​7 lessen die ook jij kunt trekken uit andermans cyberaanval

Cyberaanvallen verschijnen regelmatig in het nieuws, maar er wordt maar sporadisch aandacht besteed aan de afhandeling van zo’n crisis. Zodra een bedrijf zijn dienstverlening weer voortzet, lijkt de kous af. Een openbaar rapport van Fox-IT, dat zo’n grote cyberaanval onderzocht, geeft dan ook een unieke kijk achter de schermen. Het rapport bevat daarmee waardevolle informatie voor andere organisaties. We kunnen de volgende zeven lessen trekken uit de onderzochte cyberaanval.

1: Train werknemers voor meer cyber security awareness

Doordat twee phishing e-mails werden geopend, konden hackers het onderzochte systeem binnendringen. Als het gaat om cybersecurity, blijken werknemers helaas nog altijd de zwakste schakel te vormen voor organisaties. IBM toonde al eens eerder aan dat maar liefst 95 procent van de cyberaanvallen begint met een menselijke fout. Incidentele, eenmalige trainingen zijn simpelweg niet opgewassen tegen steeds sluwer wordende cybercriminelen. Continue training en herhaling is noodzakelijk. Alleen zo blijven je medewerkers alert genoeg. Er bestaan daarom speciaal ontwikkelde cybersecurity awareness leerprogramma’s, die bedoeld zijn om de cybersecurity kennis van medewerkers te verbeteren door steeds weer opnieuw nuttige info en praktische tips te laten zien.

2: Sta het gebruik van macro’s niet of beperkt toe

Nadat er geklikt was op een phishing e-mail, zal de initiële besmetting waarschijnlijk via een macro in Excel hebben plaatsgevonden. Macro’s voor Office programma’s zijn een bekend risico. Microsoft geeft dit zelf ook al jaren aan. Toch zijn sommige macro’s binnen bedrijven noodzakelijk. Sinds Office 2016 is het daarom mogelijk om als administrator het gebruik van macro’s – en daarmee de risico’s ervan – in te perken. Via Group Policies kun je voor de gehele organisatie een selectie vertrouwde macro’s toestaan, of macro’s in zijn geheel blokkeren.

3: Gebruik aparte accounts voor domeinbeheer

Als IT-beheerder kun je beter niet je domein administrator account gebruiken om ook servers te beheren. Om je servers te beheren moet je nou eenmaal af en toe inloggen, maar telkens als je inlogt, blijven je credentials ook enige tijd opgeslagen in het geheugen van de server. Als een hacker dan die credentials te pakken krijgt, en je zou overal hetzelfde account gebruiken, heeft een hacker gelijk toegang tot ál je systemen. Dit gaf hackers vrij spel bij de onderzochte cyberaanval. Maar wanneer je voor elke server een eigen account gebruikt, dat alleen specifieke rechten heeft, blijft de schade beperkt als inloggegevens in verkeerde handen vallen. Een andere manier is gebruikmaken van Protected Users Security Groups, waardoor bepaalde (belangrijke) accounts extra beveiligd zijn.

4: Installeer altijd updates

We weten het, updates kunnen voor veel gedoe en downtime zorgen, maar ze worden natuurlijk niet zomaar uitgebracht. We kunnen het daarom niet vaak genoeg herhalen: installeer altijd updates. Ze verhelpen veiligheidsrisico’s en dichten bekende lekken. In dit geval werd bijvoorbeeld de zogenoemde EternalBlue exploit misbruikt om door het netwerk te bewegen, terwijl Microsoft enkele jaren terug al een patch uitbracht voor deze exploit.

5: Netwerk- en logmonitoring implementeren

Oké, zelfs al zijn je medewerkers op de hoogte en heb je alle updates geïnstalleerd, dan nog kan er altijd een gewiekste hacker door je beveiliging glippen. Toch zijn de meeste aanvallen niet in een uurtje gedaan. Fox-IT merkte bijvoorbeeld op dat er ruim twee maanden tussen de initiële besmetting en de uiteindelijke gijzeling van de software zat. In die twee maanden vond allerlei verdacht verkeer plaats op het netwerk, maar zonder netwerkmonitoring wordt dat niet snel opgemerkt. Het is dan ook aangeraden om zowel intern als uitgaand verkeer te monitoren.

6: Wees voorbereid op een aanval

Wanneer het toch mis zou gaan, kan het helpen om tenminste voorbereid te zijn op een cyberaanval. Met een CMDB (Configuration Management Database) weet je welke apparaten en programma’s er allemaal actief zijn binnen je organisatie. Daardoor kun je in geval van nood sneller en gerichter ingrijpen. Ook door vooraf al een incident response plan op te stellen, kan een organisatie sneller ingrijpen. Zie het als de periodieke brand- of ontruimingsoefening, maar dan digitaal.

