malware en phishing
Algemeen hoofdredacteur Robert Hiemstra
(Proef)abonnementen kunnen ieder moment ingaan, maar slechts worden beëindigd indien uiterlijk twee maanden voor het einde van de abonnementsperiode schriftelijk is opgezegd. Zonder of bij niet-tijdige opzegging wordt het abonnement automatisch met een periode van een jaar verlengd. Abonnementen zijn zakelijk en derhalve is de consumentenwetgeving niet van toepassing. Rendement behoudt zich het recht voor om prijzen en inhoud van de algemene voorwaarden te wijzigen. U kunt onze algemene voorwaarden en privacybeleid ook nalezen op www.rendement.nl/av.
Uitgever Marnix Hoogerwerf
ISSN 1875-4627
Druk Ten Brink, Meppel
© 2013 Rendement Uitgeverij BV Postbus 27020, 3003 LA Rotterdam tel:. (010) 243 39 33 fax: (010) 243 90 28 e-mail:
[email protected] website: www.rendement.nl
Themadossier PC Rendement is een periodiek verschijnend themadossier voor de professionele pc-gebruiker Hoofdredacteur Diny Basoski Auteur Peter Scharpff Medewerkers Bastiaan Geleijnse, Dominik van Mierlo, Amy Moi-ThukShung, John Reid, Jean-Marc van Tol, Annemieke van der Velden, Michel Wolf
Abonnementen Dossier PC Rendement verschijnt 6× per jaar. De prijs voor een abonnement op Dossier PC Rendement bedraagt voor abonnees op PC Rendement € 179 per jaar. Losse nummers: € 49. Alle prijzen zijn inclusief verzendkosten en exclusief BTW.
Niets uit deze uitgave mag, noch geheel, noch gedeeltelijk, worden overgenomen en/of vermenigvuldigd zonder voorafgaande schriftelijke toestemming van de uitgever. Hoewel aan de totstandkoming van deze uitgave uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(en) en de uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen hiervan.
Malware en Phishing
Malware maakt meer kapot dan u lief is
10
R e n d e ment
pres ent eer t :
Excel voor financials & managers en Excel PRO voor financials & managers
vo kor % o t Re r leze ing nd rs em va en n t
Stapsgewijs naar een perfecte beheersing van Excel
Dé praktijkopleidingen voor financials en managers Twee complete opleidingsprogramma’s waarin u optimaal gebruik leert maken van de vele mogelijkheden van Excel. Financials en managers krijgen steeds meer gegevens te verwerken. Er wordt van u ver wacht dat u deze data in overzichtelijke en betrouwbare analyses presenteert. Alleen hier mee kan uw organisatie de juiste beslissingen nemen voor de toekomst. De spreadsheets van Excel bieden hierbij uitkomst. Maar in de praktijk blijkt dat meer dan de helft van het programma niet wordt gebruikt. En juist deze nuttige onderdelen zorgen voor professionele rapportages en tijdwinst. Rendement heeft speciaal voor haar lezers praktijkopleidingen ontwikkeld die u als financial of manager leren optimaal gebruik te maken van de vele mogelijkheden. Meer weten? Ga naar www.exceldag.nl
Voorwoord Malware is inmiddels niet meer alleen een lastig iets, waar u hooguit mee te maken krijgt als u websites met een zekere reputatie bezoekt. Nee, het hoort tot de webrealiteit van alledag. Uw kansen op besmetting bestaan zelfs op websites die veelbezocht zijn en in principe betrouwbaar zouden moeten zijn. Want hoe meer bezoekers, des te interessanter het is voor cybercriminelen die op zoek zijn naar potentiële slachtoffers. U heeft dus geen andere keus dan u te wapenen tegen deze aanvallen. Natuurlijk zorgt uw bedrijf voor betrouwbare antimalwaresoftware, die tot op behoorlijke hoogte in staat is besmettingen te voorkomen. Maar u zult ook vooral aan preventie moeten doen. Verder is veel software zo in te stellen dat een update automatisch verloopt, maar dergelijke processen vormen soms een hinderlijke onderbreking van het dagelijkse werk. U moet dan bijvoorbeeld opnieuw opstarten om de update te kunnen installeren. Dat komt niet altijd uit, en veel updates worden dan ook weggeklikt. Dat is niet zo’n punt, zolang u op een later tijdstip de update alsnog binnenhaalt. Maar dat raakt wel eens op de achtergrond. Dan is er nog de software die maar sporadisch met een update komt, of waarvan u handmatig op zoek moet naar de update. Java is daar een berucht voorbeeld van – en niet voor niets een van de onveiligste – maar ook veel kleinere programma’s vallen hieronder. Vaak hebben gebruikers die zelf gedownload omdat ze een functie bieden die de ‘grote’ software niet aan boord heeft. Of omdat ze lekker snel werken. U moet er echter veel actiever in zijn als u hier de laatste versie van wilt binnenhalen.
