Goed beschermd zijn tegen hackers begint met het begrijpen van hun werkwijze. Hoe kiezen ze slachtoffers uit? Via welke weg proberen ze binnen te komen? Met kennis van de stappen die hackers nemen, is het mogelijk ze in deze stappen te ondermijnen en dus buiten te houden.
Let op: in dit artikel geven we een idee van een veelvoorkomende hackersaanpak. Het is dus niet de enige werkwijze. Dat maakt het niet minder leerzaam: kennis hiervan helpt met het gericht aanbrengen van verbeteringen in uw digitale beveiliging. We geven onderaan in dit blogartikel nog een aantal tips.
1. Wie ga ik aanvallen?
Hacken start met het kiezen van een doelwit. Het uitzoeken van doelwitten gaat vaak anders dan de meesten denken. “Onze organisatie is niet interessant voor hackers” is een veelgehoord argument om niet bezig te hoeven zijn met cyber security. Maar wist u dat de meeste hackers vaak duizenden bedrijven tegelijk aanvallen? Zo ook kleinere organisaties.
Geautomatiseerd schieten met hagel
Hoe efficiënter hackers te werk gaan, hoe meer er voor ze te halen valt. Daarom maken ze gebruik van software die geautomatiseerd hacken mogelijk maakt. Daarmee schieten ze op een enorme hoeveelheid bedrijven. En hebben ze (bijna) altijd raak. Dat zijn dan de doelwitten waar ze verder bij binnendringen. Eigenlijk is deze werkwijze vergelijkbaar met die van gelegenheidsinbrekers.
Grote vissen aanvallen via de buitenste schil
Daarnaast zijn er natuurlijk ook hackers die ervoor kiezen zich enkel te richten op de grote vissen. Op de écht interessante bedrijven. Maar vinden ze geen ingangen bij deze grote vissen? Dan zijn de stakeholders van deze bedrijven hun nieuwe doelwit. Het doel? Via hen toch bij de grote vis binnendringen. Zeker sinds het afgelopen jaar valt het op dat cybercriminelen zich om die reden steeds meer richten op MKB’ers.
2. Met wat voor bedrijf heb ik te maken?
Elke organisatie steekt (digitaal) weer anders in elkaar. Zeker wanneer een hacker één grote vis aan wil vallen, is het exploreren van de organisatie een onmisbare stap. Wat ze dan zoal onderzoeken? Dat is heel breed: denk aan de KvK-inschrijving, het adres, werknemers en hun data, etc.
Alles om een idee te krijgen van hoe de organisatie eruit ziet. En het belangrijkste: wat het aanvalsoppervlak is. Ook de (digitale) beveiliging wordt grondig onder de loep genomen. Zijn alle beveiligingsupdates van software of OS’en bijvoorbeeld doorgevoerd? Het doel is alle aanvalskansen en ook de potentiële dreigingen in kaart te brengen.
3. De eerste stap naar binnen zetten
Heeft de hacker een idee van het aanvallersoppervlak? En zijn alle aanvalskansen zoals beveiligingslekken in kaart gebracht? Dan is het tijd om voorzichtig de eerste stap naar binnen te zetten. Een veelvoorkomende techniek is inloggegevens van medewerkers aftroggelen met een phishing-actie. Denk hierbij aan CFO’s of personen met admin-rechten. Het is daarom belangrijk goed bewapend te zijn tegen phishing-acties via nepmails en malafide linkjes. Hoe oplettend medewerkers ook zijn: vroeg of laat trapt er altijd iemand in de val.
4. …En ondertussen niet opvallen
Het doel van de hacker is eigenlijk altijd ongezien te werk gaan: daarmee loopt hij het minst risico. Steeds meer bedrijven maken tegenwoordig gebruik van een SIEM (met SOC), waardoor ze actueel op de hoogte blijven van de digitale activiteit op netwerken. Dat maakt onzichtbaar blijven een grote uitdaging voor de hacker.
Hackers blijven daarnaast zo anoniem mogelijk. Een enigszins ervaren hacker zal nooit vanuit zijn privé netwerkverbinding gaan hacken, maar juist vanaf een openbaar netwerk. Zo is zijn of haar identiteit en locatie een stuk lastiger te achterhalen door autoriteiten.
