Cybercriminelen richten zich steeds vaker op grote merken in de financiële wereld en de detailhandel. Ze doen zich voor als een medewerker of zelfs de directeur van de bedrijven achter die merken. Ook worden er nepsites gebouwd die nauwelijks te onderscheiden zijn van het origineel. Vooral financiële instellingen zijn de klos, omdat daar veel geld te halen is. Maar ook bedrijven in de detailhandel en de maakindustrie zijn regelmatig slachtoffer. Dat vertelt Pieter Jansen, directeur en mede-oprichter van het Haagse cybersecuritybedrijf Cybersprint.
Jansen legt uit: ‘De online aanwezigheid van organisaties groeit doordat steeds meer commerciële activiteiten en communicatie via het internet verlopen. Denk bijvoorbeeld aan de toename van webwinkels, social media accounts, mobiele apps en de mogelijkheden op mobiele devices.’
Die groei in online aanwezigheid wordt door het bedrijf ook wel de ‘online footprint’ genoemd. Volgens Jansen neemt door de groei van online activiteiten ook het aanvalsoppervlak van organisaties sterk toe en groeit de behoefte om daar controle over te houden. Zijn in 2015 opgerichte bedrijf telt inmiddels zeventien man personeel en levert diensten aan internationale bedrijven en organisaties. Dat zijn onder meer de gemeente Den Haag en ING.
Cybersprint heeft een eigen Digital Risk Monitoring Platform (DRM-platform) ontwikkeld. Daarmee worden de online risico’s voor een organisatiereal-time in kaart gebracht en kunnen cyber dreigingen van aanvallers vroegtijdig worden afgewenteld.
Phishing en spoofing
‘Phishing staat bovenaan’, antwoordt Jansen als hem gevraagd wordt welke incidenten het meest plaatsvinden bij klanten. Hij legt uit dat veel organisaties namelijk onvoldoende inzicht hebben in hun eigen websites, online activiteiten en de risico’s die ze daarmee lopen. Jansen: ‘Websites zijn bijvoorbeeld vaak opgezet door marketingafdelingen en lang niet allemaal in beeld bij de ict-afdeling. Daardoor loopt de configuratie en beveiliging van die ‘vergeten’ websites vaak achter.’
Ook spoofing komt veel voor. Het gaat dan om het versturen van nep e-mails vanuit een organisatie of juist naar een organisatie waarbij niet duidelijk is dat de afzender niet dezelfde persoon is als diegene waarvoor hij of zij zich voordoet.
driehonderdduizend nieuwe domeinen
Maar hoe pakt het bedrijf dat aan? Jansen legt uit dat Cybersprint voor zijn klanten de zogenoemde digitale voetprint in kaart brengt. Volgens hem komen er wereldwijd iedere 24 uur ongeveer driehonderdduizend nieuwe domeinnamen bij. ‘Dan hebben we het alleen over topleveldomeinen zoals .nl, .bank, en .org. In totaal zijn er ongeveer achtienhonderd extensies sinds dat topleveldomein is vrijgegeven.’
Door de lijsten van registers door te spitten en door eigen onderzoek in openbare bronnen worden de risico’s van klanten in kaart gebracht. Jansen: ‘Veel andere securityleveranciers stellen aan hun klant de vraag: ‘welke url’s, sites enzovoort bezitten jullie?’ Wij vragen alleen naar de merknaam en gaan vervolgens zelf voor hen op zoek naar de risico’s, omdat ze vaak lang niet hun volledige online footprint in kaart hebben.’
Darkweb en deepweb
Jansen legt uit dat met speciale programmatuur ook het darkweb wordt doorzocht. Bijvoorbeeld om te kijken of op die illegale marktplaatsen banknummers worden aangeboden van een klant uit de financiële sector, creditcardgegevens worden verhandeld of toegang tot gekraakte systemen van een klant wordt aangeboden. Cybersprint pluist grote hoeveelheden data uit op de namen van bekende merken en hun belangrijkste medewerkers zoals van directieleden. Scraping wordt dat genoemd. Naast dat afstruinen van grote databestanden wordt de omgeving van klanten ook getest. ‘Veel firewalls zijn bijvoorbeeld nog ingesteld op ipv4 waardoor ze ipv6-verkeer gewoon doorlaten. Omdat ze onjuist zijn geconfigureerd’, noemt Jansen als voorbeeld.
