Strategie

Het dark web heeft nog wel een plekje vrij

Het dark web is groot, maar jouw bedrijfsdata past er nog prima in.

#strategie

red and stainless steel chair Photo by Lute on Unsplash

Stel je even dit voor: je bent als MKB-er lekker bezig. Orders komen binnen, je team draait, IT “doet het”. En dan — pats — ligt de boel plat. Ransomware. Maar hoe komen ze in vredesnaam bij jóú terecht? Je bent toch geen bank of defensie? Precies daar wil ik het vandaag over hebben: het verdienmodel van hackers en waarom jij, als MKB-er, er toch middenin zit.

Dat verdienmodel begint bij de digitale zwarte markt op het internet: het dark web. Op dat dark web valt er van alles te halen .

Het internet kun je grofweg opdelen in: het “gewone” web (Googlebaar), het “deep web” (niet vindbaar, alleen als je toegang hebt. Zoals je intranet) en het “dark web“: netwerken (zoals Tor) waar je alleen met speciale software komt. Daar vind je marktplaatsen, fora en diensten voor cybercrime. Klinkt spannend, is vooral zakelijk: vraag en aanbod.

Wat wordt daar op het dark web dan verhandeld? Meer dan je lief is. Een greep:

  • Inloggegevens: complete lijsten met e-mailadressen en wachtwoorden, buitgemaakt bij hacks.
  • Data: klantbestanden, factuursjablonen (handig voor fraude), soms zelfs complete mailboxen. Alles kan nuttig zijn om een phishing mail nog geloofwaardiger te laten overkomen en daarmee het succes te vergroten.
  • Pakketten en tools: aan- en verkoop van phishing-software, verkoop van software om in te breken, hack handleidingen, en kant-en-klare malwaresets.
  • Toegang op maat: “initial access brokers” verkopen kant-en-klare toegang tot bedrijfsnetwerken of cloudaccounts. Hiervoor wordt vaak gebruik gemaakt van de eerder genoemde inloggegevens, pakketten en tools. Deze hackers breken dus alleen maar bij bedrijven in en die toegang verkopen ze aan andere hackers. Die zijn dan weer gespecialiseerd in het afpersen. (zie hieronder, RaaS)
  • Ransomware-as-a-Service (RaaS): jij levert de ‘inbraak’, zij leveren de ransomware om alles te versleutelen en de betaalportalen om het geld te ontvangen. De winst wordt gedeeld.

Waar komt die data vandaan?

Heel veel van die gegevens komen uit datalekken bij diensten die jij en je medewerkers ooit gebruikt hebben: een oud marketingplatform, een forumaccount, die ‘gratis’ online dienst van jaren terug. In die gehackte data zitten vaak e-mail + wachtwoord combinaties. En nu komt het pijnlijke: wachtwoorden worden hergebruikt. Gebruik je hetzelfde (of een variatie) bij je Microsoft 365, boekhoudpakket of VPN? Dan gaan ze geautomatiseerd die combinaties testen op websites of systemen waar ze graag toegang toe willen. Dat gebeurt vaak door het huren van een botnet van het dark web. Geen Hollywood-hack, maar wél erg effectief.

Botnets: gehuurde spierballen

Een botnet is een netwerk van geïnfecteerde apparaten (pc’s, servers, soms zelfs camera’s of ‘slimme’ deurbellen). Criminelen huren zo’n botnet in voor onder andere:

  • DDoS-aanvallen: sites of diensten platleggen door zoveel verkeer te sturen dat ze het niet meer aankunnen.
  • Credential stuffing & brute force: massaal inlogcombinaties uitproberen om te kijken of daar geldige tussen zitten en zo toegang te krijgen.
  • Spam & phishing: op grote schaal, via eerder gehackte en vervolgens besmette machines.
  • Proxy/‘anoniem’ verkeer: jouw apparatuur als tussenstap, zodat herleiden naar de pc van de hacker lastiger wordt.
  • Crypto-mining: stille rekencapaciteit stelen van de gehackte machines in het botnet om geld te verdienen met Crypto zoals Bitcoin.

Je hoeft dus géén “specifiek doelwit” te zijn. Een slordige klik, een zwak wachtwoord of een vergeten update is genoeg om in een geautomatiseerde molen terecht te komen.

