Loading

VEILIG DIGITAAL MAGAZINE November 2019

INHOUD:

  • DDoS-aanvallen groter, veelvuldiger en slimmer
  • Internetoplichting: ondanks verlies, weinig aangifte
  • Schade door phishing in Nederland nu al hoger dan in 2018
  • Google waarschuwt gebruikers voor gelekte wachtwoorden
  • Beveiligde pdf-bestanden toch lezen door beveiligingslek
  • Multi-stage aanvallen zijn de norm
  • Grapperhaus: mensen onvoldoende bewust van cybersecurity
  • Slachtofferhulp start campagne voor slachtoffers internetoplichting
  • Tech-giganten vormen security-supergroep CyberPeace Institute
  • Markt voor aanvallen op IoT-apparaten groeit snel
  • 99 procent van cyberaanvallen vereist menselijk handelen
  • Aantal meldingen online beelden van kindermisbruik 'neemt explosief toe
  • Zero Day kwetsbaarheid; wat is het?
  • Europol: ransomware grootste cyberdreiging van 2019
  • Harde aanpak bij laksheid internetbeveiliging
  • Cybercrime jurisprudentieoverzicht oktober 2019
  • Rechtspraak

DDoS-aanvallen groter, veelvuldiger en slimmer

De stijgende lijn in de grootte en duur van DDoS-aanvallen in Nederland zet door. Tegelijkertijd verschijnen nieuwe vormen van DDoS ten tonele die veel lastiger te herkennen zijn.

Stijging Ddos aanvallen zet door

DDoS-aanvallen zijn groter, veelvuldiger en slimmer, zo luidt de conclusie van het nieuwe NBIP DDoS-datarapport over de eerste helft van 2019. Zo zit er een stijgende lijn in de uitschieters. In april van dit jaar is een aanval van 71 Gbps waargenomen, een nieuw record. Ook het aantal grote aanvallen van boven de 10 Gbps blijft stijgen. Hoewel de gemiddelde DDoS-aanval ook in 2019 van beperkte omvang is, ziet de NBIP een ‘groeiende klasse van grote aanvallen’.

NNBIP maakt ook melding van een stijgende lijn in de duur van aanvallen. Hoewel het merendeel van de DDoS-aanvallen minder dan vijftien minuten duurt, zijn hier ook duidelijke uitschieters zichtbaar. Met name het aantal aanvallen van langer dan vier uur lijkt toe te nemen. In de eerste helft van 2019 zijn nu al 23 van dergelijke aanvallen gemeten, in heel 2018 waren dat er 22.

Opvallende nieuwkomer in de metingen van de NBIP is de zogeheten GRE flood, een nieuw type DDoS-aanval dat zich richt op een protocol in netwerkpakketten. Deze floods zijn lastig tegen te houden, aangezien GRE-verkeer altijd versleuteld is. De NBIP werkt met anderen aan de ontwikkeling van een DDoS-database waarmee aanvallen beter kunnen worden herkend en waarmee mitigatie doeltreffender is.

Internetoplichting: ondanks verlies, weinig aangifte

Slechts 23 procent van de gedupeerden van internetoplichting doet daarvan aangifte. Van hen heeft maar 1 op de 10 mensen die afgelopen jaar zijn opgelicht bij een online-aankoop de schade vergoed gekregen.

Bijna 30 procent van de mensen die de aankoopfraude niet gemeld hebben vond het incident niet belangrijk genoeg, meldt het Centraal Bureau voor de Statistiek na een onderzoek onder ruim 38.000 mensen. Vaak omdat het om een klein bedrag ging. Een op de vijf mensen dacht dat een melding toch niet zou helpen. Ze gingen er vanuit dat ze er hun geld niet mee terug konden krijgen.

Marktsites en nepwebshops

Aankoopfraude kwam voor bij 2,7 procent van de Nederlanders van 12 jaar of ouder die vorig jaar online iets hadden gekocht. Twee op de vijf gedupeerden hadden iets gekocht op een site voor tweedehandsspullen. Een kwart deed de bestelling bij een webwinkel die later vaak een nepwebshop bleek te zijn. Maar ook bij aankopen op grote webshops als Amazon en Alibaba ging het weleens mis. De slachtoffers kochten vooral kleding, schoenen, accessoires of elektronica. Een klein aantal kocht tickets of kaartjes.

Emotionele schade

De schade bleef niet beperkt tot het verlies van het geld, 39 procent was erg boos, 12 procent bleef eraan denken, en 5 procent sliep er slechter door. Bij een deel van de slachtoffers daalde het vertrouwen in de digitale veiligheid zodanig dat ze bang waren voor herhaling.