5
En hoe zit het met phishing? Dit is al lang het niveau ontstegen van lachwekkende spelfouten. Sterker nog; de mails zijn bijna niet meer van echt te onderscheiden. Daardoor zou u op een druk moment toch op zo’n mail in kunnen gaan, met alle gevolgen van dien. Het is dus belangrijk om altijd ‘het koppie erbij te houden’ als u mail krijgt van mensen die u niet kent. Neem daarom dit dossier door. Dan bent u weer helemaal op de hoogte van de meest recente stand van zaken en de nieuwste manieren waarop cybercriminelen proberen achter uw wachtwoorden te komen of pogen u in te lijven bij een botnet. Hoe alerter u bent, des te minder kans ze hebben! Diny Basoski Hoofdredacteur PC Rendement
Aanvulling op themadossier Rendement Uitgeverij is overgestapt op een handzamere vorm van themadossiers. Dit pocketformaat is erg prettig leesbaar. Bovendien zijn de vertrouwde bijlagen voortaan online toegankelijk. U heeft als trouwe abonnee namelijk toegang tot het nieuwe Premium-account! Door een samenwerkingsverband met MKB Vaktools heeft Rendement toegang gekregen tot een grote database aan vaktools. Deze database delen wij graag met u als Premium-abonnee. Download nu onbeperkt vaktools! De vaktools helpen u op weg Op www.rendement.nl/pcdossier vindt u in aanvulling op de onderwerpen in dit themadossier bijbehorende vaktools. Bij vaktools kunt u denken aan modelcontracten en -brieven, rekentools, stappenplannen, naslagwerken en checklists. Deze zeer praktisch toepasbare hulpmiddelen helpen u bij uw dagelijkse werkzaamheden.
6
Inhoudsopgave 1 Inleiding 9 1.1 Motieven 9 1.2 Methoden 11 1.3 Oplossing 11 1.4 Bewustzijn 12 2 Begrippen 13 2.1 Omgeving 14 2.2 Vormen 15 2.3 Malware 16 2.4 Phishing 17 3 Malware 19 3.1 Doel 20 3.2 Virussen 20 3.3 Wormen 23 3.4 Trojans 24 3.5 Scripts 25 3.6 Overige malware 26 3.7 Hoax 29 4 Besmetting 31 4.1 Bronnen 31 4.2 Infectie 38 4.3 Risico’s 42 5 Phishing 49 5.1 Oplichterij 49 5.2 Methoden en technieken 50 5.3 Succes 54 5.4 Gevolgen 55
7
6 Social engineering 57 6.1 Verzamelen 57 6.2 Methoden en technieken 58 6.3 Gevolgen 64 7 Botnets 69 7.1 Werking 69 7.2 Toepassing 71 7.3 Opsporing 73 8 Detectie 75 8.1 Herkenning 75 8.2 Alarmsignalen 79 9 Beschermen en bestrijden 83 9.1 Antimalware 84 9.2 Firewall 86 9.3 Phishingfilter 87 9.4 Bestrijding 90 9.5 Een gewaarschuwd mens ... 92
Register 93
8
1 Inleiding De pc en laptop zijn steeds alledaagsere apparaten geworden, en andere, kleine mobiele apparatuur als tablets en smartphones hebben ook aansluiting gevonden bij internet. En al die apparatuur wordt tegenwoordig voor het werk ingezet. Dus zijn de cybercriminelen steeds inventiever geworden bij het speuren naar allerlei interessante te misbruiken gegevens op al die apparaten. Wat kunt u daartegen doen? Proberen u uw gegevens te ontfutselen kan op diverse manieren: de cyberboeven kunnen ervoor gebruikmaken van allerlei malware of hackersgereedschappen, maar ook gewoon hengelen met valse e-mails of reclameboodschappen. Dit dossier helpt u al die narigheid te herkennen, zodat u zich ertegen kunt beschermen. U doet van alles met al die (mobiele) apparatuur die u dagelijks ter beschikking heeft: van heel onschuldige surftochtjes langs sites over de goedkoopste vliegtuigtickets, tot grote overboekingen bij uw zakelijke bank. En u heeft er ook van alles op staan: lange lijsten met belangrijke contactpersonen, relaties en klanten met hun telefoonnummers en mailadressen, cruciale rapporten en bedrijfsgegevens, zakelijke en persoonlijke bankrekeningnummers, enzovoorts. Die kunnen razend interessant zijn voor de cybercriminelen.
1.1 Motieven Misschien heeft u zich wel eens afgevraagd wat de motieven van cyberboeven zijn: waarom willen deze sujetten zo graag uw belangrijke gegevens stelen? Want wat kan iemand daar
9
motieven
Malware en Phishing
nu eigenlijk mee? Een voorbeeld: als u de beschikking zou hebben over een bankrekening- of creditcardnummer dat niet van uzelf is, zou u daarmee op internet spullen kunnen kopen. Het probleem is alleen dat u dan meestal wel wat meer gegevens moet hebben dan alleen het nummer, want anders zou iedereen bij de betaling zomaar een willekeurig nummer kunnen invullen.
Met name inlogcodes, verificatienummers of wachtwoorden die horen bij een bepaald rekeningnummer, zijn voor de cybercrimineel belangrijke items om te verzamelen.
spionage
zombie
spam botnet
Andere redenen waarom iemand uw gevoelige gegevens zou willen hebben, kunnen heel zakelijk zijn: bijvoorbeeld informatie verzamelen over nieuwe procedures of producten (bedrijfsspionage), het verzamelen (stelen) van actuele of historische order-, factuur- of algemene klantgegevens, het bepalen van de concurrentie- of marktpositie, de financiële stand van zaken, en ga zo maar door. U zult zelf ook wel begrijpen dat dit soort gegevens goud waard kunnen zijn in de handen van de concurrent. En dan kunnen ook nog commerciële of marketingtechnische redenen een belangrijke rol spelen. Bijvoorbeeld emailadressen zijn op de zwarte webmarkt veel geld waard, zeker als ze gecontroleerd zijn op het daadwerkelijk bestaan ervan. En ook internetadressen van computers die als zombies kunnen functioneren in een netwerk van illegale verspreiding van reclameboodschappen, worden grif uitgewisseld of verhandeld. Ongevraagd reclame verspreiden (spam) is niet overal verboden, dus zijn er veel digitale omwegen via buitenlandse datacentra of via botnets te bedenken om een bepaald (vaak bedenkelijk) product uit te venten. De belangrijkste reden om op grote schaal te spammen via mailberichten is nog niet eens de lage kosten die mailen nu eenmaal met zich meebrengt – zeker als u dat vergelijkt met een brief die u met
10
inleiding
een dure postzegel erop via de post verstuurt. De respons is een veel belangrijker aspect: een score van rond de 4% is altijd nog zo’n acht keer hoger dan bij een reguliere direct mailing waar de respons gemiddeld op zo’n half procent ligt. Als niemand ooit nog op een spambericht of ongevraagde reclame-uiting zou reageren, zou het vervelende verschijnsel snel verdwenen zijn. Maar zo werkt het kennelijk niet.
