Bijna driekwart cybercriminelen heeft financiële motieven

0

Cyberspionage vormt met 21 procent van alle beveiligingsincidenten momenteel de belangrijkste digitale bedreiging voor productiebedrijven, de publieke sector en het onderwijs. Dit blijkt uit het tiende zogenoemde Data Breach Investigations Report (DBIR) van Verizon.

De 2017-editie is gebaseerd op data van 65 partners, analyses van 42.068 beveiligingsincidenten en 1.935 datalekken in 84 landen. Ruim 300 van de datalekken hielden verband met cyber-spionage, waarvan vele met phishingmails begonnen. Daarnaast is malware met 50 procent fors gegroeid ten opzichte van het voorgaande jaar.

Dat cyberspionage zo’n hoge vlucht kan nemen is volgens de onderzoekers in hoge mate te wijten aan de grote hoeveelheid interne onderzoeksgegevens, prototypes en gevoelige persoonsgegevens die in de genoemde sectoren in omloop zijn.

Het zijn volgens de onderzoekers overigens niet alleen grote organisaties die het doelwit zijn van cybercriminelen, 61 procent van alle door malware getroffen organisaties waren bedrijven met minder dan duizend werknemers. De drie sectoren waarin datalekken het meest voorkwamen, zijn de financiële dienstverlening (24 procent), gezondheidszorg (15 procent) en publieke sector (12 procent).

Het DBIR biedt specifieke inzichten in belangrijke bedrijfssectoren, zoals de beveiligingsproblemen waarmee verticale markten te maken hebben en het wie, hoe, wat en waarom daarvan. Het rapport heeft als doel om een einde te maken aan de angst, onzekerheid en twijfel rond cybercriminaliteit.

De onderzoekers maken een onderscheid tussen een ‘securityincident’, waarbij een inbreuk wordt gemaakt op de integriteit, vertrouwelijkheid of beschikbaarheid van een informatiemiddel en een ‘data breach’, een datalek waarbij vertrouwelijke informatie in handen komt van onbevoegden. Bij een data breach moet sprake zijn van een formele bevestiging, louter de potentiële blootstelling van vertrouwelijke informatie aan onbevoegden is volgens hen onvoldoende om te spreken van een data breach.

Het blijkt dat 66 procent van alle malware die door cybercriminelen wordt geïnstalleerd via geïnfecteerde e-mailbijlagen zijn weg vindt binnen de netwerken van organisaties. Uit het onderzoek blijkt verder dat 27 procent van de datalekken wordt ontdekt door externe, derde partijen.

Uit een nadere analyse blijkt bovendien dat 73 procent van de cybercriminelen financiële motieven heeft om in de systemen van organisaties in te breken. Cybercriminelen die gedreven worden door de funfactor (hacken omdat het kan), ideologische motieven, wraakgevoelens ten opzichte van de organisatie en overige motieven, zijn slechts verantwoordelijk voor 7 procent van alle datalekken.

Ransomware

De onderzoekers signaleren dat georganiseerde cybercriminelen steeds meer ransomware gebruikten om losgeld van slachtoffers af te troggelen. Er was sprake van een toename van ransomware-aanvallen. Ransomware steeg daarmee naar de vijfde plaats in de lijst van meest voorkomende typen malware. Deze vorm van malware versleutelt de data van slachtoffers en vraagt hen om losgeld voor het ontsleutelen daarvan.

Ransomware vertoonde een stijging van 50 procent ten opzichte van 2015. Dat is een enorme sprong sinds de 2014-editie van het DBIR, toen ransomware nog op de 22e plaats stond. Ondanks deze opleving en alle verslaggeving in de media over ransomware maken veel organisaties nog altijd gebruik van verouderde beveiligingsoplossingen. Ze verzuimen bovendien om in beveiligingsmaatregelen te investeren.

Hieruit concluderen de onderzoekers dat organisaties blijkbaar liever losgeld betalen dan te investeren in beveiligingsdiensten die cyberaanvallen kunnen afslaan.