7: Maak offline backups

Bij deze cyberaanval werden ook de online backups versleuteld en bestonden er geen offline backups. Kiezen voor online backups was een bewuste keuze: bij een storing of uitval zijn dit soort backups sneller toe te passen. Ze bleken echter niet bestand tegen een cyberaanval. Idealiter heeft een organisatie dus zowel online als offline backups, aangezien ze voor verschillende situaties geschikt zijn. Zo profiteer je van de snelheid van online backups, en de veiligheid van offline backups. Een beproefde methode om efficiënt backups te maken, is bijvoorbeeld de 3-2-1 regel.

Het moge duidelijk zijn dat een cyberaanval niet door één fout ontstaat. Hackers moeten zich meestal door meerdere ‘lagen’ bewegen. Pas als er genoeg ‘gaten’ gevonden worden, lukt een cyberaanval. Daar was dan ook in dit geval sprake van. Er is geklikt op phishing e-mails. De laatste updates waren niet geïnstalleerd. Het netwerk was onvoldoende gesegmenteerd. En alarmsignalen werden niet opgemerkt, waardoor de hacker zich ongestoord in het netwerk kon begeven en uiteindelijk ransomware kon plaatsen. Kortom, een klassiek voorbeeld van het ‘Zwitsersekaasmodel’.

Het is ontzettend moeilijk om ál die gaten te dichten. Een medewerker kan altijd per ongeluk toch op een phishinglink klikken, en we kunnen genoeg redenen bedenken waarom je die ene update tóch eventjes nog wilt uitstellen. Maar door op meerdere fronten deze strijd aan te gaan, gewapend met deze zeven lessen, verklein je de kans dat een hacker door al die verschillende gaten kan springen. De lessen op dit gebied zijn hard, maar dus zeker waardevol.

SIDN haalde in 2019 bijna 4500 nepwebwinkels offline

Dat er veel neppe webwinkels zijn weten we inmiddels. Helaas is het aanbod ervan zo enorm, dat het een grote klus is om deze te detecteren en offline te halen. SIDN is beheerder van het .nl-domein. Zij zetten zich ook in voor het achterhalen van neppe webwinkels en halen deze zo snel mogelijk offline. Dankzij een zelflerende detectietool worden veel webshops al van internet afgehaald voordat ze echt schade kunnen aanrichten.

​Gevolgen datadiefstal te verzekeren?

Dat data waardevol is en het verdient om beschermd te worden, dringt steeds meer tot mensen door. Zo krijgen de AVG en misstanden op het gebied van data in het kielzog daarvan steeds meer lucht. Misstanden kunnen bestaan uit onbedoelde onzorgvuldige omgang met data, maar uit crimineel gedrag. En het zijn zeker ook niet altijd gure types met een bivakmuts die zich met dubieuze praktijken bezighouden. Dat werpt – zeker voor organisaties – de vraag op of de gevolgen van data gerelateerde misstanden verzekerbaar zijn. Want als je je fysieke inboedel kunt verzekeren tegen diefstal, dan zou hetzelfde moeten gelden voor data, zou je denken.

Cybersecurityverzekering

Om maar met de deur in huis te vallen: ja, verzekeren tegen de gevolgen van (onder andere) datadiefstal is mogelijk. Door middel van een zogeheten cybersecurityverzekering. Dit is een zakelijke verzekering die vooralsnog alleen voor bedrijven beschikbaar is. Maar wat dekt zo’n verzekering precies? Simpel gesteld dekt een cybersecurityverzekering de schade die ontstaat door extern en schadelijk handelen ten aanzien van de digitale infrastructuur van een bedrijf. Denk daarbij zowel aan de kosten doordat bedrijfsprocessen stil komen te liggen doordat software niet beschikbaar is, maar ook de kosten als gevolg van de diefstal van data of vergrendeling door ransomware.

Je kunt het enigszins met een inboedelverzekering vergelijken, waarbij de cybersecurityverzekering de digitale inboedel dekt. Zo worden ook de kosten als gevolg van datadiefstal gedekt, zolang er geen verwijtbaar of nalatig gedrag ten grondslag ligt aan het incident. Ondanks dat steeds meer bedrijven slachtoffer worden van onder meer ransomware, zijn dit soort verzekeringen echter nog geen gemeengoed. Dat terwijl de gevolgen van een noodzakelijke bedrijfssluiting van soms meer dan een week, het faillissement van een onderneming tot gevolg kunnen hebben. Het gaat hier dus niet om een triviaal risico en, gelet op het snel stijgende aantal bedrijven dat slachtoffer wordt, ook niet om een klein risico.

