Personeelsgegevens van de politie, paspoortgegevens bij de gemeente, medische gegevens bij een laboratorium: datalekken zijn om de haverklap in het nieuws. Maar hoe stelen die cyberboeven data?
Bij een dief denk je misschien al gauw aan het clichébeeld van iemand die in het holst van de nacht met een zaklamp en een klauwhamer op rooftocht gaat. Maar dieven opereren ook online. Hoe datadieven digitale data stelen van organisaties is weliswaar een vrij technisch verhaal, maar hier komt ook veel menselijk gedrag bij kijken. Het proces van datadiefstal uit computernetwerken van organisaties is op te delen in grofweg vier fases: inbreken in een organisatienetwerk, doorzoeken van het netwerk, stelen van data en de gestolen data misbruiken.
Het stelen van data is een vrij technisch verhaal.
FreepikInbreken in een organisatienetwerk
Er zijn natuurlijk veel manieren waarop datadieven inbreken in een organisatienetwerk. Een bekende maar nog steeds relatief veelvoorkomende manier is het misbruiken van kwetsbare wachtwoorden. Dit zijn bijvoorbeeld makkelijk te raden wachtwoorden, wachtwoorden die ooit gelekt maar nooit gewijzigd zijn of standaardwachtwoorden die meekomen met fabrieksinstellingen.
Daarnaast kunnen datadieven zoeken naar meer technische kwetsbaarheden. Dit zijn bijvoorbeeld zwakke plekken in software die daders misbruiken om naar binnen te glippen. Soms zijn deze kwetsbaarheden vrij makkelijk te vinden, bijvoorbeeld omdat de organisatie haar software niet heeft geüpdatet terwijl het bekend is dat deze software belangrijke kwetsbaarheden bevat. Soms misbruiken datadieven technische kwetsbaarheden die nog niet of nauwelijks bekend waren. Dit worden zero-days genoemd. Om een zero-day te vinden, heeft de dader vaak veel IT-kennis nodig. Cybersecurity-experts zien dan ook eigenlijk alleen grotere organisaties aangevallen worden door middel van zero-days.
Overigens lukt het datadieven meestal om in te breken als er meerdere dingen fout gaan. Zo kan het zijn dat ergens in het netwerk even een deurtje is opengezet om een leverancier van bepaalde software op afstand toegang te geven om iets aan de software aan te passen. Dat deurtje wordt wel beveiligd met een wachtwoord – want we weten allemaal dat wachtwoorden belangrijk zijn – maar voor het gemak is dat een simpel wachtwoord: welkom123. De leverancier doet vervolgens haar ding.
Daarna vergeet de IT-afdeling echter het deurtje weer dicht te zetten want ze hebben het alweer druk met andere dingen. Het tijdelijke deurtje staat zo per ongeluk veel te lang open voor personen buiten het netwerk en wordt toevallig opgemerkt door kwaadwillenden die het wachtwoord snel hebben geraden en zo binnenkomen.
Netwerk doorzoeken
Een digitaal netwerk bestaat uit allerlei onderdelen. Denk bijvoorbeeld aan jouw virtuele werkomgeving, jouw mailbox en databases waar grote hoeveelheden gebruikersdata worden opgeslagen. Ook apparaten als printers en camera’s maken vaak onderdeel uit van dit netwerk. Deze systemen zijn allemaal met elkaar verbonden. Zo kan je vanuit jouw werkomgeving je mailbox openen en documenten printen. En als je een document per ongeluk verwijdert, haal je een eerdere versie terug uit een back-up systeem. Deze verbondenheid is handig – voor jou, maar ook voor datadieven.
Wanneer datadieven eenmaal in een netwerk zitten, is de volgende stap het doorzoeken van het netwerk. Hierbij vertonen daders ‘oriënterend’ en ‘propagerend’ gedrag. Tijdens het oriënteren kijken ze bijvoorbeeld rond in de omgeving waar ze binnen zijn gekomen en brengen ze de rest van het netwerk in kaart. Propageren gaat over het doorhoppen van het ene naar het andere systeem in het netwerk.
Stel, datadieven zijn uit op het geheime Kaneelbroodjesrecept van een grote bakkerij. Ze hebben toegang gekregen tot het digitale netwerk van dit bedrijf door in te breken in het account van een juniorbakker. Eenmaal in dit account bekijken de daders onder andere documenten die deze medewerker heeft opgeslagen en met welke andere personen hij zoal mailt. De daders proberen ook het digitale netwerk in kaart te brengen door te kijken met welke andere systemen het account van de medewerker verbinding kan maken, zoals de printer en back-up systemen.
Stel je voor dat hackers uit zijn uit op het geheime Kaneelbroodjesrecept van een grote bakkerij.
FreepikDe daders zien al snel dat de juniorbakker geen toegang heeft tot heel vertrouwelijke informatie, zoals het geheime Kaneelbroodjesrecept. Dit recept staat samen met een hoop andere documenten op een computersysteem dat we de bestandsserver noemen. De juniorbakker mag weliswaar bij enkele documenten op deze server, maar niet bij alle documenten, en zeker niet bij de geheime recepten.
Wat iemand met een bepaald account mag doen in een netwerk, wordt bepaald door de ‘rechten’ die accounts hebben. De meesterbakker heeft dan een account met meer rechten dan het account van de juniorbakker. Dat betekent dat zij, bijvoorbeeld, vanuit haar account meer documenten mag inzien, waaronder de geheime recepten, en programma’s mag installeren en verwijderen. Dit maakt haar account veel interessanter voor datadieven.