5. Op onderzoek in het netwerk
Is de phishing-actie geslaagd? En is er toegang tot het account (of zelfs de computer) van één van de medewerkers? Dan gaat het onderzoeken verder. Want geeft dit account wel voldoende rechten? Wat is er nodig om volledig controle te krijgen over de meest belangrijke systemen? Waar staan de belangrijke bestanden opgeslagen?
Vaak is het mogelijk met de inloggegevens van één persoon toegang te krijgen tot meer systeemonderdelen. Puur omdat wachtwoorden worden hergebruikt. Ook komt het vaak voor dat systeembeheerders voordehand liggende inloggegevens als “admin” gebruiken. Daar maken hackers gretig gebruik van. Daarmee veroveren ze langzaam het digitale domein van hun doelwit.
6. Permanent toegang krijgen
Hacken is vaak geen actie van één dag. Daarom zorgen de meeste hackers ervoor dat ze permanent toegang hebben tot een computer of netwerk. Het liefst maken ze van binnenuit een achterdeurtje die ervoor zorgt dat ze op elk gewenst moment ongezien binnen kunnen komen. Dat doen ze met speciale “backdoor” software. Soms hebben slachtoffers van cybercrime maanden lang zo’n achterdeur die open is gezet door een hacker, maar komen ze niet achter het bestaan.
7. Ravage maken
In de tijd dat hackers ongezien toegang hebben tot de digitale omgeving van een organisatie, zijn er een tal aan mogelijkheden. Misschien willen ze wel gevoelige data stelen? Misschien willen ze wel geld verdienen door bestanden te gijzelen? Misschien willen ze het bedrijf wel platleggen met ransomware? Wat de aanpak van een hacker ook is: het gevolg van een geslaagde hackeractie is altijd een ravage. Zo niet digitaal, dan wel imago technisch of financieel. Of alle drie tegelijk.
8. Geen sporen achterlaten
Ook wanneer de hackactie geslaagd is, is het doel van de hacker nog steeds ongezien blijven. Dat doen ze door heel slim logs te wissen. Alles data die naar de hackactie verwijst moet verwijderd worden. Zo zijn ze in het gunstigste geval niet meer te traceren.
Deze informatie gebruiken: zo beschermt u uw organisatie
We benoemden het al aan het begin van dit artikel: inzicht hebben in de werkwijze van een hacker is op cybersecurity niveau goud waard. Wat zijn de lessen die we uit bovenstaande informatie kunnen trekken? En hoe zetten we die lessen in om organisaties te beschermen tegen cybercrime? We hebben een aantal adviezen kort op een rijtje gezet:
Voorkomen dat hackers kwetsbaarheden kunnen misbruiken
Verborgen kwetsbaarheden – waaronder software die niet up-to-date is – zijn enorme kansen voor hackers. Om ervoor te zorgen dat hackers geen misbruik kunnen maken van kwetsbaarheden, is het belangrijk er continu bovenop te zitten. Er is speciale software op de markt die u actueel op de hoogte houdt van de meest riskante kwetsbaarheden in uw digitale omgeving. Met deze software lost u vulnerabilities snel, effectief en efficiënt op.
Voorkomen dat inloggegevens gestolen worden
Ook account takeovers wilt u zoveel mogelijk – of eigenlijk helemaal – tegengaan. Met phishing awareness campagnes maakt u medewerkers al een stuk alerter. Maar ze helemaal beschermen tegen phishing-acties gaat nog beter met software die mails, linkjes en attachments automatisch controleert en schoonmaakt.
Daarnaast is het ook van belang dat collega’s hun wachtwoorden regelmatig veranderen en niet hergebruiken op andere accounts. Een 2FA of MFA oplossing in gebruik nemen is al helemaal verstandig.
Voorkomen dat een hacker ongezien blijft (door logs te verwijderen)
Tot slot start cyberveiligheid met op de hoogte zijn van alle acties en wijzigingen in de digitale omgeving van uw organisatie. Die worden bijgehouden in logs. Met SIEM software houdt u deze logs overzichtelijk in de gaten. Nog handiger is samenwerken met een SOC: zij monitoren alle securitymeldingen die uit de logs komen, halen false positives eruit én komen in actie wanneer er nood aan de man is.
Meer hulp bij het cyberveilig maken van uw organisatie?
Neem dan vrijblijvend contact op met een van onze security-experts.