Schade door phishing in Nederland nu al hoger dan in 2018

Het aantal meldingen van cybercrime via sms blijft stijgen: bijna 15.000 tot nu toe, met een totaal schadepost van ruim 1 miljoen euro.

Phishingschade blijft stijgen

Het totale schadebedrag door fraude via phishing kwam in 2018 op 862.000 euro. Dit jaar is tot oktober al een totaal schadebedrag van 1.105.987 euro gemeld, zegt de Fraudehelpdesk. Hoewel het gros van de Nederlanders weet wat phishing is, heeft toch 1 op de 10 Nederlanders weleens op een phishinglink in e-mail, sms of WhatsApp-bericht geklikt. Dat komt omdat criminelen steeds nieuwe phishingmethoden bedenken.

Zo is maar 1 op 8 Nederlanders bekend met spoofing, waarbij criminelen doen alsof zij bijvoorbeeld een bank of telecomprovider zijn. Het telefoonnummer, web- of e-mailadres lijkt dan te kloppen, waardoor mensen de situatie onterecht vertrouwen. Vooral bij berichten die om geld vragen, of die een link bevatten, moeten mensen opletten. Berichten van banken en de overheid bevatten namelijk bewust nooit een link. Zij vragen de consument of burger zelf naar de juiste pagina of app te gaan en zelf in te loggen.

Google waarschuwt gebruikers voor gelekte wachtwoorden

Google waarschuwt gebruikers met een Google-account voortaan voor zwakke en gelekte wachtwoorden en zal dit ook bij Chrome-gebruikers gaan doen, zo meldt het bedrijf vandaag. Het Google-account beschikt over een ingebouwde wachtwoordmanager, die nu is voorzien van Password Checkup.

Begin dit jaar lanceerde Google Password Checkup als een extensie voor Chrome. Nu is de feature onderdeel van de wachtwoordmanager van het Google-account geworden. Password Checkup controleert of opgeslagen wachtwoorden niet via datalekken bij andere websites zijn gelekt. Google zegt dat het meer dan 4 miljard gebruikersnamen en wachtwoorden heeft gevonden die van verschillende datalekken afkomstig zijn. Daarnaast waarschuwt de feature voor zwakke wachtwoorden. Gebruikers kunnen via passwords.google.com hun opgeslagen wachtwoorden beheren en controleren.

De Chrome-extensie van Password Checkup is sinds de lancering in februari al meer dan 1 miljoen keer gedownload. Later dit jaar zal Google de tool direct aan Chrome toevoegen. Op deze manier zouden gebruikers "realtime bescherming" bij het invoeren van hun wachtwoorden krijgen, zonder dat ze een aparte extensie hoeven te installeren.

Beveiligde pdf-bestanden toch lezen door beveiligingslek

Een nieuw soort cyberaanval kan worden ingezet om met een wachtwoord beveiligde PDF-bestanden toch te lezen. Zo kunnen criminelen vertrouwelijke informatie bemachtigen.

De aanvalsmethode werd ontdekt door onderzoekers van de Ruhr-universiteit van Bochum en de universiteit van Münster, aldus ZDNet. Of iemand naast deze onderzoekers de aanval ook heeft ontdekt en actief heeft misbruikt, is nog niet bekend. Wie een PDF-bestand tegen pottenkijkers wil beveiligen, kan al langere tijd een wachtwoord instellen. Het bestand wordt dan versleuteld en is niet in te zien zonder het wachtwoord in te voeren.

Zo'n wachtwoord is normaal gesproken voldoende om je gegevens te beveiligen, maar een nieuwe aanvalsmethode brengt daar verandering in. De onderzoekers zijn er in geslaagd om een beveiligd bestand aan te passen, zodat er in feite een boobytrap in wordt verstopt. Wordt het document ontsleuteld? Dan stuurt deze boobytrap de volledige inhoud naar de aanvaller toe.

Dat betekent overigens wel dat zo'n aanval om PDF-bestanden in te zien veel gedoe is. Een crimineel zou moeten inbreken op je computer, een boobytrap moeten verstoppen in het document en moeten wachten tot jij een wachtwoord invoert om hem te lezen. Daar staat tegenover dat de aanvalsmethode de meest gevoelige informatie aanvalt. Een PDF-document wordt immers alleen beveiligd als de eigenaar wil voorkomen dat ook maar iemand de inhoud kan lezen.

Multi-stage aanvallen

De cyberaanvallen komen tegenwoordig van alle kanten.

Aanvallen zijn in meerdere fasen gecoördineerd en gecombineerd. Multi-stage aanvallen zijn nu de norm. Slachtoffers ervaren meerdere aanvalstechnieken tijdens een cyberaanval.