Verzekeraars laten het afweten

De cybersecurityverzekering geldt als tamelijk nieuw en wordt door lang niet alle verzekeraars aangeboden. Dat komt doordat verzekeraars het risico lastig kunnen inschatten, mede omdat de risico’s die een organisatie loopt eigenlijk alleen na goed onderzoek in kaart kunnen worden gebracht. Verzekeraars zoeken zekerheid en branden hun vingers daar dus liever niet aan. Dat hoeft overigens niet zo te blijven. Met toenemende schade en kleinere verzekeraars die in het gat springen, worden grotere partijen vanzelf gedwongen verzekeringen aan te bieden om allerlei digitale risico’s af te dekken. En zeker niet alleen voor bedrijven. Ook van de markt voor particuliere cyberverzekeringen wordt veel verwacht. Wanneer bijvoorbeeld wachtwoorden om toegang te krijgen tot online omgevingen worden gekraakt, kan dan aanspraak worden gemaakt op een vergoeding door de verzekeraar.

[Fotocredits © putilov_denis – Adobe Stock]

Steeds meer consumenten dupe van helpdeskfraude

Steeds vaker worden consumenten opgelicht door zogenaamde helpdeskfraudeurs. Deze ‘medewerkers’ van grote banken en bedrijven proberen op afstand toegang te krijgen tot computers. Daarna wordt geld gestolen en blijken deze mensen helemaal niet in dienst te zijn van bijvoorbeeld Apple of Microsoft. Het Openbaar Ministerie (OM) deelde aan NU.nl mee dat ABN AMRO, ING, Rabobank en de Volksbank voor ongeveer 5,3 miljoen euro aan meldingen van helpdesfraude hebben gekregen.

Niet iedereen maakt melding

Het aantal slachtoffers van helpdeskfraude is in 2019 toegenomen. In 2018 kregen de banken 1732 meldingen (2,4 miljoen euro), vorig jaar waren dit er 3099 (2,9 miljoen euro). Waarschijnlijk ligt het aantal werkelijke slachtoffers een stuk hoger. Veel mensen maken hier geen melding van bij hun bank, zeker niet wanneer het gaat om kleinere bedragen. Mensen schamen zich ervoor dat zij op deze manier in de val zijn gelokt.

Aangifte doen van helpdeskfraude

Sinds begin deze maand is het mogelijk om online aangifte te doen van helpdeskfraude. Best vreemd dat dit zo lang heeft geduurd, aangezien het gaat om cybercriminaliteit en er al een drempel is voor mensen om melding te maken. De politie meldt dan ook dat uit meerdere onderzoeken en enquêtes is gebleken dat de aangiftebereidheid voor cybercrimedelicten lager ligt dan bij traditionele criminaliteit.

Om de cybercrime-aangifte laagdrempeliger te maken, kunnen burgers nu online aangifte doen van helpdeskfraude. In 2017 kwamen 1900 meldingen en aangiftes binnen. In 2018 waren dat 1600 meldingen en aangiftes en in 2019 ligt dat ongeveer op hetzelfde niveau.

Aanpak cybercrime

Met alle aangiftes kan de politie op zoek naar daders van cybercrime. Het is dus van belang dat zij zoveel mogelijk informatie krijgen over de werkwijze van deze criminelen. De politie geeft als voorbeeld dat zij de laatste tijd vaker merken dat burgers benaderd worden door Nederlands sprekende ‘medewerkers’, voorheen spraken deze vooral Engels. Dat maakt het gemakkelijker om gericht op zoek te gaan en mensen te waarschuwen.

Alleen als er voldoende aanleiding en bewijs is (wat dat precies inhoudt kunnen we niet opmaken uit de informatie op de site van de politie) worden daders van cybercrime opgespoord en vervolgd. Maar ook als er niet direct een opsporingsonderzoek gestart kan worden, is aangifte doen belangrijk. Alle informatie wordt namelijk geanalyseerd en gebruikt in de bestrijding en preventie van cybercrime-misdrijven.

Ransomware

De politie laat op haar site weten dat een volgende stap is dat het mogelijk wordt om online aangifte te doen van andere vormen van cybercrime, zoals ransomware. Hier heeft de politie ook baat bij zoveel mogelijk aangiften om daders beter te kunnen opsporen, maar ook om meer te kunnen doen aan verstoren en preventie. Denk bijvoorbeeld aan de website Nomoreransrom.org, waarop sleutels van verschillende soorten ransomware staan, waarmee zonder criminelen te betalen een computer of bestanden weer toegankelijk gemaakt kunnen worden.

Ben je slachtoffer geworden van helpdeskfraude? Hier kun je direct online aangifte doen!

Safer Internet Day voor het veilig gebruik van het internet

Ook al lijkt de hele wereld in de ban van het Corona-virus, toch is het ook op digitaal gebied belangrijk je elke dag te beschermen tegen virussen (maar ook tegen phishing-aanvallen en ransomware-pogingen). Vandaag, dinsdag 11 februari 2020, is het weer Safer Internet Day, en dat is dé dag dat de security-industrie het belang van het veilig gebruik van het internet extra onder de aandacht brengt. Hieronder een vijftal tips van securityspecialist Sophos. Niet speciaal voor Safer Internet Day, want eigenlijk moet je iedere dag als Safer Internet Day beschouwen!

Happy Safer Internet Day!