Pretexting

Phishing blijft een populaire aanvalstechniek. In de 2016-editie van het DBIR wezen de onderzoekers reeds op het toenemende gebruik van phishingtechnieken in verband met het installeren van software op de apparatuur van eindgebruikers. Volgens de 2017-editie volgt 95 procent van alle phishingaanvallen inmiddels dit patroon. Bij 43 procent van alle beveiligingsincidenten werd gebruikgemaakt van phishingtechnieken. Dat gold zowel voor cyberspionage als aanvallen met commerciële doeleinden.

Daarnaast is pretexting sterk in opmars. Pretexting betekent letterlijk ‘smoesjes’ en wordt door cybercriminelen gebruikt om onder valse voorwendselen informatie te verzamelen. Het is een aanvalstactiek die snel aan populariteit wint onder cybercriminelen. Volgens de onderzoekers richt pretexting zich voornamelijk op medewerkers van financiële afdelingen die verantwoordelijk zijn voor het uitvoeren van geldtransacties.

E-mail bleek met 88 procent het meest gebruikte communicatiekanaal bij financiële pretextingincidenten. Telefonische communicatie kwam op de tweede plaats met iets minder dan 10 procent.

Menselijke factor

Overduidelijk is dat in alle sectoren cybercriminelen via e-mail in eerste instantie hun voet tussen de deur zetten en dan de malware verder verspreiden. Als we inzoomen op de verschillende sectoren valt een aantal zaken op. Cyberaanvallers die misbruik maken van de menselijke factor zijn en blijven een groot probleem volgens de onderzoekers. Cybercriminelen concentreren zich op vier belangrijke vormen van menselijk gedrag om medewerkers aan te moedigen informatie prijs te geven: gretigheid, afleiding, nieuwsgierigheid en onzekerheid. En zoals uit het rapport valt op te maken, blijkt dit te werken.

Bedrijven in de productie-industrie vormen het belangrijkste doelwit van malware die via e-mail wordt verspreid. 68 procent van alle beveiligingsincidenten in de gezondheidszorg is het werk van insiders. De gegevens over cybercriminaliteit variëren volgens de onderzoekers sterk per sector. Alleen door kennis te verwerven en te begrijpen hoe elke verticale markt werkt, is het volgens hen mogelijk om inzicht te krijgen in de problemen rond de cyberbeveiliging waarmee elke sector wordt geconfronteerd en om passende maatregelen aan te bevelen.

Sectorresultaten

In de hospitalitysector, waaronder hotels en restaurants vallen, zijn de aanvallen van cybercriminelen vooral gericht op point-of-salesdoelwitten. Zogenoemde RAM-scrapers, command and control (C2) servers, brute-forcehackers en spyware/keyloggers zijn er onder meer op gericht om creditcardgegevens van gasten te bemachtigen.

Een RAM-scraper zuigt het werkgeheugen van een systeem leeg. Het gaat dan vooral om het geheugen van point-of-saleservers bij winkels, retailers en hotels. C2-servers sturen botnets aan en keyloggers registreren heimelijk de toetsaanslagen van eindgebruikers. Bij een bruteforce-aanval probeert een hacker een groot aantal mogelijke wachtwoord- en gebruikerscombinaties om zich ongeautoriseerd toegang te verschaffen tot een systeem of bestand.

Educatieve instellingen hebben momenteel vooral veel last van DDoS-aanvallen. Deze denial-of-service-aanvallen zijn verantwoordelijk voor de helft van alle securityincidenten.

In de financiële dienstverlening komen DDoS-aanvallen het meest voor. Bij de bevestigde datalekken in deze sector spelen banking trojans die wachtwoorden van klanten stelen en hergebruiken een rol, terwijl ook skimming van geldautomaten van banken nog steeds voorkomt. De gezondheidssector kampt vooral met ransomware. Deze gijzelingssoftware is verantwoordelijk voor 72 procent van alle geregistreerde malware binnen deze sector.

In de sector ‘Informatie’, waaronder volgens de Amerikaanse definitie ook telecomproviders, cloudproviders, socialemediawebsites en zelfs online goksites vallen, worden vooral persoonlijke (inlog)gegevens (‘credentials’) buitgemaakt door cybercriminelen. Productiebedrijven daarentegen moeten vooral bedacht zijn op digitale spionage. De onderzoekers rapporteerden 108 gevallen van bedrijfsspionage, waarbij intellectuele eigendommen in handen vallen van partijen die daarmee vooral besparen op hun eigen kosten voor R&D.