1.2 Methoden De digitale dieven hebben veel methoden en technieken ter beschikking om te proberen uw belangrijke gegevens op te sporen en ze te misbruiken. Daarbij maken ze gebruik van diverse soorten malware en ook phishing is een belangrijk instrument. In dit dossier daarom uitgebreide aandacht voor deze twee (kwalijke) fenomenen, zodat u die gemakkelijker zult herkennen in al hun verschijningsvormen zodra ze in uw buurt komen.
Er zijn nogal wat vormen, methoden en technieken, en als u enigszins een idee heeft hoe een en ander werkt, is het ook een stuk gemakkelijker om te voorkomen dát het werkt als een cybercrimineel ze inzet.
1.3 Oplossing Verderop in dit dossier is ook ruime aandacht voor preventie en de manier waarop u kunt reageren op malwarebesmettingen of de inzet van bedenkelijke methoden en technieken om u uw belangrijke data te ontfutselen. Denk dan aan oplossingen, methoden of software waarmee u zich kunt beschermen tegen al die ellende, of waarmee u in ieder geval in staat bent om een en ander te detecteren. En mocht u daadwerkelijk getroffen worden (of zijn) door destructieve activiteiten van het cybergeboefte, hoe kunt u dat dan bestrijden of oplossen? Het kan bijvoorbeeld nodig zijn om
11
respons
Malware en Phishing
back-up
recovery
systemen op te schonen, back-ups terug te zetten, of misschien zelfs wel geheel opnieuw te installeren. Hopelijk zijn bij uw contact met de cybercriminelen niet ook nog eens al uw belangrijke data verloren gegaan, want dan zou zelfs recovery noodzakelijk kunnen blijken.
1.4 Bewustzijn
beleid
Een belangrijke gedachte achter dit dossier is om u bewust te maken van de gevaren en risico’s die via al die handige computers en aanverwante apparatuur kunnen opdoemen. Om een soort ‘ bewustzijn’ te kweken waardoor u in potentieel risicovolle situaties min of meer intuïtief de juiste handelingen verricht om niet gedupeerd te raken. En dat gevoel kan nog eens extra van pas komen als u met uw collega’s of relaties praat over dit soort onderwerpen, zodat ook zij dergelijke risico’s kunnen leren (her)kennen. Misschien kunt u er zelfs gebruik van maken om de beleidsregels voor automatiseringsmiddelen binnen uw organisatie of in uw relatienetwerk verder aan te scherpen. Dan komt er misschien ooit een einde aan de bedenkelijke cybercriminaliteit, maar voorlopig hopelijk in ieder geval een substantiële vermindering van de risico’s .
12
2 Begrippen U leest er regelmatig over in publicaties: de veiligheid van belangrijke informatie is een hot item. Want op al die apparaten die u op de werkvloer gebruikt, staan voor cybercriminelen massa’s interessante gegevens. En daar zouden ze graag misbruik van willen maken. Maar dan moeten ze die interessante gegevens nog wel eerst even te pakken zien te krijgen. En dat wilt u natuurlijk voorkomen. Ook uw apparatuur is voor digidieven interessant, want die staat vol met cruciale bedrijfsdata, inloggegevens, wachtwoorden, rekening- of creditcardnummers, relatiegegevens, en ga zo maar door. En die zijn onder digitale criminelen veel geld waard. Het schijnt dat er meer dan 100 miljard euro omgaat in de illegale handel in mailadressen en fraude met bankrekeningen en creditcards. Traditioneel Dus de traditionele hacker die het een sport vond om te proberen bij MI5 – de Britse geheime dienst van 007 – in te breken, en de principiële computerinbreker die misstanden of beveiligingslekken aan de kaak wil stellen, behoren ondertussen tot een behoorlijk kleine minderheid.
Het zijn vooral de ‘commerciële’ cybercriminelen die met de inzet van allerlei kwaadaardige hulpmiddelen toegang tot uw systemen, bestanden en gegevens proberen te krijgen.
13
Malware en Phishing
2.1 Omgeving
infrastructuur
lekkage
We worden ondertussen omringd door een gigantische digitale (infra)structuur achter automatiseringsverschijnselen als verbindings- en netwerkprotocollen of internet, en ook door ontwerpconcepten van software of besturingssystemen. Het is niet duidelijk of iemand daar nog het volledige overzicht over heeft – waarschijnlijk niet – maar in ieder geval is het duidelijk dat er meer kans is op mazen in het netwerk naarmate de structuur complexer is. Daarmee neemt ook de kans op lekkage en de bijbehorende veiligheidsrisico’s toe.
Kwetsbare plekken in de (infra)structuur van de ICT en in software – vooral in de programma’s die veel worden gebruikt in de digitale wereld – vormen belangrijke kansen voor cybercriminelen die daar doorheen kunnen prikken met hun boosaardige tools.