#1: Kies de juiste wachtwoorden

Er zijn nog steeds veel mensen die wachtwoorden gebruiken die elke cybercrimineel gemakkelijk kan raden: ‘12345678’, de naam van je kat of favoriete voetbalclub om wat voorbeelden te geven. Wanneer je moeite hebt een fatsoenlijk wachtwoord te verzinnen en te onthouden, overweeg dan een wachtwoordbeheerder.

#2: Schakel tweefactorauthenticatie in

Two Factor Authentication (2FA) is een zescijferige code die je op je smartphone ontvangt of door een speciale app wordt gegenereerd. Naast een standaard gebruikersnaam en wachtwoord dien je ook deze eenmalige code in te voeren die elke keer anders is. We weten dat veel mensen niet van 2FA houden (best wel wat gedoe) maar het houdt the bad guys wel buiten de deur.

#3: Patch, patch, patch

De meeste softwarepatches zijn tegenwoordig niet alleen cosmetisch: ze sluiten beveiligingslekken waardoor boeven niet kunnen binnensluipen zonder dat je het door hebt. Dus als je niet patcht, heb je veel meer kans om een bad guy tegen te komen. Daarom: gebruik die software-updates voor computer, smartphone, router en webcams!

#4: Maak back-ups

Back-ups beschermen niet alleen tegen ransomware. Wanneer je een back-up hebt / maakt, kunt je ransomware-eisen negeren. Back-ups helpen je weer op weg – ongeacht of je laptop is gecrasht, gehackt of gestolen. Onthoud: de enige back-up waar je spijt van krijgt, is degene die je niet hebt gemaakt.

#5: Bekijk je privacy-instellingen opnieuw

Een besturingssysteem, telefoon, app en social media: ze hebben privacy- en beveiligingsinstellingen die je helpen bepalen hoe breed persoonlijke gegevens worden gedeeld en geïndexeerd. Helaas doet elke app en website het anders, en het is best een exercitie door alle privacymenu’s te bladeren. Doe dit wel! Het enige wat erger is dan te weten dat je per ongeluk een telefoonnummer of andere persoonlijke informatie heeft gedeeld, is te beseffen dat je een optie had kunnen inschakelen die je veilig zou hebben gehouden.

[Fotocredits © selugallego – Adobe Stock]

Door het Citrix-lek is het vandaag extra druk op de Nederlandse wegen

Misschien heb je zelf in de file gestaan vanmorgen en anders heb je vast wel gehoord van de ‘Citrix-files’. Veel Nederlandse instellingen zijn getroffen door een beveiligingslek in het softwaresysteem van Citrix. Dat brengt grote risico’s met zich mee, want veel gemeentes en ziekenhuizen in ons land gebruiken de software.

Uit voorzorg hebben de meeste organisaties ervoor gekozen om Citrix uit te schakelen, waardoor medewerkers niet meer vanuit huis in de systemen kunnen. Dat zorgt voor extra drukte op de wegen vandaag en dat duurt misschien nog wel de hele maand.

Wat is het risico van het lek bij Citrix voor getroffen instellingen?

Op 17 december maakte Citrix zelf bekend dat er een lek, of fout, zit in hun software. Het bedrijf kwam niet heel snel met een oplossing, waardoor de kans bestaat dat hackers de systemen van bedrijven en instellingen binnendringen. En dat proberen zij ook, zo lezen we op verschillende websites.

Naar schatting zijn meer dan 700 Nederlandse bedrijven en organisaties nu extra kwetsbaar door het lek bij Citrix. Hackers kunnen gemakkelijker bij gegevens van burgers, bedrijven en patiënten komen. We weten dat aanvallers een poging hebben gedaan om in te breken bij Medisch Centrum Leeuwarden en gemeente Zutphen. Het lijkt erop dat er geen data is gestolen, maar de gemeente Zutphen laat dit nog wel nader uitzoeken.

Het is nu oppassen voor een Iraanse cyberaanval

Securitybedrijf Check Point raadt organisaties aan zich voor te bereiden op een mogelijke cyberaanval vanuit Iran. Ruim anderhalve week na de Amerikaanse raketaanval is er volgens de meest recente cijfers nog geen Iraanse reactie in de cyberwereld vastgesteld.

APT-cyberaanvallen

Sinds de Amerikaanse raketaanval in Irak op 3 januari hebben de ‘Intelligence and Incident Response’-teams van Check Point de wereldwijde cyberaanvallen op de voet gevolgd. Ze zochten daarbij vooral naar aan Iran gelinkte APT-cyberaanvallen (advanced persistent targeted), een aanval waarbij een onbevoegd persoon langdurig toegang tot een netwerk krijgt.

Uit de meest recente cijfers van Check Point blijkt dat ongeveer 35 organisaties per week het slachtoffer zijn van een cyberaanval die rechtstreeks naar Iraanse APT-groeperingen leidt. Zo’n 17% van die aanvallen zijn gericht op Amerikaanse doelwitten. Dat is net iets minder dan het aantal Turkse doelwitten (19%). Ongeveer 7% heeft een doelwit in Israël.

