Wat te doen als je waterput vergiftigd is…

Met veel plezier keek ik onlangs nog eens naar “Oceans Eleven”, de zeer entertainende heist-movie waarin een groepje vrolijke bandieten o.l.v. George Clooney in Las Vegas onder de neus van een casino-eigenaar aan de haal gaat met miljoenen dollars. Wat mensen overtuigen, een goed afleidingsmanoeuvre en vooral het onwrikbare vertrouwen van mensen in de overheid misbruiken.

Hoewel geromantiseerd, is de werkelijkheid niet anders. En van alle tijden. Vroeger, toen de internationale handel zich voornamelijk per kameel verplaatste, vergiftigden struikrovers en ander geboefte de waterputten langs karavaanroutes, de enige plek waarvan niemand zou vermoeden dat er gevaar loerde. En zo haalden ze ‘geweldloos’ hun buit binnen.

Tegenwoordig laven we ons aan waterputten zoals Facebook, LinkedIn en onze android- of iOS-mobieltjes. In die digitale platformen – die we meerdere keren per dag bezoeken – stellen we een grenzeloos vertrouwen.

Hackers maken steeds vaker misbruik van het vertrouwen van gebruikers van sociale medianetwerken of mobiele technologie. Zonder nadenken geven we onszelf op dergelijke sites altijd wel een beetje bloot en vertrouwen we vaak wildvreemden.  Het is dan ook niet verwonderlijk dat ‘waterputaanvallen’, waarbij bezoekers op vertrouwde websites of mobiele platformen worden opgewacht, onder hackers sterk in opkomst zijn.  Uit recent X-force onderzoek naar trends in cybersecurity blijkt dat je die trends grosso modo kan onderverdelen in drie gebieden: sociale media, waterputaanvallen en afleidingsmanoeuvres.

Sociale media: aanvallers blijven in 2013 hun pijlen richten op social engineering. Via sociale netwerken verspreiden ze bijvoorbeeld kwaadaardige links die van vrienden of volgers lijken te komen. Deze aanvallen werken ook effectief en creëren nieuwe gevaren voor bedrijven. Sociale netwerken nemen steeds meer proactieve maatregelen door bijvoorbeeld links te scannen in privé- en openbare berichten.

Daarnaast verkopen criminelen steeds vaker ‘profielen’ op sociale netwerksites – bestaande personen waarvan de gegevens in verkeerde handen zijn gekomen of speciaal ontworpen profielen met een groot aantal connecties om geloofwaardig te zijn. Deze profielen worden voor verschillende doeleinden gebruikt zoals het aantal "likes" van een pagina extreem de hoogte in jagen, het vervalsen van beoordelingen en reviews, of identiteitsdiefstal.

De toepassingen van social engineering worden ook steeds geavanceerder. Technologische ontwikkelingen en controles zijn beschikbaar, maar uiteindelijk blijft de gebruiker zelf de zwakste schakel in de beveiligingsketen.

Waterputaanvallen zijn daar een goed voorbeeld van. Hackers richten zich steeds vaker op centrale en strategische doelwitten. Vaak zijn het specifieke websites die potentiele slachtoffers frequent bezoeken, zoals Facebook of Twitter. Via een centrale website “malware” verspreiden, stelt aanvallers ook in staat om de meer technisch onderbouwde slachtoffers te bereiken, diegenen die je niet zo snel bedot met een phising-poging. Ze zullen niet verwachten dat sites die ze vertrouwen een verborgen agenda hebben.

Afleidingsmanoeuvres: Distributed-Denial-of-Service (DDoS) aanvallen worden vaker ingezet als een afleidingsmanoeuvre om ondertussen andere systemen van bedrijven aan te vallen. Het ICT-personeel is op dat moment gefocust om die aanval af te weren, zonder enig zicht te hebben op de omvang van de aanval. Vervolgens gaan de hackers langs een achterdeurtje ongezien naar binnen.

Wat personen overtuigen, een goede afleiding en misbruik van vertrouwen. Danny Ocean is digitaal gegaan.