Ongeveer 41 procent van de databreaches in de publieke sector was gerelateerd aan spionage. In de overheidssector valt volgens de onderzoekers vooral op dat ambtelijke molens vaak langzaam malen. Bij overheidsinstellingen gaan er vaak jaren voorbij voordat men ontdekt dat men gehackt is. De webapplicaties van de retailsector worden bijna dagelijks bestookt met DDoS-aanvallen. 80 procent van de hackingincidenten worden in deze sector veroorzaakt door DDoS-aanvallen.

Zeven basismaatregelen

Bij 81 procent van alle gevallen van gegevensdiefstal werd gebruikgemaakt van gestolen en/of zwakke wachtwoorden. Hieruit blijkt dat het belangrijker is dan ooit om de basismaatregelen op beveiligingsgebied effectief toe te passen. Aanbevelingen voor bedrijven en particulieren zijn onder meer de volgende:

  1. Blijf waakzaam: logbestanden en systemen voor wijzigingsbeheer kunnen je vroegtijdig op de hoogte stellen van beveiligingsincidenten.
  2. Zorg ervoor dat je personeel de eerste verdedigingslinie vormt: train werknemers in het herkennen van waarschuwingssignalen.
  3. Perk de toegang in: werknemers zouden alleen toegang moeten hebben tot de data en systemen die strikt noodzakelijk zijn om hun werk te doen.
  4. Installeer tijdig de laatste patches: hiermee kun je diverse aanvallen voorkomen.
  5. Versleutel gevoelige informatie: als gegevens onverhoopt worden gestolen, zullen ze in versleutelde vorm geen waarde hebben voor cybercriminelen.
  6. Maak gebruik van tweefactor-authenticatie: hiermee kun je de schade als gevolg van verloren of gestolen aanmeldingsgegevens tot een minimum beperken.
  7. Vergeet de fysieke beveiliging niet: niet alle gegevensdiefstal vindt online plaats.

Tot slot

Een ezel stoot zich nooit tweemaal tegen dezelfde steen, zo luidt het bekende spreekwoord. Desondanks blijkt uit het onderzoek dat sommige werknemers wel heel hardleers zijn. In zijn algemeenheid blijkt dat gemiddeld 7,3 procent van alle gebruikers slachtoffer is geworden van een phishingactie doordat zij in hun naïviteit klikten op een dubieus linkje of een e-mailbijlage met malware openden.

Maar hoe groot is nu de kans dat dezelfde gebruiker in een periode van een jaar nogmaals in dezelfde valkuil stapt? Volgens de onderzoekers is dat voor organisaties met meer dan 30 werknemers ongeveer 15 procent. 3 procent van de werknemers presteert het om meer dan twee keer de fout in te gaan en 1 procent leert het waarschijnlijk nooit, omdat ze meer dan drie keer de fout in gaan.

Ook interessant is nog de vraag hoeveel werknemers bij een speciaal opgezette phishingcampagne bereid zijn een verdachte e-mail volgens de procedures te melden bij hun leidinggevenden of IT-afdeling.

Het blijkt dat slechts één op de vijf werknemers zich opstelt als een ‘barmhartige samaritaan’ door te melden dat hij of zij iets vreemds heeft gezien. De overgrote meerderheid meldt niets, waardoor het gevaar bestaat dat bij een phishingaanval de malware zich snel als een olievlek verspreidt over de hele organisatie.

Conclusie

Uit het rapport blijkt dat er geen waterdichte systemen met een ondoordringbare beveiliging bestaan. Organisaties hoeven cybercriminaliteit echter niet langer in isolatie aan te pakken. De hiervoor benodigde kennis is voor iedereen beschikbaar. Het treffen van de basismaatregelen op beveiligingsgebied kan een duidelijk verschil maken. In veel gevallen kan een uiterst basaal beveiligingsmechanisme een struikelblok voor cybercriminelen zijn, zodat ze besluiten om op zoek te gaan naar een makkelijker doelwit.