Cyberaanvallen in realtime

De constateringen zijn het resultaat van Check Points ThreatCloud, een technologie die volgt hoe en waar cyberaanvallen in realtime gebeuren. Het systeem is in 180 landen en bij meer dan 100.000 organisaties wereldwijd geïnstalleerd. Ongeveer een kwart van de doelwitten zijn overheden en nog eens kwart komt uit de financiële sector. Een tiende van de aanvallen is op productiedoelwitten gericht.

Lotem Finkelstein, hoofd van de cyber intelligence group van Check Point: “Deze cijfers verschillen niet veel van de weken voor de Amerikaans raketaanval. Terwijl we zo goed als geen verandering zien in het aantal Iraanse APT-aanvallen, stellen we wel een toename vast in het aantal onafhankelijke aanvallen door privéhackers. Die zijn niet verbonden met een bekende of officiële Iraanse entiteit. Meestal willen ze openbare websites uitbuiten en vooral paniek creëren in plaats van echte schade aanrichten.

Iraanse reactie via de cyberwereld

Volgens Finkelstein is een Iraanse reactie via de cyberwereld dus nog niet aan de orde. Dat is ook niet zo vreemd, een aanval van betekenis uitvoeren, vergt namelijk veel tijd en energie. “Iran zal volgens ons alleen een cyberaanval lanceren wanneer ze het gevoel hebben dat ze er klaar voor zijn. Dat betekent dus dat we nu de nodige voorbereidingen moeten treffen om zelf ook klaar te zijn.

Het bedrijf raadt organisaties daarom aan zich op preventie te focussen. Zorg er dus voor dat alle patches zijn geïnstalleerd. Schakel multi-factor authenticatie in en regel dat noodprocedures up-to-date zijn.

[Fotocredits © Oleksii – Adobe Stock]

Facebook wordt nu ook gebruikt in WhatsApp-fraude

Het lijkt erop dat er nog meer phishing wordt gepleegd via WhatsApp, iets dat ook wel Whaling wordt genoemd. Nieuw is echter dat ook de Facebook-pagina van het slachtoffer wordt gebruikt om vrienden en kennissen voor de gek te houden.

Facebook-truc

Het gaat erom dat hackers op de Facebook-pagina van hun slachtoffer namens datzelfde slachtoffer schrijven dat er iets is misgegaan met het overzetten van contactpersonen naar een nieuwe telefoon. Vervolgens worden vrienden opgeroepen om het nieuwe nummer op de slaan in hun telefoon, niet wetende dat dat een telefoonnummer van de fraudeur is.

Vervolgens geven deze kwaadwillenden aan via WhatsApp dat ze met spoed geld moeten overmaken maar dat financieel even niet lukt. En natuurlijk de vraag of die andere persoon even wat kan overmaken. Via WhatsApp phishen door te vragen om geld terwijl je je voordoet als iemand anders, dat wordt ook wel whaling genoemd. Het gaat vaak om urgente betalingen die moeten worden verricht, omdat iemand in de problemen zit in het buitenland of simpelweg geen geld heeft.

Verschillende kwetsbaarheden in TikTok ontdekt

Check Point Research heeft in TikTok meerdere kwetsbaarheden ontdekt, waarmee aanvallen op gebruikersaccounts uitgevoerd hadden kunnen worden. Hackers hadden zelfs vertrouwelijke persoonsgegevens van deze accounts weg kunnen plukken.

TikTok video

TikTok is een applicatie die vooral door tieners en kinderen wordt gebruikt om persoonlijke (en soms heel gevoelige) video’s van zichzelf en hun geliefden te delen en te bewaren. Uit onderzoek is gebleken dat hackers valse sms-berichten met een gevaarlijke link naar gebruikers hadden kunnen verzenden. Wanneer de gebruiker op de malafide link had geklikt, zou de aanvaller het TikTok-account in kwestie onder controle kunnen krijgen en de inhoud ervan manipuleren door video’s te verwijderen, onbevoegde video’s te uploaden, of zelfs verborgen video’s openbaar te maken.

Het onderzoek onthulde ook dat het Ads subdomein van TikTok (https://ads.tiktok.com), kwetsbaar was voor XSS-aanvallen. Bij zo’n aanval kunnen kwaadaardige scripts aan onschuldige en betrouwbare websites worden toegevoegd. Onderzoekers van Check Point toonden aan dat deze kwetsbaarheid gebruikt kon worden om persoonlijke gegevens van gebruikersaccounts, zoals e-mailadressen en geboortedatums, te bemachtigen.

Oplossing is al uitgerold

Check Point Research heeft de ontwikkelaars van TikTok op de hoogte gebracht van alle kwetsbaarheden die ze ontdekt hadden, en ondertussen is er een oplossing uitgerold die ervoor zorgt dat de TikTok-app weer veilig kan worden gebruikt.

