onderscheid tussen de verschillende soorten bedreigingen te kunnen herkennen, omdat ze een fundamenteel andere aanpak vereisen.”

Ook insider threats worden nog vaak onderschat. “Hoewel incidenten met insiders een aanzienlijke kost met zich kunnen meebrengen, missen vele organisaties nog steeds een formeel programma om dergelijke risico’s aan te pakken.”

Bekend voorbeeld: een van de belangrijkste ransomware-groepen LockBit drijft op insider threats. Het is eigenlijk het businessmodel van LockBit: via hun affiliate-programma verleiden ze ontevreden werknemers om hun werkgever te verraden met het doorspelen van cruciale login-gegevens.

5. Supply chain

Deze categorie is een groeiende dreiging. Bij supply chain-aanvallen richten cybercriminelen zich op de zwakste schakels in het netwerk van uw leveranciers.

Deze versturen we 3-4x per jaar.