We moeten meer op onze hoede zijn op internet. Wij (en onze gevoelige gegevens) zijn online makkelijker te vinden dan we denken en hackers liggen op de loer. Meer dan ooit is het noodzakelijk om zorgvuldiger om te gaan met wachtwoorden, persoonlijke informatie en multi-factorauthenticatie.
Vaak wordt over het darkweb gepraat alsof het een mythe is. Dat land, hier ver vandaan, waar we geen voeling mee hebben en ook nooit mee in aanraking komen. Een plek waar dingen gebeuren die we ons niet kunnen inbeelden en die we alleen kennen van de verhalen van wilde avonturiers die halsbrekende toeren uithalen. Dan is het niet zo gek dat we weleens vergeten dat ook wij daar gemakkelijk te vinden zijn.
Het darkweb, voor wie het zich niet meteen kan voorstellen, is de plek waar wapenhandelaars, drugsdealers en illegale pornoverdelers hun waren aanbieden. Je hebt een speciale browser nodig om dit deel van internet te betreden, en met Google ben je er niet veel. Hier vind je alles wat je niet wilt of durft te kopen via reguliere kanalen, inclusief logingegevens, wachtwoorden en misschien zelfs je eigen bankrekeninggegevens.
Impact
Om een idee te geven van de impact ervan: in juni nog lekten een half miljoen Belgische logingegevens uit toen een crimineel marktplatform op het darkweb zelf werd gehackt. De gegevens dateerden voornamelijk uit 2020 en omvatten logins voor werknemers en studenten van universiteiten en instituten. Nog niet zo lang geleden dus, waardoor erg veel van die data nog steeds bruikbaar zullen zijn.
Vorig jaar werd er eveneens een lijst aangetroffen met daarop ruim vierduizend Belgische ip-adressen die gelinkt waren aan een kritiek Microsoft Exchange-lek. Als een hacker erin slaagt om die geïmpacteerde adressen te linken aan concrete bedrijfsgegevens, kunnen ze vervolgens op zoek gaan naar logingegevens van werknemers bij die bedrijven en wandelen ze zo naar binnen. En die gegevens zijn er in overvloed.
Wijzelf slaagden erin om heel snel een duizendtal bedrijven te linken aan de betrokken ip-adressen. Met behulp van onze gespecialiseerde tools vonden we binnen de kortste keren de nodige inloggegevens om bij die bedrijven te kunnen inbreken en bijvoorbeeld ransomware los te laten op de hele organisatie (wat we natuurlijk niet deden).
Of nog beter: in juli vond ik op het darknet logingegevens voor 658 klanten van een fysieke beveiligingsleverancier. Dankzij deze data kon ik voor mezelf een pincode genereren waarmee ik het gebouw van een concurrent zou kunnen betreden – boven op onbeperkte toegang tot de beveiligingscamera’s. Zo zie je maar: jij mag alles volledig in orde hebben, bij je je leveranciers of klanten hoeft dat niet altijd het geval te zijn.
Schuld
Het grote probleem is: het is niet altijd de schuld van de eindgebruiker als gevoelige data worden gelekt. Het is niet altijd een gephishte werknemer of particulier die aan de basis ligt van een hack. Soms vertoont een applicatie grote beveiligingsgaten die uit zijn te buiten. Soms is een organisatie onvoldoende bezig met tijdig updaten, waardoor werknemers naar verouderde beveiligingsoplossingen kijken. Steeds speelt dezelfde factor een rol om de hack mogelijk te maken: onvoldoende voorzichtigheid met gevoelige data.
Dat maakt het des te belangrijker om controle te nemen over wat je wél in de hand hebt: redundantie, extra veiligheidslagen en voorzichtigheid. Dat bereik je door bij élke e-mail te kijken vanwaar deze afkomstig is, steeds unieke wachtwoorden te gebruiken en een multi-factorauthenticator in te stellen. Altijd, overal.
Doe je dat niet, dan ben je een vogel voor de kat. Met relatief eenvoudige zoekopdrachten vind je op het darkweb ellenlange lijsten van gelekte wachtwoorden, e-mailadressen, telefoonnummers, onbeveiligde ip-adressen,… Je hoeft geen Sherlock Holmes te zijn om de nodige puzzelstukjes samen te leggen en een aanval uit te voeren op de ongelukkige slachtoffers.
Grote verantwoordelijkheid
Hoewel mensen er dus niet altijd kunnen aan doen als zij of hun organisatie worden gehackt via hun accounts, dragen ze wel een grote verantwoordelijkheid. Het komt iedereen toe om zorg te dragen over de veiligheid van hun data door zoveel mogelijk voorzichtigheid aan de dag te leggen. En voor wie dat te technisch is, is het hun verantwoordelijkheid om zich voldoende te laten adviseren.
Hackers gaan steeds driester te werk: ze vragen niet alleen meer losgeld voor versleutelde gegevens, ze dreigen almaar meer met het publiek maken van bijvoorbeeld klantgegevens. Of ze beginnen meteen met het vernietigen van backups zodat een getroffen organisatie maar moeilijk opnieuw kan opstaan. De risico’s worden groter, ons gezamenlijke bewustzijn daarvan moet nu zo snel mogelijk volgen.
Wanneer ik een seminarie geef over de werking van cyberaanvallen, hackergroepen en hoe makkelijk het is om iemands leven overhoop te gooien, zie ik nog te vaak monden die openvallen. Dit moet voortaan parate kennis zijn. En voor wie mij niet gelooft: ik ga graag de uitdaging aan om het je aan te tonen.
(Auteur Geert Baudewijns is ceo van Secutec.)