Data zijn alomtegenwoordig, maar datalekken worden stilaan een epidemie. Ons meest recente onderzoek toont aan dat ook de populairste apps een risico lopen”, aldus Oded Vanunu, hoofd van Product Vulnerability Research bij Check Point. “Sociale media-applicaties vormen een belangrijk doelwit aangezien ze een sterke bron van persoonlijke gegevens zijn en een goede toegangspoort voor aanvallers bieden. Hackers besteden dan ook veel geld en inspanningen aan het inbreken in dit soort enorme applicaties. Toch gaan de meeste gebruikers ervan uit dat ze door de app beschermd zijn.”

Over TikTok

TikTok is inmiddels een van de meest gedownloade apps ter wereld. De applicatie is in meer dan 150 markten beschikbaar en wordt door ruim 1 miljard gebruikers in 75 verschillende talen gebruikt. Sinds oktober 2019 is het de meest gedownloade app in de Verenigde Staten en het is de eerste Chinese app die een dergelijk record weet neer te zetten.

Lees hier alles wat je moet weten over TikTok.

Photo by Harry Cunningham on Unsplash

Aangepaste AppleJeus-aanval op cryptovaluta gevaarlijker dan ooit

Onderzoekers van Kaspersky hebben belangrijke veranderingen in de tactiek van de Lazarus hackersgroep geïdentificeerd, tussen de eerste operatie in 2018 en de aanval die daarop volgde; de ‘sequel’ in 2019.

Lazarus

Lazarus is een groep hackers waar niemand van weet wie en hoeveel het er zijn, maar die de afgelopen tien jaar volgens onderzoekers verantwoordelijk zijn voor een tal aan cyberaanvallen. Zo is de groep waarschijnlijk verantwoordelijk voor onder andere de datalek bij Sony, diverse aanvallen op bedrijven gespecialiseerd in cryptovaluta, en een aantal cyber bankovervallen, waaronder de roof van maar liefst 81 miljoen dollar van de Centrale Bank van Bangladesh. Hoewel niemand precies weet wie erachter zit, denken veel experts en bedrijven dat het gaat om Noord-Koreaanse hackers.

Valse cryptovaluta websites

De aanvalsvector van 2019 blijkt op bepaalde punten vooral verbeterd te zijn. Lazarus creëerde deze keer namelijk valse websites voor cryptovaluta, met links naar kwaadaardige Telegram-kanalen om de malware te leveren. In de eerste AppleJeus-operatie downloadden gebruikers eerst een toepassing, waarna de betreffende downloader de volgende payload ophaalde van een externe server. De tweede operatie volgde hetzelfde principe. Op deze manier kan de aanvaller uiteindelijk het besmette toestel volledig controleren via een permanente backdoor. Echter was de payload deze keer zo zorgvuldig, dat detectie op gedrag-gebaseerde detectie-oplossingen omzeild konden worden. Tegen apparaten op macOS werd een authenticatiemechanisme toegevoegd aan de downloader en de ontwikkelingsstructuur gewijzigd. Vervolgens werd er bij de tweede operatie een bestandsloze besmettingstechniek toegepast.

Lazarus blijft investeren en ontwikkelen

Bij Windows gebruikers vermeden aanvallers het gebruik van malware die in de eerste operatie toegepast werd (de Fallchill-malware). In plaats daarvan creëerden ze malware die alleen draaide op specifieke systemen die eerst werden gecontroleerd op bepaalde waarden. De aanpassingen die gebruikt zijn laten zien dat de dreigingsvector nieuwe methoden toepast om detectie te voorkomen en echt zorgvuldig te werk gaat.

In tegenstelling tot de eerdere aanval paste de dreigingsvector deze keer een zelfgeschreven code toe. Dit laat zien dat de dreigingsvector de macOS-malware continu zal aanpassen. De meest recentelijke detectie was een direct gevolg van deze wijzigingen. Volgens Kaspersky toont Lazarus ondanks de aanzienlijke stagnatie op cryptovalutamarkten dat het blijft investeren in aanvallen die verband houden met cryptovaluta en deze verder ontwikkelen. “Door de verdere aanpassingen aan en diversificatie van hun malware is er geen reden om aan te nemen dat deze aanvallen in aantal zullen afnemen. Daarmee kan AppleJeus uitgroeien tot een ernstige bedreiging.”

Game of Thrones voor 7e keer gekroond tot meest illegaal gedownloade serie

Voor de zevende keer staat Game of Thrones bovenaan het lijstje van de meest illegaal gedownloade series. In 2017 wist de populaire serie van HBO deze titel al voor het zesde jaar op rij in de wacht te slepen. Vorig jaar, toen er geen nieuw seizoen uit werd gebracht was het een keer The Walking Dead die met de titel aan de haal ging.

Het is waarschijnlijk ook de laatste keer dat Game of Thrones deze titel in de wacht sleept. Omdat dit jaar natuurijk het achtste en laatste seizoen werd uitgezonden. Met ‘House of the Dragon‘ zit er nog wel een spinoff / prequel aan te komen.