DNS TCP
BYOD
Daarbij worden ook belangrijke, betrouwbare en de facto geïnstitutionaliseerde concepten als DNS (‘domain name system’) of TCP (‘transmission control protocol’) geteisterd door digitale indringers met hun constante aanvallen of pogingen daartoe. Allemaal om uiteindelijk berichten te kunnen onderscheppen of manipuleren, de gebruiker te verleiden naar nepsites (met een hoop narigheid natuurlijk) te navigeren, of ‘gewoon’ om gegevens uit computersystemen te stelen. Eindgebruiker Vaak is de mens, oftewel de eindgebruiker, de zwakke schakel en die vormt dus een belangrijk doelwit waar de cybercriminelen zich op richten. Dat wordt ook steeds gemakkelijker voor hen, omdat die gebruikers steeds vaker ook op kantoor met eigen apparaten werken zoals laptops, tablets en smartphones. Dat verschijnsel heet BYOD (‘bring your
14
begrippen
own device’). Maar die eigen apparatuur is in de regel minder goed beschermd dan de door de werkgever beschikbaar gestelde hard- en software. Bovendien worden de eigen spullen gebruikt buiten de veilige muren van het bedrijfsgebouw, bijvoorbeeld thuis of in de openbare ruimte, waar de kansen op besmetting of andere narigheid natuurlijk veel groter zijn. En niet te vergeten gebruikt men de privéspullen ook om regelmatig en soms onveilig op allerlei sociale media zoals Facebook of LinkedIn rond te hangen, met alle gevaren die daar op de loer kunnen liggen van dien.
sociale media
De Cloud Een trend die op dit moment een belangrijke rol speelt is Cloud Computing. Steeds meer organisaties doen (deels) hun traditionele werkwijzen en automatiseringsmiddelen de deur uit, en vervangen die door producten en diensten van online providers. Dat heeft veel voordelen vooral met betrekking tot flexibiliteit en samenwerking, maar het houdt ook bepaalde risico’s in als alles via de digitale snelweg wordt gedeeld. Tenslotte moet alles worden verstuurd via potentieel onveilige verbindingen waarbij het mogelijk is dat cyberdieven de pakketjes onderscheppen.
cloud
2.2 Vormen De belangrijkste vormen van zulke kwaadaardige middelen komen in dit dossier uitgebreid aan de orde. Cybercriminelen gebruiken zoals gezegd veel van die vormen om zich toegang te verschaffen tot uw gegevens, zodat ze zich die kunnen toe-eigenen. Maar er zijn ook andere vormen die er puur op zijn gericht om u schade toe te brengen. De meest voorkomende vorm kent u vast en zeker wel, want daar is het ooit allemaal min of meer mee begonnen: het computervirus.
15
virus
Malware en Phishing
malware
Ondertussen zijn er echter heel wat varianten op dat thema en ook nieuwe verschijningsvormen. Daarom spreekt men tegenwoordig liever over malware als verzamelnaam voor al die vormen en varianten van kwaadaardig bedoelde scripts, software of methoden.
2.3 Malware
virus worm trojan DDoS SQL-injectie
De meeste definities van malware – een samentrekking van de Engelse woorden ‘malicious’ en ‘software’ – beschrijven de term als: een verzamelnaam voor schadelijke of kwaadaardige software. Daar kan dus een heleboel onder worden gerangschikt: van virussen, wormen of trojans tot (D)DoSscripts of SQL-injecties. Maar bijvoorbeeld ook keyloggers, phishing-mails of socialengineeringmethoden worden door sommigen als vorm van malware aangeduid. Daarover zo meteen meer.
Of u al die kretologie ook daadwerkelijk moet (her)kennen? U bent niet de enige, als u – zelfs als actieve pcgebruiker – ondertussen afgehaakt mocht zijn bij de ontdekking van weer een nieuwe variant. Toch is het niet onbelangrijk om op een of andere manier op de hoogte te blijven van alle mogelijke bedreigingen die tot u kunnen komen. Al was het maar om te onderzoeken of u er wel tegen beschermd bent. U wilt immers niet dat uw belangrijke gegevens zomaar in verkeerde handen vallen of op straat komen te liggen.
Programma’s om te voorkomen dat malware kan toeslaan worden weliswaar steeds beter, maar eigenlijk loopt die tak van de software-industrie altijd achter de feiten aan. Al zijn er tegenwoordig ook andere methoden die sommige nog niet ontdekte malware toch kunnen opsporen. En aan de andere kant worden de cybercriminelen steeds slimmer. Of doortrapter, want tegen sommige vormen van
16
begrippen
social engineering die bijvoorbeeld gebruikmaken van sluwbedachte misleiding zijn geen programma’s opgewassen. Ook dergelijke onderwerpen komen verderop nog nader aan de orde.
social engineering
Infection en Payload Omdat malware van elkaar verschilt in de wijze van verspreiding (‘infection’) en in de uitwerking die de kwaadaardige programmaatjes kunnen hebben (‘payload’), onderscheiden de bestrijders ze in bepaalde categorieën die ze familienamen, subgroepen en volgnummers hebben gegeven: bijvoorbeeld Trojan.Win32.CheckAll.2. Weliswaar wisselen veel antimalwareproducenten deze informatie met elkaar uit, maar toch gebruiken ze vaak hun eigen classificaties en namen. In dit dossier is ervoor gekozen om de malwaresoorten en de besmettingswijzen in twee aparte hoofdstukken te beschrijven.
infection payload
antimalware
2.4 Phishing Bij phishing gaat het meestal om pogingen uw gevoelige gegevens te stelen om er bijvoorbeeld vervolgens identiteitsfraude mee te plegen. Dat gebeurt niet alleen met kwaadaardige software, maar ook en vooral via misleidende mails of bepaalde andere vormen van social engineering. Daarom is het verschijnsel phishing zelf strikt genomen geen malware. Men noemt het meestal een vorm van internetfraude, waarbij slachtoffers worden misleid met bijna niet van echt te onderscheiden nepmails of nepsites. Vaak vindt het hengelen via de mail overigens wel plaats in combinatie met het verspreiden van malware. Bijvoorbeeld als er in zo’n bericht een hyperlink naar een malafide website wordt gebruikt waarop de nietsvermoedende geadresseerde moet klikken.
