Cybercrime op locatie: kijk uit voor deze apparaatjes
31 oktober 2022
Bij cybercrime denken we al snel aan een aanval op afstand. De dader is een schimmig figuur die ergens – misschien wel aan de andere kant van de wereld – achter een beeldscherm zit. Cybercriminelen kunnen hun aanvallen echter ook in of om jouw bedrijfspand uitvoeren. Daarbij gebruiken ze specifieke apparaatjes, waarvan het belangrijk is dat jij en je medewerkers ze herkennen.
(Deze bijdrage komt van PVO Brabant-Zeeland, auteur Nick van Tiggelen, PVO Oost-Nederland plaatst deze bijdrage in het kader van kennisdeling over #VeiligOndernemen)
We verwijzen in dit artikel naar diverse fysieke producten. Helaas mogen we in verband met de intellectuele eigendomsrechten van de producent niet altijd afbeeldingen tonen van deze producten. Via de links kun je op de website van de producent de beschreven producten bekijken.
Fysieke toegang
Het is een feit: cybercriminelen kunnen op afstand je systemen binnendringen en overnemen. Daarmee kunnen ze jou en je bedrijf ten gronde richten. Als ondernemer kun je dat heel makkelijk maken, door de cybercrimineel onbewust toegang te geven tot je systeem. Dit gebeurt bijvoorbeeld als de beveiliging van je systemen technisch niet op orde is, maar ook als je slordig omgaat met je wachtwoorden of de linkjes waar je op klikt. Zoals we al eerder beschreven is social engineering – het manipuleren van de mens – bij cybercrime minstens zo belangrijk als de technische aspecten. Er is echter nog een manier om het cybercriminelen makkelijk te maken en de integriteit van je ICT-systeem in gevaar te brengen: toestaan dat de crimineel fysieke bij je computers kan komen. Zodra de crimineel een van jouw computers fysiek aan kan raken, gaat er namelijk een wereld aan nieuwe kansen en mogelijkheden voor hem open.
Kom maar binnen
Nu zal het bij veel van jullie bedrijven niet mogelijk zijn om zomaar binnen te lopen. Dat hopen we tenminste, want ook om andere vormen van criminaliteit te voorkomen is het belangrijk dat je de toegang tot je pand zorgvuldig reguleert. Soms is dat echter makkelijker gezegd dan gedaan. Als je veel personeel hebt, regelmatig nieuwe mensen binnenhaalt, het in jouw bedrijf een komen en gaan is van leveranciers, of je elke dag stakeholders over de vloer krijgt voor besprekingen, is het extra moeilijk en extra belangrijk om de juiste maatregelen te treffen. Het wordt nog moeilijker als mensen door de aard van jouw bedrijf zomaar binnen kunnen lopen, zoals dat het geval is bij een winkel. Ook voor hogescholen en universiteiten is het lastig om toegang te reguleren.
Is toegangscontrole middels RFID-tags veilig? Niet tenzij je systemen zorgvuldig inregelt en je werknemers er veilig mee omgaan.
Kaartjes en tags klonen in seconden
De toegang tot veel bedrijven wordt tegenwoordig geregeld en beperkt middels RFID-technologie. Medewerkers hebben een kaartje, druppel of andere digitale sleutel om deuren te openen. Omdat toegang op verschillende niveau’s kan worden ingeregeld, kun je zelf bepalen wie welke deur kan openen. Het is echter belangrijk dat jij en je medewerkers beseffen hoe makkelijk het is om deze tags te klonen. Dit kan met speciaal daarvoor ontwikkelde apparaatjes, maar ook met de meeste moderne smartphones. Dit duurt bovendien amper een seconde. Het is dan ook belangrijk om zorgvuldig om te gaan met deze RFID-tags. Zorg dat je werknemers ze nooit uitlenen, onbeheerd achterlaten of zelfs maar uit het oog verliezen. Een seconde is genoeg om criminelen toegang te geven tot jouw bedrijf.
Tags voor bezoekers
Geef je bezoekers een RFID-tag die ze bij vertrek weer in moeten leveren? Zorg dan dat deze ook digitaal begrensd is. Het inleveren van het fysieke kaartje haalt immers niets uit, aangezien dit in seconden kan worden gekloond. Als je de toegang tot je bedrijf beperkt wilt houden, moet je er dus eigenlijk van uitgaan dat iedere bezoeker de deur uitloopt met een kopie van het kaartje dat je ze geeft. Is dat een probleem? Dan moet je je systemen anders inregelen!
Rubber duckies
Zodra een crimineel iets in jouw computer kan steken, ben je eigenlijk al GAME OVER. Een van de apparaatjes die de crimineel hiervoor gebruikt heet een “rubber ducky”. Waar het eerste prototype er uitzag als een badeendje – daar ontleent de rubber ducky zijn naam aan – is een rubber ducky meestal vermomd als een normale USB-stick. Het kan echter elk apparaat zijn met een USB-aansluiting. In tegenstelling tot wat veel mensen denken staat op deze sticks geen virus of malware. De werking van een rubber ducky is veel venijniger dan dat, waardoor je virusscanner het ook niet zal herkennen. Jouw computer registreert dit apparaatje namelijk niet als een USB-stick, maar als een fysiek toetsenbord. Zodra je de rubber ducky in je USB-poort steekt, begint dat toetsenbord precies te typen wat de crimineel heeft ingesteld. De crimineel zou dan net zo goed zelf achter je computer kunnen zitten.