Maar er is ook een nieuwkomer die staat te popelen om de plek van Game of Thrones in te nemen. De nieuwe Star Wars serie van Disney, The Mandalorian, is in een korte tijd gestegen naar de derde plek, hetgeen deels te wijten is aan de beperkte beschikbaarheid van de nieuwe streamingdienst.

Game of Thrones op eenzame hoogte

Al sinds de eerste aflevering in 2011 is Game of Thrones enorm populair. Helaas voor HBO hebben niet alle fans op een legale manier toegang kunnen krijgen tot de serie. En daarom dus op zoek gegaan naar andere kanalen. De exacte aantallen zullen we nooit weten. Maar dat de serie enorm vaak gestreamd en gedownload is moge duidelijk zijn.

Top 10 2019

Torrentfreak heeft een top 10 samengesteld van 2019. Ten opzichte van vorig jaar staan daar 5 nieuwkomers in. Na Game of Thrones zien we een andere HBO serie op de tweede plaats: Chernobyl. Het zijn maar 5 afleveringen maar het is zeker een serie die de moeite waard is om te kijken. Staat in de lijst door de beperkte beschikbaarheid van HBO buiten de VS.

Zoals hierboven al kort vermeld maakt The Mandalorian de top 3 compleet. Of dat volgend jaar ook het geval is is nog maar de vraag. Disney werkt dit jaar hard aan de beschikbaarheid van de dienst. Eind maart staat er een grote lancering gepland in een heel aantal nieuwe landen. Het beter beschikbaar maken van de dienst zorgt uiteraard voor een afname van het aantal illegale kijkers.

Op plaats vier vinden we een serie die al jaren goed is voor een top 5 notering, maar ook dit jaar voor het laatst terug te vinden is in de lijst: The Big Bang Theory. In ‘The Stockholm Syndrome’ (uitgebracht in mei van dit jaar) zien we Sheldon, Leonard, Raj & Howard voor het laatst.

Hieronder de complete top 10. Gebaseerd op een aantal verschillende bronnen, inclusief stats van een aantal publieke BitTorrent trackers. Het verkeer via BitTorrent is slechts een fractie van het hele piracy-landschap. Steeds meer mensen maken gebruik van streaming-sites en -diensten die over het algemeen geen cijfers naar buiten brengen.

1 (…) Game of Thrones
2 (…) Chernobyl
3 (…) The Mandalorian
4 (3) The Big Bang Theory
5 (4) Vikings
6 (1) The Walking Dead
7 (2) The Flash
8 (…) Rick and Morty
9 (…) Supergirl
10 (6) Arrow

Tussen haakjes de positie uit 2018.

App ‘ToTok’ blijkt spionagetool voor Verenigde Arabische Emiraten

ToTok, niet te verwarren met TikTok, is een app die stijgt in populariteit, maar volgens Amerikaanse overheidsfunctionarissen en onderzoek van The New York Times ook wordt gebruikt als afluister middel voor de Verenigde Arabische Emiraten.

De krant meldt dat de messaging app ToTok in feite een spionagemiddel is voor de overheid en zelfs specifiek gecreëerd is voor de inlichtingendiensten van de Verenigde Arabische Emiraten. De overheid zou de app inzetten om gebruikers af te luisteren en hun locatie te traceren.

Wat is ToTok?

ToTok is een app die eerder dit jaar lanceerde en inmiddels miljoenen keren is gedownload, met name in de Emiraten, een land waar westerse apps zoals WhatApp en Skype beperkte toegang hebben. De app zegt dat gebruikers snel, gratis en veilig kunnen chatten en videobellen. Niet alle gebruikers zitten echter in het Midden Oosten, veel zitten er ook in Europa en Noord Amerika. Vorige week was het zelfs de meest gedownloade social app in de Verenigde Staten.

Het bedrijf achter ToTok, Breej Holding, is volgens The Times waarschijnlijk een dekmantel voor de firma DarkMatter, wat in Abu Dhabi ligt. DarkMatter houdt zich vooral bezig met hacken en het verzamelen van inlichtingen. Bij het bedrijf zouden zelfs inlichtingenmedewerkers uit de Emiraten werken en voormalig medewerkers van de Amerikaanse NSA en de Israëlische militaire inlichtingendienst. DarkMatter zou eerder hack-operaties uitgevoerd hebben op ministeries en overheden in Iran, Qatar en Turkije, maar bespioneerde ook journalisten en topmensen bij de FIFA.

Ideaal middel voor overheden

Het digitaal bespioneren van burgers is een relatief nieuwe ontwikkeling, maar perfect voor inlichtingendiensten. Zij hoeven op deze manier namelijk niet in te breken op netwerken of telefoons, maar ontwikkelen gewoon een app die mensen willen gebruiken. Als je ze vrijwillig toegang geeft tot je contacten, viceochats en je locatie, wat hebben ze dan nog meer nodig?