17
phishing identiteitsfraude
Malware en Phishing
social e ngineering
Social engineering Nog breder is het verschijnsel social engineering: want dat hoeft niet eens te gebeuren via computerapparatuur of met digitale berichten of documenten. Want ook via telefonisch of persoonlijk contact – en nog op heel veel andere manieren – kan een cybercrimineel gevoelige, vertrouwelijke of cruciale informatie over een organisatie of over personen proberen te ontfutselen aan zijn argeloze slachtoffers.
Er is van engineering sprake – in een sociale omgeving – omdat de kwaadwillenden de informatie die zij vergaren, proberen te interpreteren en combineren tot bruikbare gegevens. Bijvoorbeeld om iemands wachtwoord te raden is het handig als de naam van de partner of kinderen van een potentieel slachtoffer bekend zijn, omdat in de praktijk blijkt dat die namen vaak de basis van wachtwoorden vormen. Denk maar aan het beroemde voorbeeld uit de film War Games.
Vanwege de verschillen met het fenomeen malware bespreken we phishing en social engineering in dit dossier ook in aparte hoofdstukken.
18
3 Malware Nog lang niet iedereen heeft het als vanzelfsprekend over malware. Veel eindgebruikers spreken nog altijd over virussen als ze eigenlijk alle mogelijke vormen van ellende bedoelen. Maar malware omvat wel wat meer dan alleen virussen. In dit hoofdstuk een overzicht van de belangrijkste vormen van malware die u kunt tegenkomen. Of liever niet natuurlijk. Malware is de samentrekking van het Engelse ‘malicious software’, in het Nederlands te vertalen als: kwaadaardige programma’s. Voor alle softwarematige middelen en vormen die cybercriminelen gebruiken om hun illegale activiteiten of desastreuze werkzaamheden uit te voeren, gaat deze omschrijving min of meer op. Want het zijn uiteindelijk altijd programma’s die worden ontwikkeld om een illegale actie mee uit te voeren.
Beroepsgroep verdient goed En jawel, kwaadaardige programma’s moeten ook worden ontwikkeld, dus bestaat er ook nog zoiets als een beroepsgroep van programmeurs en ontwikkelaars in de malware-industrie. Het ‘beroep’ van malware-ontwikkelaar schijnt nog aardig te verdienen, en dat is ook niet zo vreemd gezien de gigantische hoeveelheden geld die er in de criminele digitale industrie omgaan.
19
malware
Malware en Phishing
3.1 Doel
wachtwoord
spam spionage
botnet
De meeste vormen van malware zijn ontwikkeld met een bepaald doel. Enkele voorbeelden van zulke doelen: ▪▪ Ongezien binnendringen in andermans computersysteem of (bedrijfs)netwerk; ▪▪ Het bestandssysteem of de opslagmedia doorzoeken op de aanwezigheid van gevoelige gegevens, loginnamen en wachtwoorden, creditcard- of bankrekeningnummers, et cetera (om die te stelen); ▪▪ Informatie verzamelen voor het versturen van gerichte reclame (meestal spam); ▪▪ Bedrijfsspionage; ▪▪ Opname in een dubieus netwerk (zonder dat het slachtoffer zich daarvan bewust is) om andere illegale activiteiten te faciliteren zoals spammen, illegaal uitwisselen van beschermd materiaal, en dergelijke (botnets); ▪▪ Het slachtoffer (een persoon of een organisatie) narigheid bezorgen, bijvoorbeeld door alles op de harde schijf te wissen. Dat lijstje kunt u vast en zeker zelf nog wel uitbreiden. Het laatstgenoemde doel is ook wel enigszins merkwaardig: want behalve dat u dit zou kunnen uitleggen als ‘iemand of een organisatie het werken onmogelijk maken’, is het nogal cru om alleen maar desastreus te willen zijn.
3.2 Virussen
virus
Toch was vooral het toebrengen van schade het belangrijkste doel van de eerste virussen: vernielen of in beslag nemen van schijfruimte, of misbruiken van kostbare computertijd en rekenkracht. Over het algemeen beschouwt men het virus ‘Brain’ dat door twee Pakistaanse broers werd geschreven in 1986 als het eerste computervirus, maar al in de jaren vijftig werd er door Bell Labs geëxperimenteerd met een spel waarbij de deelnemers elkaars computer moesten zien uit te schakelen met behulp van kwaadaardige programma’s.
20
malware
Het Brain-virus was gericht op IBM personal computers met het besturingssysteem DOS (Disk Operating System). Meer precies: op de bootsector van opslagmedia die volgens de DOS-methode waren geformatteerd. Virussen zijn over het algemeen nog altijd beperkt tot een bepaald besturingssysteem en meestal niet in staat om een andersoortig systeem te besmetten. Dat is ook de reden dat bijvoorbeeld veel A pple-gebruikers denken dat hun systemen niet geïnfecteerd kunnen raken door virussen die – in ieder geval op dit moment – merendeels zijn gericht op Windows-systemen.
