Door de dagelijkse drukte of om financieel-economische redenen is het verleidelijk om bepaalde zaken zoals investeren in cybersecurity vooruit te schuiven. Maar wat als het gaat om de bescherming van je bedrijfsgegevens, je reputatie en in extreme gevallen het voortbestaan van je bedrijf? Het negeren of uitstellen van de juiste actie kan een serieus risico inhouden dat je wellicht onderschat. We delen graag belangrijke inzichten uit een recente hack bij een van onze klanten, zodat je een stapje voor krijgt op de mensen die je dagelijks een essentieel goed proberen ontfutselen: informatie.
Geen tijd of zin om het volledige artikel door te nemen? De essentiële lessen en samenvatting staan onderaan, zodat je direct inzicht krijgt in de benodigde stappen om je bedrijf te beschermen.
Cybersecurity risico’s
Stel je voor dat je een e-mail van een klant ontvangt met het verzoek een document te downloaden en te verwerken, een normaal onderdeel van je werk. Nietsvermoedend open je een link naar OneDrive van de klant met je Microsoft 365 inloggegevens, maar het lukt niet om in te loggen. Ook je collega’s komen er niet in met hun eigen inloggegevens. Wat bleek? Het was een phishing e-mail. Dit overkwam onlangs een van onze klanten. Onze systemen detecteerden risicovolle activiteit op het account van een medewerker, wat ons aanzette tot een diepgaand onderzoek. In dit artikel delen we de belangrijkste lessen die we hieruit hebben getrokken en die ook voor jouw organisatie relevant zijn.
Uit onze analyse bleek dat er succesvolle aanmeldingen op het account waren vanuit Azië. Wetende dat degenen die hadden ingelogd vanuit onze klant niet in het buitenland waren, en dat zelfs de tweestapsverificatie vanuit het buitenland succesvol was, concludeerden we dat het account gehackt was. Social engineering werd gebruikt om de tweestapsverificatiecode te ontfutselen. Zelfs dit was dus niet meer genoeg om de gegevens te beschermen.
Gevoelige bestanden
Na een grondige reconstructie ontdekten we dat een directielid een mail ontving van een klant met een link naar een document in OneDrive. De directeur stuurde de mail door naar een collega, die samen met andere collega’s probeerde in te loggen met hun Microsoft 365 gegevens. Hierdoor verkregen de aanvallers toegang tot de Microsoft 365 omgeving van onze klant, waarbij gevoelige bestanden werden buitgemaakt, waaronder wachtwoorden in een Excel-bestand. Zodra we de inbreuk detecteerden, hebben we onmiddellijk actie ondernomen door de toegangen te blokkeren. Gelukkig bleef de schade relatief beperkt, mede dankzij het resetten van alle wachtwoorden die in het betreffende Excel-bestand stonden.
Hoe kon dit gebeuren?
Social Engineering
De aanvallers pasten een geavanceerde maar gangbare methode toe die bekend staat als “social engineering.” Hierbij maken ze gebruik van psychologische manipulatie en misleiden zo mensen om vertrouwelijke informatie te delen of bepaalde acties uit te voeren. In dit geval stuurden de aanvallers een eenvoudige e-mail via de klant van onze klant. Deze e-mail leek ongelofelijk echt en bevatte een link naar een valse website. De mail kwam overigens van het e-mail adres van de klant, dus die account werd ook gehackt. Het doel was om medewerkers te misleiden en hen te laten geloven dat ze op een legitieme site waren, waar ze vervolgens hun inloggegevens invoerden.
Data Breach: Toegang en misbruik van gevoelige informatie
Zodra meerdere medewerkers in de val trapten door hun inloggegevens op de valse website in te voeren, openden de aanvallers een deur naar de beveiligde omgeving van onze klant, waaronder Microsoft 365. Deze ongeautoriseerde toegang gaf hen de mogelijkheid om doelgericht op zoek te gaan naar documenten met gevoelige informatie. Hoe kunnen de aanvallers hier potentieel schade mee aanrichten?
· Facturen vervalsen
De aanvallers zouden facturen kunnen vervalsen en deze naar klanten sturen met aangepaste rekeningnummers, resulterend in financieel verlies en reputatieschade.
· Dringende betalingsverzoeken
Door zich voor te doen als leden van de directie, konden de aanvallers mogelijk dringende betalingsverzoeken naar de boekhouding sturen, met als doel financiële middelen te verkrijgen.
· Losgeld eisen
In sommige gevallen zou losgeld kunnen worden geëist om te voorkomen dat de gestolen documenten openbaar worden gemaakt, met bedreigingen voor verdere schade.
· Misleidende e-mails en bedrijfsinfiltratie
De aanvallers zouden misleidende e-mails hebben kunnen sturen naar andere bedrijven vanuit het gehackte account, met als doel vergelijkbare aanvallen uit te voeren en de cyclus voort te zetten.
