Cybercriminelen blijven slim gebruik maken van menselijke zwaktes. Zo neemt het aantal phishing- en ransomware-aanvallen sterk toe. Cybercriminelen kiezen hierbij steeds vaker voor een drieledige aanval, waarbij de buitgemaakte inloggegevens worden ingezet bij toekomstige aanvallen. Dit blijkt uit het ‘Data Breach Investigations Report 2016’ van de Amerikaanse telecomprovider Verizon.
In deze negende editie van de Verizon-studie zijn ruim 2260 datalekken en ruim honderdduizend beveiligingsincidenten geanalyseerd.
Het onderzoek toont aan dat het aantal phishing-aanvallen in 2015 sterk is toegenomen ten opzichte van het jaar ervoor. 30 procent van alle phishingmails wordt namelijk geopend. Dat is een stijging van 23 procent ten opzichte van het jaar daarvoor. Vervolgens klikte 13 procent van alle gebruikers op een kwaadaardige bijlage of link, waarbij malware geïnstalleerd wordt. Dit geeft die cybercriminelen de kans om het (bedrijfs)netwerk binnen te dringen. Criminelen zoeken naar interne informatie en bedrijfsgeheimen (cyberspionage) of versleutelen bestanden om losgeld te eisen (ransomware).
Drietrapsaanval
Verizon signaleert de opkomst van een drieledige aanval. Het eerste onderdeel van deze aanval is een phishing-mail. Naast de standaard malware voor cyberspionage en ransomware, wordt key logging aan de malware toegevoegd. Hiermee bemachtigt de cybercrimineel de inloggegevens van diverse applicaties. In het derde stadium gebruikt de crimineel deze inloggegevens voor verdere aanvallen, zoals het inloggen bij webwinkels of sites voor internetbankieren. Deze drieledige aanval wordt met grote regelmaat herhaald en veel organisaties zijn hier het slachtoffer van.
Het onderzoek toont aan dat de lijst van menselijke fouten wordt aangevuld met fouten die de getroffen organisaties zelf maakten. Deze ‘overige fouten’ staan bovenaan de lijst van beveiligingsincidenten. Denk aan het versturen van gevoelige informatie naar de verkeerde ontvanger, het onveilig afdanken van bedrijfsgegevens, verkeerd geconfigureerde ict-systemen en diefstal of -verlies van apparaten.
‘Je zou kunnen zeggen dat één thema telkens opnieuw in onze onderzoeksbevindingen naar voren komt, en dat is de menselijke factor’, zegt Bryan Sartin, executive director van het risicoteam van Verizon. ‘Ondanks alle vooruitgang die wordt geboekt op het gebied van onderzoek naar informatiebeveiliging en de ontwikkeling van oplossingen voor het detecteren van cyberbedreigingen blijkt dat men nog altijd dezelfde fouten maakt waar we al meer dan tien jaar op wijzen.’
Internet of Things
Tot slot concludeert Verizon dat aanvallen op mobiele en internet of things (IoT)-apparatuur nog geen belangrijke rol spelen. Wel hebben cybercriminelen hun eerste succesvolle experimenten uitgevoerd. Verizon stelt dat het slechts een kwestie van tijd is voordat er een prominent incident op mobiele en IoT-apparatuur gaat plaatsvinden.
Of alle mensen veranderen of de software, eindelijk, intrinsiek veilig maken. Het laatste lijkt me aanzienlijk eenvoudiger dan het eerste…
@Dick van Elk
Geen enkel stuk software is intrinsiek veilig. Geef eens aan hoe jij dat zou willen doen.
Beste KJ,
Geef je casus en ik geef je een intrinsiek veilige oplossing.
@Dick
Ok een praktijkvoorbeeld. Neem bijvoorbeeld een SAP ERP Systeem. Die zijn erg complex en hebben vele, goed gedocumenteerde attack, surfaces. Hoe denk jij zo’n complex stuk (3-tier) software “intrinsiek veilig” te kunnen maken, waarbij geldt als randvoorwaarde dat de functionaliteit en beschikbaarheid van de applicatie niet mogen worden aangetast.
De menselijke factor kan je natuurlijk nooit helemaal uitsluiten. Wat je wel kan doen is het risico aanzienlijk verkleinen door alle inkomende onbekende mail adressen eerst via 1 persoon te laten lopen. Zodat deze de kwaadaardige blokkeerd. Maar dit is dan een flinke extra taak voor de organisatie.