Grapperhaus: mensen onvoldoende bewust van cybersecurity

Ondanks continue waarschuwingen van overheid en experts zijn mensen nog altijd niet voldoende bewust van cybersecurity, zo stelde minister Grapperhaus van Justitie en Veiligheid

De minister wees naar de Engelse uitdrukking “crying wolf”, waarbij uiteindelijk niemand meer naar de waarschuwingen luistert totdat het te laat is. Experts proberen de boodschap naar buiten te krijgen dat cybersecurity urgent en noodzakelijk is, maar dit komt niet voldoende over. Mensen horen de waarschuwingen wel, maar zien niet dat het misgaat en besluiten dan ook om het gegeven advies niet op te volgen. Grapperhaus noemde dit een dilemma. "Je wilt geen onnodige paniek verspreiden, maar je wilt wel dat mensen voorbereid zijn en hun cybersecurity op orde hebben."

Uit onderzoek blijkt dat veel mensen nog niet voldoende “cybersecure” zijn, of vinden dat ze dat zijn, maar vervolgens geen beveiligingsmaatregelen nemen. Cybersecurity is nog altijd geen gemeengoed en mensen denken dat het alleen bij anderen misgaat, ging de minister verder. Grapperhaus waarschuwde dat de samenleving steeds kwetsbaarder wordt voor cybersecurity-incidenten, alleen de urgentie om hiernaar te handelen ontbreekt. Nog steeds zijn er bedrijven en organisaties zonder adequate cybersecurity. Afsluitend liet de minister weten dat hij hoopt dat de situatie volgend jaar is verbeterd, waarbij hij een gezamenlijke rol ziet voor cybersecurity-experts, bedrijfsleven en overheid.

Slachtofferhulp start campagne voor slachtoffers internetoplichting

Slachtofferhulp Nederland is een campagne gestart om slachtoffers van online oplichting te bereiken en waar mogelijk te ondersteunen.

SLACHTOFFERHULP START CAMPAGNE

Volgens de organisatie schamen slachtoffers van internetfraude zich en hebben ze naast financiële ook met emotionele schade te maken, zoals stress.

De campagne moet slachtoffers helpen bij het verkrijgen van schadevergoeding en emotionele hulp. Ook heeft het een preventieve werking als doel. Zo wordt aangeraden om niet zomaar links te openen en bestanden te downloaden. Tevens krijgen internetgebruikers het advies om alert te zijn op mooie aanbiedingen. "Is een aanbod 'te mooi om waar te zijn'? Dan is dat helaas vaak ook zo." Via de website van Slachtofferhulp kunnen mensen drie vragen beantwoorden om te bepalen met welke fraudevorm ze te maken hebben en krijgen vervolgens advies op maat.

Tech-giganten vormen security-supergroep CyberPeace Institute

Een aantal grote tech-bedrijven hebben samen een non-governmental organisation (NGO) opgericht, die als doel heeft om de groei van wereldwijde cybercrime tegen te houden. Het gaat om het CyberPeace Institute, dat opgericht werd door Microsoft, Mastercard en de Hewlett Foundation.

Het CyberPeace Institute is opgezet om de ernst en frequentie van cyberaanvallen te verminderen, en om het internet in zijn algemeenheid een stabielere omgeving te maken. De organisatie werkt aan dit doel door slachtoffers te helpen en te beschermen, dreigingen te analyseren en te onderzoeken en door gezonde cybersecurity-standaarden en voorkomende richtlijnen te promoten.

Betrouwbare onderzoeksbron

“Overheden, de private sector, de gemeenschap en academici moeten onderdeel zijn van het bespreken van oplossingen en het nemen van concrete stappen om mensen te beschermen”, aldus Tom Burt, corporate vice president for customer security and trust bij Microsoft. Volgens hem is in het gevecht tegen cyberaanvallen met name een betrouwbare bron van onderzoek vereist, evenals analyses over de impact van cyberaanvallen op wereldburgers.

De organisatie neemt hierbij een voorbeeld aan andere NGO’s wereldwijd die hulp hebben geboden aan slachtoffers van oorlogen en natuurrampen, en discussies hebben gevoerd over het beschermen van de slachtoffers. “Het is duidelijk dat slachtoffers van aanvallen die op het internet begonnen vergelijkbare hulp verdienen”, aldus Burt. “Het CyberPeace Institute doet precies dat.”

De organisatie wil onder meer een CyberVolunteer Network gaan mobiliseren. Dat netwerk bestaat uit een gemeenschap van vertegenwoordigers van de industrie, de publieke sector en academici. Het netwerk moet werken aan het helpen van slachtoffers van cybercrime, in de vorm van noodhulp en herstel op de langere termijn.