DOS bootsector
Apple
Er zijn wel degelijk virussen (en andere malware) die ook op (mobiele) Apple-systemen hun kwaadaardige activiteiten kunnen ontplooien. Steeds vaker wordt ‘Appelaars’ aangeraden toch ook maar beschermingsprogramma’s tegen malware te installeren. Misschien behoort u ook wel bij die groep als u gebruiker bent van een iPhone of iPad.
Zichzelf kopiëren Een speciale eigenschap van een virus is dat het programmaatje of stukje programmacode – want het kan ook verschijnen in de vorm van een applet, plug-in, macro of script – na activering zichzelf kan kopiëren en zich dan aan andere bestanden kan hechten. Vanwege deze eigenschap spreekt men van een besmetting door een virus: het kwaadaardige stukje software vermenigvuldigt zichzelf en kan zich op een heel systeem, in een netwerk of zelfs via internet verspreiden. Daarover meer in het volgende hoofdstuk. Schade De kwaadaardige handelingen of activiteiten die een virus op uw computer via het ongevraagd gebruiken van uw systeembronnen kan uitvoeren, kunnen verschillende gevolgen hebben. Dat kunt u al afleiden uit het lijstje met doelen
21
applet plug-in macro script
systeem bronnen
Malware en Phishing
bootsector
bestandsvirus
bootvirus opstartsector
macrovirus macro
mailvirus
hiervoor. Sommige virussen wissen of beschadigen uw bestanden, andere kopiëren van alles en nog wat naar malafide locaties buiten uw systeem, weer andere belasten uw systeem zodanig dat normaal werken niet meer mogelijk is of dat de computer crasht, et cetera. Met name virussen die zich in de bootsector (de opstartsector) van een harde schijf of in de startprocedure van het besturingssysteem of andere software nestelen, zijn vervelend en ook vaak lastig te verwijderen. Feitelijk is natuurlijk elke vorm van besmetting vervelend en in meer of mindere mate schadelijk. Vormen Er bestaan verschillende vormen en varianten van virussen, waarvan de belangrijkste zijn: ▪▪ Bestandsvirus Wordt ook wel computervirus of gewoon virus genoemd. Het is een (aangehecht) onderdeel van een bestand van een bepaald type of het vormt zelf een bestand. ▪▪ Bootvirus Deze variant verschanst zich in de opstartsector van een (harde) schijf waar het systeem zijn boot- of opstartgegevens ophaalt. Daar staat belangrijke informatie over de bestandsstructuur en eventuele startprocedures, en de schade die daar kan ontstaan heeft meestal desastreuze gevolgen. ▪▪ Macrovirus Virus dat zich kan verspreiden via macro’s. Die worden nu eenmaal ook geprogrammeerd met code, dus kan daar ook kwaadaardige code in worden toegepast. Macrovirussen worden vaak verspreid via Word-documenten, maar soms ook via Excel of andere programma’s waarin macrotalen kunnen worden gebruikt. ▪▪ Mailvirus Ze worden nog altijd gebruikt: virussen die zichzelf aan een e-mailbericht kunnen hechten en zich op die manier op grote schaal kunnen verspreiden. Omdat deze vorm ook voor de internetproviders behoorlijk gevaarlijk is,
22
malware
wordt de meeste narigheid al onderschept in de datacentra op de servers van de providers. ▪▪ Mobiel virus Richt zijn pijlen op mobiele (besturings)software op apparaten zoals tablets en smartphones. Verder zijn er nog enkele varianten zoals het tijdbomvirus (laat de kwalijke activiteiten op een bepaalde datum starten, 1 april en vrijdag de 13e zijn daarbij natuurlijk erg populair), de logische bom (wordt actief als een bepaalde situatie op het besmette systeem van toepassing is of wordt), of het kaasschaafvirus (verwijdert steeds een klein deel van een programma of gegevensbestand, net zolang totdat het op een bepaald moment niet meer kan worden gebruikt).
mobiel virus
tijdbomvirus
logische bom kaasschaafvirus
Wees alert als medewerkers uw organisatie verlaten: als dat is vanwege redenen die zij niet zelf hebben bedacht of veroorzaakt, kunnen ze uit zijn op wraak. Het gebeurt regelmatig dat een ontslagen medewerker een tijdbom plaatst op het systeem dat hij moet achterlaten. Dat kan trouwens net zo goed als een ex-medewerker bij uw concurrent is gaan werken.
3.3 Wormen Veel deskundigen en gebruikers rekenen ook wormen en soms ook trojans (‘trojaanse paarden’) en verschillende vormen van ad- en spyware tot de virussen. Dat komt waarschijnlijk doordat een worm ook wel ‘wormvirus’ wordt genoemd. Ze zijn ook zeker verwant. Een worm(virus) komt normaliter mee met een e-mailbericht, maar ook andere verspreidingsmethoden komen voor. De worm kan zich zelfstandig toegang verschaffen tot uw adresboek(en) met contactpersonen om die gegevens te stelen, of om zichzelf via de aangetroffen adressen verder te verspreiden.
23
worm trojan adware spyware
Malware en Phishing
DDoS
Een verschil met reguliere virussen is dat wormen niet geactiveerd behoeven te zijn door de gebruiker om zichzelf te kunnen vermenigvuldigen. Ze kunnen dus zonder menselijke tussenkomst bestanden, programma’s of systemen besmetten. Dat maakt ze uitermate geschikt om op afstand een bepaalde server of programma stil te leggen of om een enorme DDoSaanval (‘distributed denial of service’) te creëren. Waarmee het slachtoffer gigantische schade wordt toegebracht. Verderop in dit dossier is er nog nadere aandacht voor dit verschijnsel.