Herhalend gedrag
Omdat de daders vanuit het account van de juniorbakker de geheime recepten niet kunnen bekijken, weten ze dus ook niet waar deze staan en hoe ze daarbij komen. Om de recepten te lokaliseren, moeten ze het netwerk verder doorvlooien. Dit doen ze onder andere door van systeem naar systeem te hoppen. In feite vindt hier cyclisch of herhalend gedrag plaats. Daders moeten namelijk steeds opnieuw inbreken om in een volgend systeem te belanden. Daarbij moeten ze ook steeds opnieuw oriënteren: Waar zit ik nu? Wat is hier te vinden? En welke andere systemen bereik ik vanaf hier?
Hoe kraken hackers de code om toegang te krijgen tot het geheime Kaneelbroodjesconcept.
FreepikOm in te breken in volgende systemen, kunnen daders soortgelijke technieken toepassen als tijdens de eerste poging om toegang tot het netwerk te krijgen. Zo gebruiken ze bijvoorbeeld eerst online scantools om kwetsbaarheden te vinden in delen van het netwerk die met het internet verbonden zijn. Eenmaal in het netwerk gebruiken ze dan lokale scantools om het netwerk van binnenuit in kaart te brengen en om kwetsbaarheden in systemen te vinden die zij eerder niet zagen maar waar ze nu wel bij kunnen, nu ze eenmaal in het netwerk zitten. Het vinden van meerdere kwetsbaarheden helpt ook om toegang te behouden tot het netwerk. Soms verliezen daders namelijk hun eerste toegang, bijvoorbeeld door software updates die het lek dichten dat in eerste instantie toegang gaf tot het netwerk.
Daders stelen data ook niet altijd op één moment, maar herhaaldelijk, terwijl zij zich een weg door het netwerk banen. Of wanneer zij medewerkers bijvoorbeeld voor langere tijd bespioneren. Soms stuiten daders op gegevens die zij later in het proces kunnen misbruiken. Met de informatie in het account van de juniorbakker zijn daders bijvoorbeeld in staat om een overtuigende phishingmail te sturen naar de meesterbakker om zo haar inloggegevens af te troggelen. Zij heeft immers wel toegang tot de geheime recepten. Daders hebben bovendien binnen in een netwerk meer mogelijkheden om inloggegevens te stelen. Zo vinden zij soms nog wachtwoorden in het geheugen van systemen wanneer een gebruiker daar kort geleden heeft ingelogd. Het bemachtigen van inloggegevens van meerdere accounts helpt daders ook om toegang te behouden tot het netwerk, bijvoorbeeld nadat iemand zijn of haar wachtwoord heeft gewijzigd.
Stelen van data
Hoewel daders op meerdere momenten in het proces data kunnen stelen, draait de datadiefstal uiteindelijk om het bemachtigen van het geheime Kaneelbroodjesrecept. Dat is het kroonjuweel van de bakker en het hoofddoelwit van de daders. Als de daders de inloggegevens van de meesterbakker weten te bemachtigen, is het relatief eenvoudig om het geheime Kaneelbroodjesrecept in te zien. Vanuit het account van de meesterbakker kunnen zij daar namelijk zo bij.
Als het niet lukt die inloggegevens te verkrijgen, maar ze wel het sterke vermoeden hebben dat de geheime recepten op de bestandsserver staan (daar waar zich ook de documenten van de juniorbakker bevinden), dan kunnen ze deze server ook proberen te hacken. Bijvoorbeeld door een brute force-aanval uit te voeren. Hierbij sturen de daders in feite een hele hoop combinaties van gebruikersnamen en mogelijke wachtwoorden op de server af in de hoop dat er een goede combinatie tussen zit. Als ze dan eindelijk bij het geheime recept zijn, is het slechts een kwestie van het document kopiëren, doorsturen of screenshotten om de informatie op een eigen computer op te slaan.
Met het niet-meer-zo-geheime Kaneelbroodjesrecept kunnen hackers de bakkerij afpersen.
FreepikMisbruiken van data
Hoe daders de gestolen data uiteindelijk misbruiken, hangt af van de gestolen gegevens en de vaardigheden en interesses van de daders zelf. Met het niet-meer-zo-geheime Kaneelbroodjesrecept kunnen ze hun eigen kaneelbroodjeswinkel oprichten. Of de bakkerij afpersen. Dit gebeurt veel bij ransomware-aanvallen: daders stelen gevoelige informatie en maken de data op de systemen van het bedrijf onbereikbaar door deze te versleutelen. Er gaat dan als het ware een slot op de documenten die alleen kan worden geopend met een sleutel die de daders bezitten. Vervolgens dwingen de daders het bedrijf te betalen voor de sleutel en (vaak ook) voor het niet verder verspreiden van de data.
Het te koop aanbieden van gestolen data is een andere manier om geld te verdienen aan een hack. Stel dat datadieven inloggegevens van webwinkelaccounts buitmaken. Zij kunnen deze data verkopen aan fraudeurs die op andermans naam en kosten spulletjes bestellen. Ook lijsten met mailadressen van klanten van een bedrijf zijn interessant voor daders, zeker wanneer deze gecombineerd zijn met andere persoonsgegevens, zoals namen en geboortedata of adressen. Met deze gegevens is het voor daders eenvoudiger om geloofwaardige phishingmails te sturen om zo andermans inloggegevens te bemachtigen. Daarmee kunnen ze vervolgens weer inbreken bij de volgende organisatie. En zo is de cirkel weer rond.
Meer weten over dit onderzoek en het handelen van datadieven in organisatienetwerken? Lees dan dit openbare Nederlandstalige whitepaper of het Engelstalige wetenschappelijke artikel dat hierover is gepubliceerd.