Naast het darkweb (de illegale marktplaatsen) is ook het deepweb een belangrijk jachtterrein voor Cybersprint. Jansen legt uit dat het gaat om sites die niet eenvoudig te vinden zijn, bijvoorbeeld doordat ze niet zijn opgenomen in de indexering van zoekmachines. ‘Via datadiensten als pastebin.com, die zijn opgezet om anoniem grote databestanden te delen, worden bijvoorbeeld rekeningnummers, persoonsgegevens of creditcardgegevens gedeeld. Dat soort datalekken van mogelijke gegevens van onze klanten sporen we op. Vooral mensen die hoog in de organisatie zitten van een bedrijf zijn kwetsbaar’, aldus Jansen.
Advertentiefraude
Relatief nieuw is volgens Jansen een methode waarbij criminelen advertentiefraude plegen. Via nepadvertenties worden nietsvermoedende bezoekers naar een phishingsite gelokt.
Het vormt volgens hem een zeer groot risico doordat de advertenties overal kunnen opduiken. ‘Veel organisaties maken gebruik van ‘search engine advertising’ (sea) om gerichte advertenties te laten zien op basis van keywords in de verschillende zoekmachines, zoals Bing en Google. Ook anderen kunnen adverteren op deze relevante keywords, waaronder ook merknamen, waarmee soms misbruik wordt gemaakt van de merknaam om klanten te misleiden ofwel gericht te gebruiken voor phishing-aanvallen.’
90 procent blijft onder de pet
Volgens Jansen komt 90 procent van de aanvallen niet in de media, doordat bedrijven uit angst voor reputatieschade incidenten niet openbaar maken. Volgens hem moeten bedrijven meer open zijn over incidenten en vaker informatie delen zodat andere bedrijven gewaarschuwd kunnen worden en samen op zoek gaan naar oplossingen. ‘We kunnen echt leren van elkaars incidenten.’
Hij vindt dat de financiële wereld in die samenwerking voorop loopt: ‘Je ziet vanuit de VS de trend van Isac’s overwaaien. Dat staat voor Information sharing and analyses centers. Partijen delen hun kennis, kunde en informatie over dreigingen en de aanpak van incidenten.
Beveiligingscertificaten
‘Criminelen zijn ook steeds creatiever. Ze gebruiken bijvoorbeeld beveiligingscertificaten. Als er een slotje in de adresbalk staat, denken bezoekers dat de site veilig is. Maar het gaat in die gevallen vaak om gratis certificaten van partijen als Lets Encrypt. In dat geval betekent het slotje alleen dat degene die het certificaat heeft aangevraagd ook de partij is die achter de site zit. Bij zo’n aanvraag van een beveiligingscertificaat op het laagste niveau vindt verder geen verificatie of controle plaats’ stelt Jansen.
Investeringen
Cybersprint is eén van de tien bedrijven die door gemeente Den Haag en Duits-Nederlandse Kamer van Koophandel is verkozen om deel te nemen aan pilot project Duitsland. Ook ontving het bedrijf geld van een innovatieprogramma van de Rijksdienst voor Ondernemend Nederland (RVO). En haalde het met een investeringsronde in 2017 700.000 euro binnen.
We zullen allemaal stevig aan de bak moeten om de boefjes voor te blijven. GDPR geeft wellicht een vehicle om dat goed onder de aandacht van de gemiddelde burger te krijgen. Waarbij helder moet zijn dat privacy, id-fraude en security heel dicht bij elkaar liggen. Mooi dat clubs zoals Cybersprint dit serieus nemen en zelf preventief op zoek gaan naar mogelijk misbruik voordat het optreed. Bravo! aanpakken die (nep)handel!