Markt voor aanvallen op IoT-apparaten groeit snel

Cybercriminelen van over de gehele wereld bespreken actief hoe Internet of Things (IoT) apparaten aangevallen en gehackt kunnen worden. Ook bespreken ze hoe deze apparaten misbruikt kunnen worden om geld te verdienen. Dat blijkt uit onderzoek van Trend Micro.

Cybercriminelen overleggen aanvallen

Trend Micro Research analyseerde voor zijn onderzoek Russische, Portugese, Engelse, Arabische en Spaanse fora op zwarte markten, om vast te stellen hoe cybercriminelen verbonden apparaten misbruiken en hier geld mee verdienen. Dat schrijft Express Computer.

Het onderzoek wijst uit dat de meest geavanceerde criminele markten op Russische en Portugese fora zitten. Daar zijn financieel gedreven aanvallen het meest prominent. Op de fora ligt de focus met name op het verkopen van toegang tot gecompromitteerde apparaten, zodat ze misbruikt kunnen worden voor aanvallen. Het gaat met name om routers, webcams en printers.

De meeste gesprekken en actieve campagnes om geld te verdienen richten zich volgens het onderzoek van Trend Micro op consumentenapparaten. Steve Quane, executive vice president of network defence en hybrid cloud security bij Trend Micro, geeft een eenvoudige verklaring voor de groeiende interesse in IoT. “Criminelen volgen altijd het geld. De IoT-markt blijft groeien, zeker met landschapsveranderingen als 5G.”

Industriële apparaten

Quane stelt dat de IoT-aanvallen nu nog in de kinderschoenen staan, maar dat er zelfs al criminelen zijn gevonden die bespreken hoe industriële apparatuur te gebruiken is voor hetzelfde doeleinde. “Enterprises moeten klaar staan om hun Industry 4.0-omgevingen te beschermen.”

Deze gesprekken gaan over hoe verbonden industriële apparaten gevonden en gecompromitteerd kunnen worden. Hierbij gaat het vooral om vitale programmable logic controllers (PLC’s), die gebruikt worden om grote productie-apparatuur te besturen. Het meest waarschijnlijke plan om geld te verdienen met aanvallen op deze industriële apparaten omvat waarschijnlijk digitale afpersingsaanvallen, waarbij criminelen dreigen met downtime in de productie.

VR-apparaten

Het rapport voorspelt ook een groei in IoT-aanvalstoolkits die zich richten op een bredere set aan consumentenapparaten. Het gaat dan bijvoorbeeld om virtual reality-apparaten.

99 procent van cyberaanvallen vereist menselijk handelen

Proofpoint heeft zijn jaarlijkse Human Factor rapport gelanceerd. Het rapport brengt in kaart hoe cybercriminelen zich richten op mensen in plaats van op systemen en infrastructuur. Met als doel om malware te installeren, frauduleuze transacties te initiëren, gegevens te stelen en meer.

Voor het rapport heeft Proofpoint data van zijn wereldwijde klantenbestand over een periode van achttien maanden geanalyseerd. Het bedrijf deelt de geïdentificeerde aanvalstrends om organisaties en gebruikers te helpen zich beter te beschermen tegen cybercrime.

“Cybercriminelen richten zich nadrukkelijk op mensen omdat het relatief eenvoudig voor hen is om frauduleuze e-mails te versturen, referenties te stelen en kwaadaardige bijlagen naar cloudapplicaties te uploaden. Het is gemakkelijker en winstgevender dan dure, tijdrovende exploitaties van veiligheidsgaten te creëren, die ook nog een grote kans op mislukking hebben”, aldus Kevin Epstein, vicepresident Threat Operations bij Proofpoint. “Meer dan 99 procent van de cyberaanvallen heeft menselijk handelen nodig om te werken. Hierdoor worden individuele gebruikers de laatste verdedigingslinie van een organisatie. Om de risico's aanzienlijk te verminderen, hebben organisaties een holistische mensgerichte cybersecurity-benadering nodig. Deze moet onder meer effectieve bewustwordingstrainingen en een gelaagde bescherming omvatten die aangeeft wie de meest aangevallen gebruikers binnen een organisatie zijn."