3.4 Trojans trojan
Trojaanse paarden (‘trojan horses’ of afgekort ‘trojans’) dringen zo mogelijk nog onopvallender dan wormen uw systeem binnen en duiken meteen onder. In alle heimelijkheid proberen ze dan een of meer poorten van uw systeem open te zetten waardoor hun ‘vrienden’ binnen kunnen komen. Dit verschijnsel heeft zijn naam natuurlijk niet voor niets te danken aan het beroemde verhaal uit de Griekse mythologie. Net zo goed als op deze manier kwaadaardige software uw systeem kan binnendringen, kunnen ook uw belangrijke of cruciale gegevens door de geopende poort(en) in uw (netwerk)systeem naar malafide opslaglocaties van de cybercriminelen worden verstuurd.
Men noemt een trojan of malware die daarop lijkt ook wel ‘backdoor’ (achterdeur). Oorspronkelijk was dat letterlijk een soort achterdeurtje in een systeem of programma waarlangs de programmeur altijd nog in de broncode kon komen, ook als die op andermans computer was geïnstalleerd.
firewall
Een van de gevaarlijkste eigenschappen van een trojan is dat die in staat is om uw antimalwareprogramma’s of firewall uit te schakelen. Mede door deze mogelijkheid is ook deze vorm van malware lastig op te sporen en te verwijderen.
24
malware
3.5 Scripts Alle malware-vormen die hierboven zijn besproken, zijn uiteindelijk een soort script: ze bestaan uit code- of programmaregels. En die worden uitgevoerd zonder dat u het weet of wilt. Er zijn nog meer scriptvormen die u vanwege het doel waarvoor ze zijn geschreven, ook tot de malware kunt rekenen. Enkele voorbeelden: ▪▪ HTML-scripts Op webpagina’s hebben bonafide ontwerpers met bijvoorbeeld PHP-script of JavaScript van alles en nog wat geregeld. Maar omdat die scripts gekoppeld zijn aan de webpagina en zonder een specifieke actie van de bezoeker kunnen worden uitgevoerd (die haalt de webpagina alleen op in zijn browser), zijn ze ook populair bij malware-ontwerpers. Daarom moet u altijd oppassen met het volgen van (twijfelachtige) hyperlinks in websites of zelfs in HTML-vormgegeven e-mail. Want de webpagina’s die u opent, kunnen kwaadaardige scripts bevatten en die direct uitvoeren. ▪▪ SQL-injectie Omdat de opvraagtaal SQL (‘structured query language’) ook een scriptvorm is, kan er kwaadaardige code losgelaten worden op databases met belangrijke of gevoelige (bedrijfs)gegevens. ▪▪ XSS Aanduiding voor ‘cross-site scripting’. Hierbij kunnen beveiligingslekken – meestal onnauwkeurigheden in gegevensvalidatie van cookies, webadressen, request parameters, en dergelijke – in webapplicaties worden misbruikt om kwaadaardige code binnen te loodsen waarmee de cookies van het slachtoffer kunnen worden bekeken, of zelfs de hele surfsessie kan worden overgenomen. ▪▪ Rootkits Een heel gevaarlijke scriptvariant is de rootkit die – eenmaal binnengedrongen via een achterdeur of trojan – zelfs in staat is om systeemprocessen in de kern van het
25
script
HTML-script
SQL-injectie
XSS
cookie
rootkits
Malware en Phishing
besturingssysteem (kernel) en het interne werkgeheugen te manipuleren of te beschadigen. Door die macht over de systeemprocessen is het heel moeilijk om de kwaadaardige scripts te verwijderen zonder het besturingssysteem zelf te beschadigen. Als u ze tenminste al kunt vinden, want de scripts uit zo’n rootkit-pakket weten zich goed te verbergen. Vaak is volledig opnieuw installeren van de besturingssoftware op een schoon geformatteerde harde schijf de enige oplossing om van de rootkit af te komen.
3.6 Overige malware
keylogger
crimeware
Er zijn nog meer vormen van malware en ook duiken er regelmatig nieuwe varianten op. Een kort overzicht. ▪▪ Keyloggers Velen rekenen softwarematige keyloggers tot de malware: dat zijn namelijk programma’s die via een achterdeurtje zijn binnengeloodst om de toetsaanslagen van de gebruiker van de computer te registreren. Zo kan men belangrijke gegevens, rekeningnummers, pincodes of wachtwoorden van de gebruiker te weten komen. ▪▪ Crimeware De keyloggers worden ook vaak gecategoriseerd als ‘crimeware’. Daarmee bedoelt men over het algemeen kwaadaardige software die specifiek bedoeld is om het de cybercrimineel gemakkelijker te maken of bepaalde (criminele) processen te automatiseren.
Dialers Vroeger waren er dialers, programma’s die de inbelverbinding voor internet stiekem via een duur buitenlands telefoonnummer lieten verlopen. Deze malware komt nauwelijks meer voor, in ieder geval niet in Nederland waar bijna iedereen over een breedbandinternetverbinding beschikt.
dialer
26
malware
Als u in het buitenland internetverbinding maakt via een mobiele telefoon, kunnen daar hoge kosten aan verbonden zijn vanwege roaming (het doorgeven van uw draadloze verbinding door andere providers). Mocht u dat niet in uw abonnement of met een maximum hebben geregeld, probeer dat dan te vermijden. In dit soort situaties kunt u ook beter nog steeds alert zijn op dialers.
