Het coronavirus biedt hackers en phishers een dankbare kapstok. Thuiswerken kent risico’s voor bedrijfssystemen en de honger naar informatie maakt mensen gevoelig voor phishingmails. In maart zou het aantal digitale aanvallen maar liefst 475 procent hoger zijn geweest dan in februari.
Een nieuw en eigen ritme vinden
Wie weleens naar een ver land op reis is geweest, herkent het gevoel misschien: de eerste dag is wat onwennig. Je kent de lokale munt en wisselkoers niet, het openbaar vervoer is onbekend, de omgangsvormen zijn anders. Wat je wél weet: je moet een slaapplek vinden en voedsel.
Zo is het ook met thuiswerken. De basale zaken blijven hetzelfde. Je bent nog steeds dezelfde persoon met dezelfde functie. Alleen werkt het net even anders en moet je een nieuw en eigen ritme vinden. En dat kan kwetsbaar maken.
Zoals toeristen een dankbaar slachtoffer zijn van oplichters en overvallers, zorgt ook thuiswerken op verschillende manieren voor risico’s. Werknemers die met het kantoornetwerk willen verbinden, doen dat normaal gesproken met een VPN: een beveiligde verbinding tussen thuis en het bedrijfsnetwerk. Grote bedrijven hebben daarom voor een deel van hun personeel VPN-capaciteit ingekocht, maar uit kostenoverwegingen niet voor iedereen. Nu ineens iedere werknemer een VPN-verbinding nodig heeft, is er bij sommige bedrijven een tekort. Sander Kerkhoffs van digitaal beveiligingsbedrijf RSA zegt dat ‘Nederlandse organisaties duidelijk niet voorbereid waren op een dergelijke pandemie en de gevolgen’. Volgens hem lopen ‘vooral grote bedrijven’ achter de feiten aan en hebben die een tekort aan middelen om veilig toegang te houden tot hun kritische bedrijfssystemen.
Maar ook kleinere bedrijven worstelen met de nieuwe omstandigheden, zegt Dave Maasland van beveiligingsbedrijf ESET. ‘Ze moeten in grote haast een clouddienst implementeren.’ Dat gaat niet altijd goed: ‘Sommige vergeten tweetrapsauthenticatie in te voeren, waardoor aanvallers meer mogelijkheden krijgen.’
Een ander risico is dat het lastiger wordt eventuele infecties in het bedrijfsnetwerk te onderzoeken. Want hoe weet je of het niet gewoon een werknemer is die onveilig inlogt? En hoe zie je überhaupt of de laptop van iemand geïnfecteerd is als deze niet met het bedrijfsnetwerk verbonden is?
Zwakke plek
Het Medisch Centrum in Leeuwarden heeft uit voorzorg alle verbindingen vanuit het buitenland met het netwerk afgesloten. Bij IT-problemen moeten beveiligingsmedewerkers nu op afstand advies geven en daarbij is de vraag hoe goed werknemers de adviezen opvolgen. Gebruiken ze de iPad waarmee de kinderen spelletjes spelen en digitale lessen volgen ook voor hun werkmail? Sturen ze hun werkmail uit gemak door naar hun privémail?
De helpdesk vormt nu sowieso een zwakke plek bij grote bedrijven, ontdekte Inti De Ceukelaire van de ethische hackgroep Intigriti. De helpdesk hanteert doorgaans een online ticketsysteem waarin werknemers problemen of verzoeken aan de helpdesk kunnen melden. De bekendste is Jira van Atlassian.
Doordat het ticketsysteem vaak niet goed wordt geconfigureerd, kunnen wildvreemden zich aanmelden met hun eigen mailadres. Vanaf dat moment worden ze beschouwd als werknemers en kunnen ze de helpdesk van alles laten doen: nieuwe werknemers aanmelden, bureaus laten verplaatsen of toegang krijgen tot hr-systemen. De Ceukelaire schat dat 15 procent van de grote bedrijven zijn interne helpdesk open heeft staan. Hieronder bevinden zich ook Nederlandse bedrijven.
Nu het lastiger wordt om even langs een collega te lopen om een verzoek te controleren, leidt dit tot meer problemen dan ooit. Bovendien staan nu ‘opvallend veel meer’ Jira-systemen online, ziet De Ceukelaire.
En dan is er nog een risico: de honger naar informatie over het coronavirus en de omgang met nieuwe videoplatforms zoals Zoom. Hackers spelen daarop in door overzichtskaarten met het aantal infecties vol te stoppen met malware, valse domeinen voor een Zoom-sessie aan te maken en phishing mails te sturen met corona-informatie.
Op fora op het darkweb
Slaan hackers inderdaad vaker toe? Internationale beveiligingsbedrijven zeggen van wel. Sophos meldt dat de digitale zwendel rondom corona ‘door het plafond schiet’. Volgens Bitdefender lag het aantal digitale aanvallen in maart maar liefst 475 procent hoger dan in februari. En onderzoekers van Proofpoint schatten dat meer dan 80 procent van de huidige aanvallen op de een of andere manier gebruikmaakt van het coronavirus. Corona brandhaard Italië kampte halverwege maart met dubbel zoveel phishingaanvallen als gebruikelijk. Op fora op het darkweb moedigen criminele hackers elkaar aan om toe te slaan omdat de beveiliging op veel plekken niet op orde is, blijkt uit voorbeelden die RSA verzamelt.
Net als zijn collega’s ziet ook Dave Maasland van beveiligingsbedrijf ESET wereldwijd een stijging van het aantal incidenten. ‘Alles is nu corona’, zegt Maasland. ‘Bijna iedere phishing actie heeft dit als onderwerp. Logisch, want criminelen proberen altijd op de actualiteit in te haken. Corona is voor hen de ideale kapstok.’ Een voorbeeld zijn de recente phishingmails die zogenaamd van Rabobank of ING afkomstig waren met de oproep de betaalpas te vervangen. Criminelen proberen zo inloggegevens te achterhalen.
Losgeld
Phishing kan ook de opmaat zijn voor ransomware aanvallen. Door alle onzekerheid en chaos die nu heerst, is de bereidheid om losgeld te betalen erg groot, ziet Maasland. Een ziekenhuis in Tsjechië en een Brits medisch centrum werden al slachtoffer. Ook Spaanse ziekenhuizen en de Wereldgezondheidsorganisatie werden aangevallen door hackers.
Wat vooral de kleinere bedrijven niet gewend zijn: hun netwerk opdelen in segmenten. Wie eenmaal binnen is, heeft dus toegang tot alles en iedereen. Het gevolg is dat beveiligingsbedrijven als ESET overuren draaien. De zorg krijgt daarbij prioriteit, zegt Maasland. Want hij weet ook: één verwoestend virus is voor een ziekenhuis al zwaar genoeg.
Bron: Volkskrant
Schrijvers: Huib Modderkolk en Laurens Verhagen