Enkele conclusies van het 2019 Human Factor-rapport:

  • Meer dan 99 procent van de waargenomen aanvallen vereiste menselijke interactie om te werken: een macro uitvoeren, een bestand openen, op een link klikken of een document openen. Dit geeft het belang van social engineering voor succesvolle aanvallen aan.
  • Microsoft-gerelateerde aanvallen bleven het populairst. Bijna 1 op de 4 phishing-e-mails die in 2018 werden verzonden, waren gekoppeld aan Microsoft-producten. In 2019 vond een verschuiving plaats: aanvallen die gebruikmaakten van cloud-opslag, DocuSign en Microsoft cloud phishing waren het effectiefst. De top van de phishing-aanvallen probeerde referenties te stelen, feedback-lussen te creëren die mogelijk informatie kunnen opleveren voor toekomstige aanvallen, onbevoegde toegang binnen een organisatie uit te breiden en interne phishing.
  • Cyberaanvallers verfijnen hun instrumenten en technieken op zoek naar financiële winst en diefstal van informatie. Toen het gebruik van foute identiteiten opkwam waren dit vooral één-op-één-aanvallen en één-op-veel-aanvallen. Vandaag de dag blijken cybercriminelen succesvoller met aanvallen die gebruikmaken van meer dan vijf identiteiten tegen meer dan vijf personen in doelorganisaties (veel-op-veel-aanvallen).
  • De afgelopen achttien maanden bleken op banking gerichte Trojaanse Paarden, software om informatie te stelen, Trojaanse Paarden voor onbevoegde toegang op afstand (Remote Access Trojans: RAT's) en andere niet-destructieve soorten malware het populairst. Deze hebben als doel onopgemerkt op geïnfecteerde apparaten geïnstalleerd te blijven en voortdurend gegevens te stelen die in de toekomst mogelijk van nut kunnen zijn voor cybercriminelen.

Mensgerichte bedreigingen

  • Aanvallers mikken op mensen en dat zijn niet per se de traditionele VIPs. De meest aangevallen mensen (Very Attacked People: VAP) zijn vooral mensen in het centrum van een organisatie. Het gaat om mensen met eenvoudig te vinden adressen en toegang tot financiële middelen en gevoelige gegevens of mensen die cybercriminelen een bepaald soort kans bieden (zoals mensen met toegang tot een gedeeld account).
  • 36 procent van de VAP-identiteiten kon online worden gevonden via corporate websites, sociale media, publicaties en meer. Van de VIPs die ook VAPs zijn kon bijna 23 procent van de e-mailidentiteiten worden ontdekt via een Google-zoekopdracht.
  • Oplichters bootsen zakelijke routines na om detectie te omzeilen. De verspreiding van oplichters-berichten volgt de legitieme patronen van het e-mailverkeer binnen een organisatie. Minder dan 5 procent van de totale berichten wordt in het weekend verspreid en het grootste deel - meer dan 30 procent - op maandag.
  • Cybercriminelen die malware verspreiden, volgen minder vaak de legitieme patronen van het e-mailverkeer. De totale volumes kwaadaardige berichten die in het tweede kwartaal van 2019 werden onderzocht, werden gelijkmatiger verdeeld over de eerste drie dagen van de week en waren ook in aanzienlijke hoeveelheden aanwezig in campagnes die op zondag begonnen (meer dan 10 procent van het totale volume).
  • Klik-tijden blijven aanzienlijke regionale verschillen tonen; een afspiegeling van de verschillen in werkcultuur en e-mailgewoonten tussen de regio's in de wereld. Werknemers in Azië-Pacific en Noord-Amerika lezen en klikken veel vaker vroeg op de dag, terwijl gebruikers in het Midden-Oosten en Europa eerder halverwege de dag en na de lunch zullen klikken.

E-mailaanvallen: branches onder vuur

  • Onderwijs, financiën en reclame/marketing staan bovenaan de lijst van sectoren met de hoogste gemiddelde Attack Index, een maatstaf voor de ernst en het risico van aanvallen per branche. De onderwijssector heeft te kampen met de heftigste aanvallen en heeft een van de hoogste gemiddelde aantallen VAPs van alle sectoren. De financiële dienstverlening heeft een relatief hoge gemiddelde Attack Index, maar minder VAPs.
  • In 2018 bereikten oplichter-aanvallen het hoogste niveau in de technische, automobiel- en onderwijssector; gemiddeld meer dan 75 aanvallen per organisatie. Dit is waarschijnlijk te wijten aan de complexiteit van de toeleveringsketen in de technische en automobielindustrie en de waarde van doelwitten en kwetsbaarheid van gebruikers in het onderwijs, vooral onder de studenten. In de eerste helft van 2019 vond een verschuiving plaats tussen de meest aangevallen branches naar financiële diensten, productie, onderwijs, gezondheidszorg en detailhandel.
  • De Chalbhai phish kit, het op twee na populairste lokmiddel in de eerste helft van 2019, richtte zich onder meer op veel Amerikaanse en internationale topbanken en telecommunicatiebedrijven. Cybercriminelen gebruikten hiervoor een reeks templates die aan één groep worden toegeschreven, maar die door uiteenlopende individuen worden gebruikt.
  • Aanvallers profiteren van menselijke onzekerheid. Op de lijst van de effectiefste phishing-lokmiddelen in 2018 staat ‘Brainfood’ bovenaan, een fraude die dieet- en hersenverbeterings-advies inzet om creditcard-gegevens te stelen. Brainfood e-mailcampagnes bereikten meer dan 1,6 klikken per bericht, meer dan twee keer zoveel klikken als het lokmiddel dat op de tweede plaats eindigde.

