Waar cybercriminelen vroeger voornamelijk malware op het dark web aankochten, er vervolgens phishingmails mee opmaakten en deze naar zoveel mogelijk potentiële slachtoffers verspreidden, gaan ze vandaag veel gerichter te werk. Cybercriminelen gaan op vooronderzoek en vallen strategisch aan. Welke de fasen van een hack precies zijn, vertel ik je in deze blog.
Planning van de hack
Fase 1: Verkennen
In de eerste fase gaan cybercriminelen op ontdekkingstocht. De hacker gaat hier zijn doelwit zorgvuldig uitzoeken en onderzoeken. Hier wordt zowel passief als actief te werk gegaan. Met passieve verkenning gaat het over het verzamelen van informatie zonder argwaan te wekken bij het doelwit. Denk bijvoorbeeld aan online research, het bekijken van de bedrijfswebsite en het organogram, de online communicatiekanalen van het bedrijf en eventueel zelfs het in de gaten houden van het bedrijfspand. Het zijn vooral onschuldige zoekopdrachten die geen belletjes doen rinkelen. Daarnaast wordt er ook actief op verkenning gegaan. De hacker zal DNS records, IP adressen, hosts en services in het netwerk bekijken om zo een eerste indruk te bekomen van het beveiligingsniveau van het doelwit. Het kan ook voorkomen dat er via social engineering informatie wordt ontfrutseld. Deze actieve verkenning is iets risicovoller aangezien tools in een goed beveiligd netwerk al eerste alarmbelletjes kunnen doen rinkelen.
Fase 2: Bewapenen
Tijdens de bewapeningsfase gaat de hacker op basis van de info uit fase 1 bepalen wat hij nodig heeft om bij het doelwit binnen te dringen. Er worden technieken geselecteerd. Zo kan de hacker beslissen om malware te gebruiken die specifiek ontwikkeld is voor de kwetsbaarheden die hij ontdekt heeft in het netwerk van het doelwit. Hiernaast kan de hacker ook kiezen voor een persoonlijke aanpak door bijvoorbeeld fake profiles aan te maken op tools zoals LinkedIn. Zo probeert hij het vertrouwen te winnen van medewerkers om later informatie te verkrijgen of een onbetrouwbare link over te maken. In deze fase wordt alles vertrekkensklaar gezet.
Toegang verkrijgen
Fase 3 : verspreiden
In deze derde van de 6 fasen van een hack wordt het virus, de exploit of andere hackingtool afgeleverd bij het doelwit. 90% van geslaagde cyber-aanvallen begint met een e-mail. Phishing dus. De mens is en blijft de zwakste schakel in de IT-veiligheid van bedrijven. Naast phishingmails kunnen ook USB-sticks of online tools zoals Dropbox gebruikt worden om de malware binnen te sluizen. Tegenwoordig wordt de techniek van reply chain phishing ook steeds vaker gebruikt om een medewerker met veel toegangsrechten ‘er in te luizen’ en via die weg de nodige toegangen of betalingen te verkrijgen.
Fase 4: Linken
Zodra de malware afgeleverd is in het netwerk van het doelwit, gaat de hacker de malwarecode (of andere hackingtechniek) uitvoeren. In vele gevallen is dit onder de radar. Stel dat er een netwerkapparaat gebrekkig beveiligd is en de hacker in staat is om het te infecteren met code, gaat dit in vele gevallen niet opgemerkt worden. Er is vanaf dan een reële link tussen het bedrijf en de hacker. De hacker heeft controle.
Fase 5: Installeren
In de installatiefase heeft de code zich geïnstalleerd in het netwerk. Dit is een succesmoment voor de hacker. Het is natuurlijk wel belangrijk voor de criminelen om ervoor te zorgen dat ze de verbinding met de interne systemen behouden. Daarom gaat de hacker in deze fase aan de slag om verschillende bronnen en documenten te infecteren. Hij zal de nodige achterpoortjes te voorzien in het systeem waardoor de hacker opnieuw toegang kan verkrijgen indien hij zou buitengesloten worden.
De eigenlijke hack
Fase 6: Hacken
Zodra de toegang is gelukt, gaat de hacker over tot actie. Hij kan nu steeds dieper binnendringen om data buit te maken. Welke acties de hacker in dit stadium onderneemt, hangt af van zijn intenties en van het doel dat hij wilt bereiken. Zo kan de hacker beslissen waardevolle data te stelen, services te blokkeren of zelfs volledige bedrijfsnetwerken plat te leggen. Heel vaak wordt data geëncrypteerd en wordt er in dit stadium losgeld gevraagd om ze terug te krijgen. Waar het vroeger ging om enkele honderden euro’s, zien we vandaag dat er steeds vaker 1 bitcoin wordt gevraagd als startbedrag (zo’n 35.000 euro) en dit bedrag dagelijks wordt verdubbeld indien er geen snelle actie wordt ondernomen.
Strategy is key
En dat geldt niet alleen voor je IT strategie! Ook hackers beseffen dat ze gerichter moeten werken om écht schade te kunnen toebrengen. Medewerkers worden steeds beter gesensibiliseerd en systemen en beveiligingstools worden slimmer. Dus ook in het cybercrime-landschap zien we helaas een forse kennisgroei om de eindgebruikers voor te kunnen zijn met nieuwe hackingtechnieken.
…en voorkomen is beter dan genezen!
Een optimale IT-veiligheid is belangrijker dan ooit. En daarom zetten wij hard in op proactieve beveiliging, sensibilisering én monitoring van IT infrastructuren.
Is de beveiliging van jouw bedrijfsnetwerk al ondoordringbaar of is er werk aan de winkel? Ons team adviseert je graag!