Net zoals bij elke andere technologie ontwikkelen cybercriminelen hun methoden om cyberaanvallen uit te voeren voortdurend. Dit geldt zeker voor een specifiek type cyberaanval, waarvan we het gebruik flink zien toenemen: aanvallen via de toeleveringsketen, beter bekend als supply chain attacks.
Bij genoemde aanvallen krijgen hackers toegang tot het beoogde doelwit door te zoeken naar zwakke plekken in de toeleveringsketen van een bedrijf, vaak bij dienstverleners met lagere beveiligingsnormen. Om je als bedrijf te beschermen, is het noodzakelijk om te begrijpen welke aanvalsmethoden opgeld doen.
Malware-infecties
De meeste supply chain attacks beginnen met een malware-infectie. Cybercriminelen zetten onopvallend schadelijke software op de systemen van een bedrijf, waarna deze zich langzaam door de hele toeleveringsketen verspreidt. Er zijn verschillende soorten malware die op hun beurt weer verschillende processen uitvoeren.
Zo houdt spyware de activiteiten van werknemers in de gaten en achterhaalt hun vertrouwelijke inloggegevens. Ransomware wordt gebruikt om gegevens te verzamelen en te versleutelen zodat cybercriminelen losgeld kunnen vragen. Backdoor-malware, zoals een trojan, maakt het mogelijk programma’s op afstand te besturen en kan dienen als startpunt van een supply chain attack. Deze malware-infecties maken gebruik van technische beveiligingsfouten en andere kwetsbaarheden in de supply chain.
Vertrouwen en angst
De belangrijke rol die menselijk gedrag speelt bij het bepalen van het succes van een cyberaanval wordt vaak over het hoofd gezien. Met social engineering spelen hackers in op menselijke eigenschappen zoals vertrouwen en angst. Slachtoffers geven vertrouwelijke informatie vrij, schakelen beveiligingsfuncties uit of laten zich verleiden tot het installeren van malware.
Er zijn verschillende soorten social engineering-aanvallen, zoals phishing of smishing (phishing via sms of andere berichten). Gebruikers zijn vaak onvoorzichtiger met smishing-berichten en reageren er sneller op dan op e-mails. Afgelopen juli probeerden aanvallers bijvoorbeeld Christine Lagarde, de president van de Europese Centrale Bank, te verleiden om haar bevestigingscode voor WhatsApp te onthullen. Daarvoor gebruikten ze het echte mobiele nummer van de voormalige Duitse bondskanselier Angela Merkel – maar niemand weet hoe de cybercriminelen dat in handen kregen. Gelukkig was Lagarde achterdochtig en belde Merkel om te vragen naar het bericht.
Brute-force aanvallen
Cybercriminelen gebruiken ook zogenaamde brute-force=aanvallen om gevoelige gegevens, zoals interne inloggegevens, in handen te krijgen. Deze aanvallen zijn gebaseerd op trial-and-error, waarbij cybercriminelen een groot aantal mogelijkheden testen om het wachtwoord van een werknemer te raden. Daarvoor gebruiken ze tools die automatisch alle mogelijke combinaties testen. Zodra ze met succes de juiste combinatie hebben gekraakt, is het voor de criminelen eenvoudig om de systemen van het bedrijf te infecteren met malware.
Perfect
Geen enkele software is perfect. Fabrikanten testen hun producten uitvoerig, maar er is geen veiligheidsgarantie. Cybercriminelen zoeken naar zwakke plekken die ze met hun tools kunnen uitbuiten. Vaak hebben ze alleen tijdelijke gebreken nodig die ze kunnen gebruiken voor zero-day exploits, zoals het manipuleren en uitvoeren van updates. Een voorbeeld hiervan zagen we toen authenticatiedienst Okta aangevallen werd door de hackersgroep Lapsus$. De aanvallers wisten gebruik te maken van een kwetsbaarheid bij Sitel, een van de dienstverleners van Okta. Ze gebruikten software bedoeld voor onderhoud op afstand door in te loggen op de laptop van een werknemer, en maakten zichzelf pas twee maanden later bekend aan het publiek. Dit voorbeeld laat zien hoelang hackers onopgemerkt in systemen kunnen blijven en hoe snel – en uitgebreid – malware zich door toeleveringsketens kan verspreiden.
Emotionele manipulatie
De hierboven beschreven methoden laten zien hoe innovatief en effectief cyberaanvallen zijn geworden. Elk stukje software en de digitale infrastructuur van elke organisatie is kwetsbaar voor cyberaanvallen. Bovendien maken cybercriminelen ook graag gebruik van emotionele manipulatie, zeker wanneer dat meer mogelijkheden biedt dan andere methoden.
Hoewel deze methoden effectief zijn gebleken voor cybercriminelen, kunnen bedrijven het risico van dit soort cyberaanvallen op de toeleveringsketen aanzienlijk verminderen. Door ervoor te zorgen dat werknemers worden geïntegreerd in een hands-on cyberbeveiligingsstrategie, kunnen bedrijven hun personeel bewust maken van de meest voorkomende cyber-aanvalsmethoden. Hierbij moet actieve, moderne training in security awareness ingezet worden, met praktische oefeningen en realistische simulaties. Eenvoudige uitleg en passieve kennis zijn niet voldoende om werknemers voor te bereiden op de impact die een cyberaanval op hen heeft. Hulpmiddelen zoals gedragswetenschap en psychologie zijn essentieel om de behoeften van iedere medewerker te begrijpen en daarop in te spelen.
Bedrijven kunnen het risico op cyberaanvallen met wel negentig procent verminderen met dit soort systematische en individueel afgestemde opleidingsmaatregelen. Hoewel het risico van cyberaanvallen altijd aanwezig is en bedrijven er altijd op voorbereid moeten zijn, is een goede cybersecuritybewustzijn onder werknemers een extra slot op de cyberveiligheid van een hele organisatie.