Aantal meldingen online beelden van kindermisbruik neemt explosief toe

Op internet zijn steeds meer foto's en video's van kindermisbruik te vinden. Het aantal meldingen over deze beelden neemt explosief toe.

Explosieve groei online kindermisbruik

In Nederland neemt het aantal meldingen van online kindermisbruik toe. Vorig jaar kwamen er 226.000 meldingen binnen van foto's of video's. Vaak ging het om tientallen of honderden beelden per melding, vertelt Arda Gerkens, directeur van het Expertisebureau Online Kindermisbruik (EOKM). "73 procent van het materiaal was strafbaar."

De meeste beelden van kindermisbruik werden in de Verenigde Staten gevonden op Facebook Messenger, zoekmachine Bing (van Microsoft) en Dropbox. "De bedrijven weten volgens The New York Times wel dat het gebeurt, maar steken hun kop in het zand", zegt techredacteur Jonna ter Veer erover.

Bij de meldingen zitten ook beelden van het seksueel martelen van kinderen. "Die beelden komen ook bij ons naar boven", vertelt Gerkens. "Bij dat materiaal gaat het om 2 procent van alle meldingen, de andere 98 procent gaat over heel andere beelden. Op die beelden staan vaak alleen poserende kinderen, en is geen tweede persoon of penetratie te zien. Vooral naar dat materiaal zijn grote groepen mensen op zoek, terwijl ze niet vallen op kinderen."

Zero day kwetsbaarheid: wat is het?

Elke maand is er wel ergens nieuws over een opgedoken zero-daykwetsbaarheid in een belangrijke app of belangrijk systeem. De naam zero-day - Engels voor dag nul - verwijst naar het aantal dagen sinds de maker van de software iets over de kwetsbaarheid heeft gehoord. Wat is het precies?

Er zijn verschillende definities van een zero-daykwetsbaarheid. Meestal gaat het om een lek in de software die nog niet bij het moederbedrijf bekend is, maar wel bij hackers of anderen die er misbruik van willen maken. Sommigen gebruiken de term ook om te verwijzen naar een kwetsbaarheid die wel publiek bekend is, maar nog niet gedicht. Zero-daykwetsbaarheden kunnen soms jarenlang verborgen zijn. Zo dichtten de makers van comprimeerprogramma WinRAR begin dit jaar nog een lek dat inmiddels negentien jaar oud is.

Verschillende markten voor zero-days

Verschillende markten voor zero-days

Bedrijven sporen met programma's op basis van algoritmen al automatisch naar zero-days. Deze algoritmen zijn echter getraind op kwetsbaarheden uit het verleden en kunnen nieuwe typen niet altijd herkennen. Er wordt momenteel geprobeerd dit soort automatische processen flexibeler te maken. Ondertussen wordt er ook veel gebruikgemaakt van zogenoemde white hat hackers, zoals de onderzoekers van Googles Project Zero. Die speuren voor een beloning naar kwetsbaarheden en melden die vervolgens bij de makers van getroffen software.

In de afgelopen jaren tiert de markt voor zero-daykwetsbaarheden welig op het darkweb. Zo worden zero-days voor duizenden tot tienduizenden euro's uitgewisseld door criminelen, die de informatie gebruiken om bijvoorbeeld inloggegevens buit te maken. Ergens in het midden liggen de cybersecuritybedrijven die informatie over zero-days doorverkopen aan zakelijke cliënten. Inlichtingendiensten maken gretig gebruik van deze 'grijze markt' voor hun eigen cyberspionageactiviteiten.

Volgens bedrijven als Exodus Intel wordt de informatie voornamelijk geleverd om de vaak trage reactie van softwaremakers voor te zijn. Bedrijven kunnen zich dan alvast beschermen tegen de zero-day, terwijl de maker nog aan het dichten van het lek moet beginnen.

