De meeste cyberaanvallen bestaan grofweg uit twee fasen: binnendringen en een actie ondernemen. Eenmaal binnengedrongen zijn er twee acties mogelijk: het uitvoeren van cyberspionage of het uitvoeren van cybersabotage. Cyberspionage lijkt op een verkenningsvliegtuig: het vliegtuig moet eerst het vijandelijk territorium binnendringen, en vervolgens wordt informatie ingewonnen. Cybersabotage is te vergelijken met een bommenwerper: het vliegtuig moet wederom eerst het vijandelijk territorium binnendringen, en levert vervolgens een schadelijke lading af. Cybersabotage en cyberspionage vereisen dus voor een deel dezelfde handelingen, maar hebben een ander doel.

Lees verder in de case: Cyberaanvallen: dit gebeurt er bij sabotage

Cyberspionage wordt ingezet bij het binnendringen van informatiesystemen waartoe een actor geen reguliere toegang heeft. Hierbij kunnen we onderscheid maken tussen het wel en niet inzetten van software. Organisaties kunnen namelijk ook door oplichterij ofwel social engineering geïnfiltreerd worden: een persoon kan zich bijvoorbeeld voordoen als klant en op een onbewaakt moment achter de computer van een verkoper kruipen, of in een telefoongesprek de inloggegevens van een goedgelovig persoon aftroggelen.

Om deze reden hoort bij cyberveiligheid ook fysieke veiligheid, en is het van groot belang te controleren wie toegang heeft tot computers en welke informatie gedeeld mag worden buiten de organisatie. 

Cyberspionage via phishing, spearphishing en spoofing

Een van de meest voorkomende manieren om digitaal en op afstand in een informatiesysteem in te breken is phishing. Hierbij stuurt men mails naar mensen die personen verleiden op een bepaalde link te drukken of om iemand op te bellen en hun inloggegevens te verstrekken. Soms wordt een bepaalde mail naar een grote hoeveelheid mailadressen gestuurd – de zogenoemde spam-mail. En soms wordt een mail of een site waarnaar wordt doorverwezen precies op maat gemaakt om een bepaalde persoon te verleiden – dit wordt spearphishing genoemd. Een verwante strategie is spoofing; daarbij lijkt het alsof een mail is verstuurd door een bekende en vertrouwde persoon of organisatie, zoals iemands baas – terwijl dat niet zo is.

Deze strategieën komen veel voor bij bankfraude. Iemand ontvangt bijvoorbeeld een nepmail van de directeur van de bank waarin staat dat er een transactiefout is gevonden en dat klanten moeten inloggen bij de bank. Wie op de link klikt, bereikt vervolgens een nepversie van de banksite, waar gegevens ingevoerd worden. Wanneer de klant dat doet, kan de crimineel vervolgens geld stelen en overmaken naar een derde rekening.

Of het nu gaat over phishing, spearphishing of spoofing, het zijn allemaal pogingen om een persoon ertoe te brengen iets te doen. Als iemand niet op bepaalde links klikt en geen gegevens invoert, komt de inbreker het informatiesysteem van de betreffende persoon niet binnen. Bovendien zijn deze strategieën duidelijk waar te nemen – met zijn mail of zijn belletje heeft de inbreker zich aan zijn slachtoffer gepresenteerd.

Cyberspionage via zero days exploits

De technologie om op de meest onopvallende manier ergens binnen te dringen, maakt gebruik van zogeheten zero days exploits. Dit zijn nog niet bekende kwetsbaarheden in de broncode van software van bijvoorbeeld Windows, Android of een wifi-installatie.

De term zero day slaat op het feit dat de softwarefabrikant niet weet van de kwetsbaarheid en nog geen enkele dag (nul dagen) de gelegenheid heeft gehad om de kwetsbaarheid in zijn programmacode te repareren. Vanaf het ontdekken van de fout geldt de kwetsbaarheid dus technisch gezien niet langer als een zero day.

Toch blijven bekende kwetsbaarheden veel langer bruikbaar, omdat het even kan duren voordat een producent door middel van een stukje software (patch) een kwetsbaarheid heeft verholpen, en ook omdat oudere systemen soms slecht of zelfs niet actueel worden gehouden. Bovendien krijgen bij bekendmaking ook andere kwaadwillende partijen kennis van een kwetsbaarheid. Sommige auteurs beweren daarom dat na bekendmaking het misbruik van zero days toeneemt, omdat meer actoren aanvallen kunnen plegen op systemen die niet voldoende geactualiseerd zijn.

Zero days zijn uitermate geschikt voor spionagedoeleinden: als het slachtoffer niet weet van de zero day, dan glipt de spion ongezien een systeem binnen, en kan hij misschien wel maandenlang – of jarenlang – relevante activiteiten in de gaten houden.

Cyberspionage via hardware

Ten slotte kan iemand ook via hardware een systeem binnendringen: bijvoorbeeld door een geïnfecteerde usb-stick in een apparaat te steken, of door al bij het produceren van een computer of een router een spionageonderdeel in te bouwen.



Source link