Alles met een USB-aansluiting…
Het gevaar blijft echter niet beperkt tot deze rubber duckies. Letterlijk alles met een USB-aansluiting kan vandaag de dag een vermomde hacking-tool zijn. Hak5 – een bedrijf dat deze producten maakt voor cybersecurity-professionals die de beveiliging van bedrijven op de proef stellen – heeft inmiddels de meest gebruikelijke voorwerpen om weten te bouwen tot hacking-tools. Dat zijn dus niet alleen USB-sticks, maar ook kabeltjes, verloop-stekkertjes en andere randapparatuur. Met één zo’n apparaatje kan men bovendien diverse soorten aanvallen uitvoeren. Men kan je computer overnemen, maar ook stiekem monitoren wat jij doet. Zo wordt het doodeenvoudig om bijvoorbeeld wachtwoorden en andere vertrouwelijk informatie te achterhalen. Vaak gebeurt dit zonder dat je het zelf doorhebt.
…of een ethernet-aansluiting
Alles dat in de USB-poort past kan dus gevaarlijk zijn, maar ook daar blijft het helaas niet bij. Ook je internetverbinding is kwetsbaar. Zodra een crimineel iets in jouw ethernet-poort kan stoppen, kan hij je hele netwerk overnemen. Dit heeft in het bijzonder verstrekkende gevolgen als hij een centrale aansluiting weet te bereiken. Zorg daarom altijd dat centrale aansluitingen, servers en andere kritische onderdelen van je ICT-infrastructuur achter slot en grendel staan. Beperk het aantal mensen dat toegang heeft tot deze ruimte tot een minimum. Het kan soms onhandig zijn dat er niemand bijkan zonder hulp van de ICT-expert, maar dat ongemak verbleekt bij de gevolgen van een hack.
Gevonden voorwerpen: laat je niet verleiden
De conclusie is simpel en eenduidig: Vind je ergens een kabeltje, stekkertje of verloopstukje waarvan je niet precies weet waar het vandaan komt? Gebruik het niet! Zorg ook dat je medewerkers weten dat ze nooit iets in hun computer mogen steken waarvan ze niet precies weten waar het vandaan komt. Die oplaadkabel voor je iPhone die is achtergebleven na een bijeenkomst is natuurlijk heel verleidelijk. Niet doen! Een gratis USB-stick die je ter promotie van een zakenrelatie krijgt zou ik ook niet in mijn computer steken. Krijg je je laptop niet aangesloten op de tv in de vergaderzaal en heeft een van je gasten toevallig net het juiste verloopstukje? Het juiste antwoord is: “Nee dankje, in onze computers komt niets waarvan we niet 100% zeker weten waar het vandaan komt.”
Met deze kabel kun je jouw laptop aansluiten op een tv of ander beeldscherm. Er kan echter ook een chip inzitten die malware installeert, jouw gegevens doorstuurt of criminelen op een andere manier toegang geeft tot jouw systeem. Klik op de links om te zien dat moderne hacking-tools met het blote oog niet van normale kabeltjes of pluggetjes te onderscheiden zijn.
Zonder aarzelen de deur wijzen!
Zie je een gast, leverancier of andere bezoeker iets in je computer steken? Spreek ze er op aan. Als ze geen sluitende verklaring hebben voor wat ze in je computer steken en waarom, wijs je ze de deur en laat je ze ook nooit meer binnen. Ook voor medewerkers moet je een eenduidig beleid hebben. Zij hebben immers toegang tot je systeem, en dus de kans om daar misbruik van te maken. We weten dat criminelen medewerkers ronselen om toegang te krijgen tot bedrijfsprocessen. Vaak is dat om een drugstransport ter faciliteren, maar duizend euro om even een USB-stick in de computer van je leidinggevende te steken is minstens zo verleidelijk. Als je werknemers hierop betrapt, is ontslag op staande voet niet voldoende. Doe altijd aangifte!
Controle na een verdachte situatie
Constateer je verdachte handelingen rondom je computers, dan moet je elke computer zorgvuldig (laten) controleren. Loop – indien nodig samen met je ICT-dienstverlener – alles na. Elk pluggetje, kabeltje of verloopstukje dat geen onderdeel is van je eigen ICT-infrastructuur, waarvan je niet precies weet waar het vandaan komt, gooi je zonder aarzelen in de prullenbak. Dat klinkt misschien overdreven, maar de grens tussen paranoia en gezond wantrouwen is hier heel smal. Dat ene verloopstukje van USB-C naar HDMI kan wel degelijk jouw hele bedrijf ten gronde richten en jouw leven tot een hel maken.