Overheden gebruiken graag zero-days

Het aantal zero-days dat overheden voor cyberspionage gebruiken is enorm gegroeid. Bruikbare kwetsbaarheden worden vaak opgepot. Zo werd onder meer door toedoen van klokkenluider Edward Snowden in 2013 duidelijk dat de Amerikaanse inlichtingendienst NSA veel zero-days inzette. De NSA kreeg kritiek op het beleid om gevonden kwetsbaarheden niet bij de makers van de software te melden. Daardoor konden die kwetsbaarheden jarenlang ongestraft gebruikt worden door derden. Een aantal door de NSA ontwikkelde exploits lekte uit naar criminele groepen en de Chinese overheid. De exploits werden uiteindelijk in 2017 online gepubliceerd door de hackersgroep Shadow Brokers.

De Nederlandse AIVD en MIVD maken ook gebruik van zero-dayexploits. In een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) werd opgemerkt dat "de werkwijze en de relevante afwegingen voor het al dan niet melden (van zero-days) intern niet zijn uitgewerkt en vastgelegd".

Wat kan ik doen om me te beschermen tegen een zero-day?

Bedrijven waarschuwen dat het belangrijk is om je apparaten te updaten als een nieuwe zero-daykwetsbaarheid is gedicht. Het is dan ook raadzaam om een oog op nieuwe updates te houden. Zo voorkom je dat je toch slachtoffer wordt van een inmiddels bekend lek. Er is echter een keerzijde: nieuwe updates kunnen ook weer nieuwe kwetsbaarheden bevatten. Het onmiddellijke risico dat een crimineel van een bekend lek gebruikmaakt om ergens binnen te dringen, is echter groter.

Daarnaast kunnen een goede virusscanner en firewall veel problemen opvangen, zolang ze up-to-date zijn. Een functie voor realtime bescherming houdt bijvoorbeeld constant in de gaten of verdachte programma's jouw bestanden proberen te bereiken.

Europol: ransomware grootste cyberdreiging van 2019

Ransomware is nog altijd de grootste cyberdreiging van dit jaar, zo stelt Europol in een nieuwe editie van het jaarlijkse Internet Organised Crime Threat Assessment (IOCTA).

Hoewel het aantal ransomware-aanvallen volgens opsporingsdiensten afneemt, zijn de aanvallen die wel plaatsvinden gerichter.

Deze gerichte aanvallen veroorzaken meer economische schade en leveren cybercriminelen meer inkomsten op. "Zolang ransomware cybercriminelen relatief eenvoudig geld oplevert en aanzienlijke schade en financiële verliezen blijft veroorzaken, zal het waarschijnlijk de voornaamste cybercrimedreiging blijven", aldus Europol. Het IOCTA stelt dat eindgebruikers steeds minder vaak het doelwit van ransomware zijn. In plaats daarvan hebben criminelen het op bedrijven en de publieke sector gemunt.

Verder stelt de opsporingsdienst dat phishing en kwetsbare RDP (remote desktopprotocol)-installaties de primaire manier voor cybercriminelen zijn om malware te verspreiden, waaronder ransomware. "Social engineering, en dan met name phishing, is de voornaamste transversale cyberdreiging waar zowel Europese cybercrime-onderzoekers als private sectorpartners mee te maken hebben", zo meldt het IOCTA.

Als oplossing voor phishing wijst Europol naar het implementeren van Domain Message Authentication Reporting & Conformance (DMARC). Dit is een e-mailauthenticatieprotocl dat spoofing moet voorkomen. Op deze manier kan worden voorkomen dat het domein van een organisatie voor spam, phishing en andere malafide mails wordt gebruikt. De meeste organisaties maken hier echter geen gebruik van, wat Europol een gemiste kans noemt. Daarnaast adviseert Europol om gebruikers via awareness en training alert voor social engineering te maken.

Harde aanpak bij laksheid internetbeveiliging

De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken. Met boetes, of desnoods door zelf in te grijpen.

Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus in een gesprek met het FD. “Wij moeten kunnen zeggen tegen een bedrijf: ‘Als je het zelf niet regelt dan komen wij het wel doen”, aldus de minister.

Waarschuwingen van NCSC genegeerd

Recentelijk meldde de Volkskrant dat de interne netwerken van ‘honderden’ bedrijven en overheidsinstellingen maandenlang wijd open hebben gestaan voor hackers. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).

Geen boete maar ‘doorzettingsmacht’

De overheid kan nu niet veel doen, maar Grapperhaus zegt dit snel te willen veranderen. Het opleggen van boetes of dwangsommen is een optie, maar die heeft niet de voorkeur. Grapperhaus: ‘Een boete kan stimulerend werken, maar daarmee heb je nog niet zeker dat het probleem ook daadwerkelijk snel is opgelost.” Hij denkt eerder aan ‘een vorm van doorzettingsmacht’. “Dan gaat het NCSC zelf of met het bedrijf samen aan de slag om het probleem op te lossen.”