Gelukkig waren we er op tijd bij en heeft dit alles niet kunnen gebeuren. Maar de schade had aanzienlijk kunnen zijn.
Welke lessen kan je hieruit trekken?
In het licht van bovenstaande cyberaanval, delen we belangrijke lessen om bedrijven te helpen zich te wapenen tegen toenemende cyberdreigingen. Want situaties als deze benadrukken de cruciale rol van bewustzijn, beheer en samenwerking om bedrijfsgegevens en reputatie te beschermen.
Les 1: Aanvallers targeten niet alleen systemen, ook mensen
Je kan je IT-omgeving technisch tot de tanden wapenen met allerlei geavanceerde cybersecurity-technologie, maar al te vaak wordt een essentieel vergeten. Uit dit voorval blijkt duidelijk dat de zwakste schakel eerst wordt aangevallen: de mensen. Investeer in regelmatige training voor medewerkers. Training is een voortdurend proces. Niet alleen medewerkers moeten regelmatig worden bijgeschoold over cybersecurity, maar ook het management moet actief betrokken zijn om een veiligheidsbewuste cultuur te bevorderen.
Les 2: Aanvallers targeten personen met autoriteit
Aanvallers mikken vaak op personen met autoriteit binnen een organisatie. Het is essentieel dat leidinggevenden, inclusief het management, extra waakzaam zijn en zich bewust worden van hun rol in het beveiligingslandschap. Zij zijn niet immuun maar zelfs kwetsbaarder voor dit soort aanvallen.
Les 3: Je hebt geen controle over de omgeving van anderen
De IT-omgeving van je klanten en leveranciers heb je niet onder controle. In dit geval is dat principe uitgebuit: de mail met valse link kwam effectief van het email adres van een klant wiens omgeving ook gehackt werd.
Les 4: Gebruik een wachtwoordmanager
Het bewaren van wachtwoorden in een Excel-bestand is een risicovolle praktijk. Implementeer een wachtwoordmanager om sterke, unieke wachtwoorden te genereren en op te slaan, waardoor de kans op een hack aanzienlijk wordt verminderd. Zelfs codes voor tweestapsverificatie en passkeys kunnen hierin veilig bewaard worden.
Les 5: Wantrouw zelfs legitieme links
Zelfs links van legitieme e-mailadressen kunnen misleidend zijn. Wantrouw altijd links en zorg ervoor dat medewerkers zich bewust zijn van de risico’s van phishing. Neem geen enkel risico, ongeacht de bron. Contacteer bij twijfel je IT-partner en train je collega’s hetzelfde te doen.
Les 6: Controleer het adres van de website
Voordat je inlogt op een website, controleer altijd het adres. Phishingaanvallen gebruiken vaak valse websites met subtiele verschillen zoals spelfouten. Leer je medewerkers hoe ze nauwkeurig webadressen kunnen inspecteren.
Les 7: Werk samen met een proactieve IT-partner
Een proactieve IT-partner is een waardevolle verdedigingslinie. Kies voor een partner die de omgeving actief monitort, bedreigingen snel detecteert en effectieve maatregelen neemt om mogelijke schade te minimaliseren.
Door deze lessen te integreren in de bedrijfscultuur en beveiligingsstrategieën, kunnen cyberaanvallen zoals die bij onze klant worden voorkomen of de schade beperkt.
Samenvatting
In dit artikel hebben we beschreven hoe een recente cyberaanval bij een klant plaatsvond en welke lessen we hieruit kunnen trekken om bedrijven te helpen zich te wapenen tegen toenemende cyberdreigingen. De aanvallers gebruikten social engineering via phishing-e-mails om toegang te krijgen tot gevoelige informatie, waaronder wachtwoorden. Ze konden financiële schade veroorzaken, zoals het vervalsen van facturen en losgeld eisen.
Belangrijke lessen om je bedrijf te beschermen tegen cyberdreigingen:
- Aanvallers richten zich vaak op personen met autoriteit, dus leidinggevenden en het management moeten extra waakzaam zijn.
- Gebruik een wachtwoordmanager om sterke wachtwoorden te genereren en op te slaan, om de kans op een hack te verminderen.
- Wantrouw zelfs legitieme links, omdat phishing-aanvallen vaak misleidende links bevatten.
- Controleer altijd het adres van een website voordat je inlogt, om valse websites te vermijden.
- Je hebt geen controle over andermans IT-omgeving, vanwaar ook aanvallen kunnen komen.
- Zorg voor voortdurende training voor zowel medewerkers als management om een veiligheidsbewuste cultuur te bevorderen.
- Werk samen met een proactieve IT-partner die de omgeving actief bewaakt en snel reageert op bedreigingen om mogelijke schade te minimaliseren.