Hoe ransomware voet aan de grond krijgt

Hoe ziet zo’n hack er dan uit van begin tot einde? De route is vaak verrassend simpel:

  1. Binnenkomst via gelekte inloggegevens op een systeem of via een click op een phishing mail.
  2. Vervolgens krijgt de hacker voet aan de grond en gebruikt een stuk software (mogelijk gekocht op het dark web) om blijvend toegang te krijgen op de laptop of server.
  3. Daarna probeert hij zijn rechten uit te breiden. Mappen scannen, back-ups zoeken, en proberen beheerdersrechten te krijgen. Met die laatste kan misschien overgesprongen worden naar een ander systeem dat nog interessanter is om te hacken.
  4. De volgende stap is om eerst de data te kopieren en dán pas wordt data versleuteld bij een ransomware aanval.
  5. Dubbele afpersing: Tot slot krijg je bericht dat je mag betalen. Eerst mag je betalen voor ontgrendelen én later komen ze er nog eens overheen dat je moet betalen om je data níet gepubliceerd te zien worden.

Waarom je kwetsbaar bent, ook als je denkt dat je dat niet bent

MKB-bedrijven zijn kwetsbaar. Dat komt omdat ze grotendeels net zo veel risico lopen als grote ondernemingen, maar zich minder goed kunnen beschermen. Dat komt bijvoorbeeld omdat ze geen 24/7 beveiligingsmonitoring (een Security Operating Center, SOC) hebben die hun systemen beschermt tegen aanvallen. Maar ze hebben wél kritieke afhankelijkheden (zoals een ERP-systeem, een fileserver). Ook hebben ze vaak kleine teams met medewerkers die veel petten op hebben. Daardoor staan ze vaak in de “doe-modus”. Zelfs als een kleinere organisatie werk gemaakt heeft van beveiliging, is een foutje dan zo gemaakt.

Snelle reality-check

Denk eens na waar jij nu al mogelijk risico loopt. Heb je wel eens wachtwoorden hergebruikt? Heb je wel eens bestanden gedeeld maar de rechten niet weer er af gehaald? Bij welke belangrijke websites kun je veiligere twee factor (2FA) of multi factor authenticatie (MFA) aanzetten, maar dat nog niet gedaan? Welk systeem is al zo oud (6+ jaar) dat je daar waarschijnlijk geen updates meer van krijgt? Op welk systeem krijg je steeds meldingen van updates, maar klik je die gewoon weg? Maak daar eens een lijstje van en ga ze gestructureerd langs om ze op te lossen!

Impact op het MKB

Mocht je gehackt worden, wat dan kan de impact op je bedrijf aanzienlijk zijn helaas:

  1. Ten eerste is er stilstand. Je kunt niet factureren en niet leveren.
  2. Dan zijn er nog de herstelkosten. Je zult de systemen helemaal schoon moeten maken of opnieuw herinrichten. Vaak heb je daar IT-leverancier voor nodig, als die zijn vingers daar aan wil branden. Want vaak wordt daar een aparte partij voor ingehuurd. Als je nog forensisch onderzoek zou willen doen, komen die kosten er nog bovenop.
  3. Als er persoonsgegevens gestolen zijn (van klanten of van medewerkers), geldt er een meldplicht bij de Autoriteit Persoonsgegevens. Je moet klanten informeren, wat je een reputatie deuk kan opleveren.
  4. Dan is er nog de operationele ‘schaduwschade’. Want tijdens een hack probeer je toch zoveel mogelijk door te draaien. Dat kan natuurlijk niet (volledig). Daardoor ontkom je er niet aan dat je improvisorisch moet werken. Dat heeft als gevolg fouten bij het uitleveren of uitloop van projecten.

Wat kun je nú doen?

Je hoeft geen compleet programma op te tuigen om nu al wat te doen. De wel bekende 80/20 regel geldt hier: Met 20% inzet kun je al 80% op weg zijn om veiliger te zijn. Dit doe je onder andere door:

  • Gebruik overal unieke wachtwoorden en stel MFA in overal waar het kan.
  • Gebruik een wachtwoord manager en stel hem verplicht voor al je personeel. Wachtwoorden onthouden is verleden tijd en bijna niet te kraken als ze uniek zijn.
  • Back-ups offline én (laten) testen. Zorg dat je zeker weet dat al je data er nog is als hackers deze versleutelen.
  • Houdt alles up-to-date. Dus niet alleen je pc’s maar ook andere apparatuur.
  • Beperk toegang. Moet echt elke medewerker bij elk bestand en in elk systeem kunnen?
  • Bescherm je factuur- en betaalproces. Gebruik een vier-ogenprincipe, met name bij grote bedragen. Bel terug bij wijziging van rekeningnummers.

Je hoeft geen fort te bouwen. Je moet het criminelen alleen duurder maken om jou te pakken dan je buurman. Hun verdienmodel is efficiëntie op schaal; jouw verdedigingsmodel is het moeilijker maken waardoor ze een makkelijkere prooi pakken.

Klaar met lezen?

CISO Essentials helpt je je gedachten te vertalen naar een concrete aanpak — zonder dure tools of een fulltime CISO.

Intake aanvragen
Alle artikelen