CYBERCRIME JURISPRUDENTIEOVERZICHT OKTOBER 2019

RECHTSPRAAK:

  • De rechtbank in Zwolle heeft een man (53, uit Heerlen) veroordeeld tot 34 maanden celstraf voor het witwassen van bitcoins. De verdachte had die bitcoins verkregen met drugshandel op het darkweb. Volgens het vonnis heeft de verdachte in twee jaar tijd meer dan 3,5 miljoen euro witgewassen. Voor een deel daarvan kocht hij drie appartementen. Deze zijn verbeurd verklaard. De straf is vrijwel gelijk aan de eis van het OM. De partner van de man (61) is vrijgesproken. Zij zou niet geweten hebben dat het geld afkomstig was uit strafbare feiten. De verdachte had volgens het OM drie grote vaste klanten. Een van hen is inmiddels veroordeeld, een tweede is aangehouden voor drugshandel, de (onbekende) derde is veel geld kwijt omdat de bankrekeningen waarop het geld gestort werd, net in beslag genomen waren. Opvallend vond de officier dat deze persoon zich nooit bij de politie meldde. ‘Als zijn bitcoins een legale afkomst hadden, had de klant dat ongetwijfeld gedaan’.
  • Tieners die zich op sociale media voordoen als leraar en klasgenoten om naaktfoto’s vragen – in de regio Schagen zorgde de zaak voor veel commotie. Drie tieners zijn hiervoor nu gestraft. Twee van hen (16 en 17) kregen een Halt-straf, een derde (17) staat binnenkort voor de kinderrechter omdat een eerdere Halt-straf kennelijk niet heeft gewerkt. De drie hadden een account aangemaakt op naam van een leraar en vervolgens om naaktfoto’s gevraagd. De leraar merkte dat snel en deed aangifte. ‘Ondanks dat er door een enkele werd ontkend, was het bewijs overduidelijk’, aldus de politie. Er zouden overigens geen naaktfoto’s zijn verstuurd.
  • De rechtbank in Den Bosch heeft vorige week tien maanden celstraf plus tbs met dwangverpleging opgelegd aan een man (51, uit Lith) die masturbeerde bij minderjarige meisjes. De man zocht op sociale media naar een oppas voor zijn kinderen, in werkelijkheid al lang volwassen. Meisjes die reageerden, werden bij de man thuis ontvangen. Daar kregen ze te horen dat ze extra konden verdienen door aan ‘slaaponderzoek’ mee te doen: de man leed zogenaamd aan een slaapziekte waarbij hij ‘al slaapwandelend’ de hand aan zichzelf sloeg. Drie meisjes, tussen 16 en 18, zagen dat gebeuren. De verdachte pleegde in het verleden soortgelijke feiten en was daarvoor in behandeling. In die zaken kwam het wel tot fysiek contact met slachtoffers. De rechtbank vindt tbs met dwangverpleging daarom nu op zijn plaats. Het straf is gelijk aan de eis van het OM.
  • Een kinderpornoverdachte (26, uit Gorinchem), door het OM ‘een grote vis’ genoemd, heeft bekend dat hij via het darkweb een kinderpornosite beheerde. De verdachte, januari 2019 opgepakt, bepaalde als moderator wie er op het netwerk werd toegelaten en ‘keurde’ al het materiaal voor plaatsing. Op de site werden elfduizend plaatjes gevonden en bijna zeshonderd filmpjes. De man wordt ook verdacht van grooming: volgens het OM had hij ‘ongepaste contacten’ met minderjarige meisjes. De verdacte zit nu negen maanden vast en toonde bij de rechtbank berouw. ‘Ik heb op harde wijze moeten leren hoe verkeerd ik ben geweest’. De rechtbank wees vrijlating echter af. ‘Het gaat om ernstige feiten, jarenlang gepleegd’. De zaak gaat in januari 2020 verder.
  • De politierechter in Dordrecht heeft een man (29, uit Papendrecht) veroordeeld tot tweehonderd uur taakstraf en drie maanden voorwaardelijk. De man, psychiatrisch verpleger, had acht mille buitgemaakt bij een vrouw die hij via Tinder had leren kennen. Die was, naar eigen zeggen uit verveling tijdens een lange busreis, aan het tinderen geslagen. ‘Ik kreeg een superlike en zo is het contact ontstaan’. Met allerlei smoezen wist de man de vrouw iedere keer geld af te troggelen. ‘Zijn handelen is zo gewiekst. Schokkend. Alles was van A tot Z gelogen.’
© 2019 Veilig Digitaal
Created By
Veilig Digitaal
Appreciate