Inmiddels hebben zowel Apple als Google de app verwijderd van de Play Store en App store. Mocht je de app nog op je telefoon hebben, is het verstandig om deze te verwijderen en voor een alternatief te kiezen.

​Nieuw telefoonabonnement? In China is een gezichtsscan verplicht

Als je een nieuw telefoonabonnement afsluit, dan moet je in Nederland in veel gevallen een identiteitsbewijs tonen om onder andere t tegen te gaan. Stel je voor dat dat je niet met een papier hoeft te zwaaien, maar je gezicht moet laten scannen? In China is dat tegenwoordig verplicht bij het afsluiten van een mobiel telefoonabonnement.

China en de gezichtsscan

China gebruikt die gezichtsscan om de identiteit van zoveel mogelijk Chinese internetters te bevestigen. Het gaat om honderden miljoenen mensen. Eerder was het ook in China de standaard om je identiteitsbewijs te laten zien, maar de overheid meent dat deze nieuwe regel van belang is om online rechten van burgers te kunnen beschermen tegen onder andere oplichters. Aan deze regel kleeft echter nog een andere regel: je mag geen simkaarten doorverkopen.

De nieuwe verplichting krijgt veel kritiek. Veel mensen vinden dat China te ver gaat in het identificeren van burgers. Door veelvuldig gebruik te maken van geavanceerde gezichtsherkenningstechnologie krijgt de overheid veel meer inzicht in burgers en er bestaan zorgen over wat het precies met die informatie doet. In China is het inmiddels al heel normaal dat de overheid weet aan welke politieke kant je staat en wat je bloedgroep is.

Officiële rangorde van burgers

Daarnaast is het heel gewoon om mensen publiekelijk aan de schandpaal te nagelen. Zo krijg je niet alleen een boete per sms als je bij een rood stoplicht toch oversteekt: je gezicht wordt op schermen in de buurt getoond. Met je naam erbij, dus als mensen je willen opzoeken op het internet, dan is dat geen probleem. Hier houdt het echter niet op. De Chinese overheid wil een officiële rangorde van burgers maken door een uitgebreide nationale database te hebben met allerhande gegevens van de inwoners.

Nu schiet het aanleggen van zo’n database al bij velen in het verkeerde keelgat: wat de overheid ermee doet gaat nog veel verder. Je krijgt namelijk een gedragsscore in die database en als je vaak door rood wandelt of ander gedrag vertoond dat in strijd is met wat de overheid oké acht, dan verlies je bijvoorbeeld de mogelijkheid om een lening te krijgen, of zelfs een treinkaartje te kopen.

Hoewel de tech-revolutie in China grote nadelen kent, is het ook positief. Er is zoveel innovatie, dat China in korte tijd uitgroeit tot toonaangevend techgigant. Sommige mensen menen dat we daar in het Westen niet op moeten wachten, en dat we actie moeten ondernemen. Tegelijkertijd onderneemt een land als Amerika bijvoorbeeld actie tegen technologische inmenging van China door het Huawei onmogelijk te maken Google-diensten aan te bieden.

Pas op voor neppe webwinkels tijdens het online shoppen!

Neppe webshops steken geregeld de kop op. Ook de Consumentenbond is bijvoorbeeld alert op nepwebwinkels en zorgt dat deze offline worden gehaald. Het is natuurlijk niet verrassend dat juist rond deze tijd van het jaar het aantal neppe sites weer toeneemt.

De Stichting Internet Domeinregistratie Nederland (SIDN) voerde onderzoek uit naar de neppe webshops en registreerde al in november een flinke toename. Consumenten die toch in de val trappen, krijgen vaak niets geleverd of een product van bedenkelijke kwaliteit.

Naast phishing ook oppassen voor vishingaanvallen

Cybercriminelen gebruiken steeds vaker spraakberichten voor phishingaanvallen, ook wel bekend als ‘vishing’. Deze aanvalsmethode gaat een piek bereiken in 2020.

Deepfake audio

Zo weet Mimecast te melden in een nieuw Threat Intelligence-rapport. De securityspecialist wijst daarnaast ook op de toenemende dreiging van aanvallen met deepfake-audio. Daarmee kunnen cybercriminelenstemmen nabootsen door middel van kunstmatige intelligentie. De combinatie van spraak met kunstmatige intelligentie maakt ook verfijndere aanvallen mogelijk.

Deepfake gaat dus niet alleen meer om beeld. De Wall Street Journal wist in september van dit jaar al te melden dat een Brits energiebedrijf voor 220.000 euro is opgelicht met zogeheten deepfake-audio. De CEO dacht namelijk dat hij een telefoongesprek had met de CEO van het Duitse moederbedrijf. Hij kreeg het verzoek om met spoed een bedrag over te maken naar een Hongaarse leverancier. In werkelijkheid werd de stem zeer overtuigend nagebootst met behulp van AI-technologie.

Page generated in 1,035 seconds. Stats plugin by www.blog.ca