Moderne en andere voorbeelden van crimeware zijn wachtwoordkraakprogramma’s, inlog(test)programma’s, skim mingsoftware (die een valse inlogpagina toont bij internetbankieren), en dergelijke. ▪▪ Adware Om allerlei redenen zou u ook adware (‘advertentiebevattende of ondersteunende software’) toe kunnen voegen aan de malwarelijst. Dit soort minder desastreuze, maar minstens zo irritante software kan immers ook gebruikmaken van trojans en backdoors om bij u binnen te dringen en u ongevraagd met allerlei reclameboodschappen te bestoken. En wat ze tijdens de verspreiding van die advertenties tegenkomen aan gegevens of adressen, steken ze vaak gewetenloos in hun binnenzak om die data later weer door te verkopen aan andere spammers of cybercriminelen. Dat ze bij al die reclame-activiteiten toevallig ook nog schade aan uw systeem berokkenen of de computer danig vertragen, zal ze een worst wezen. ▪▪ Spyware Een ronduit criminele variant van malware is spyware (‘spionagesoftware’) waarmee meestal de concurrentie probeert bedrijfsgeheimen of cruciale (markt)gegevens van andere organisaties te stelen. Meestal proberen dergelijke malwareproducten zich zo lang mogelijk schuil te houden om zo veel mogelijk geheimen te kunnen roven. In sommige gevallen bevat de spyware een logische bom die bij ontdekking afgaat om de concurrentie te treffen.
27
wachtwoord
adware
trojan backdoor
spyware spionage
logische bom
Malware en Phishing
Shareware Wees voorzichtig met het downloaden van free- en vooral shareware, programma’s die gratis ter beschikking worden gesteld op allerlei websites, vaak in ruil voor advertenties. Soms is dat alleen om de ontwikkelkosten te dekken en heeft het programma niet het doel om u schade toe te brengen. De makers hopen natuurlijk dat u toch liever een licentie van het sharewareprogramma of een professionele variant van de gratis freeware aanschaft om van de vervelende of herhalende advertenties, pop-ups of watermerken verlost te raken. Maar u weet nooit helemaal zeker of deze vorm van adware niet toch spyware blijkt te zijn die uw adresgegevens steelt en doorgeeft aan partijen die u nog veel meer reclame willen sturen. Of erger nog: die wél kwaad in de zin hebben.
freeware shareware
stealthware
▪▪ Stealthware of stealth virus Stealth malware is zo ingenieus geconstrueerd dat het zijn aanwezigheid voor bestrijdings- of beschermingssoftware kan verbergen. Het houdt daarvoor een ‘schone’ kopie van het besmette bestand achter de hand om dat te laten zien als een malwarescanner langskomt om het bestand te onderzoeken.
cookie
Cookie erbij? Bij de marketing- en spionageactiviteiten van ad- en spyware zijn vaak cookies betrokken. Veel websites laten deze onbeveiligde platte tekstbestandjes na uw bezoek achter op uw systeem op een bepaalde locatie. Bij een volgend bezoek leest zo’n website die informatie weer in en kan u dan direct toegang verschaffen, begroeten met uw naam of in uw taal, of aanbiedingen doen naar aanleiding van uw voorkeuren.
28
malware
Die cookies bevatten dus gevoelige gegevens zoals uw emailadres, inlognaam, toegangscode of creditcardnummer, en dat kunnen ook heel persoonlijke zaken zijn. Vandaar de huidige ophef over het gebruik ervan tegen het licht van de privacy. Op dit moment moet u eerst toestemming geven voordat een website een cookie op uw systeem mag plaatsen.
Behalve ‘gewone’ cookies zijn vooral de ‘tracking cookies’ gevaarlijk: die bewaren informatie over uw surfgedrag. Daardoor lijken ze op ad- of spyware en worden ze meestal als ‘kwaadaardige’ objecten aangemerkt door de antimalwareprogramma’s.
3.7 Hoax Soms is nep ook echt nep, en blijkt een virus- of malwaremelding of een beveiligingswaarschuwing een hoax te zijn. Dit woord – waarschijnlijk een verkorting van de kreet ‘hocus pocus’ – wordt in de Engelstalige wereld gebruikt voor nep, trucje of poets, maar meestal wel met een zweem van oplichterij. Zo is het ook de benaming geworden voor malware die geen malware is. Meestal gaat het om een valse melding die via e-mail wordt verspreid. Soms is dat om te checken of men wel alert is op mogelijke beveiligingsrisico’s, maar in veel gevallen alleen maar om onrust of paniek te zaaien of aandacht te vragen voor een bepaalde zaak.
Meestal wordt in een hoax-bericht gevraagd de melding aan zo veel mogelijk anderen door te sturen. Als u dus zo’n verzoek aantreft in een mail, wees dan dubbel alert. Kijk enerzijds of het niet alleen een hoax is waarmee u anderen niet wilt belasten, maar anderzijds ook of u daarmee niet uw contactpersonen weggeeft aan potentiële spammers.
29
hoax
Malware en Phishing
Het verspreiden van een hoax kan soms verstrekkende gevolgen hebben, bijvoorbeeld als melding is gemaakt van een schadelijk bestand dat in werkelijkheid gewoon onderdeel is van het besturingssysteem. De hoax roept op om het bestand te verwijderen, waarna het besturingssysteem niet meer werkt (is echt gebeurd). In sommige gevallen is een hoax zelfs strafbaar, bijvoorbeeld als deze misbruikt wordt voor het verzamelen van adressen of gegevens, aanzet tot strafbare feiten of schadelijke activiteiten, et cetera.
30
4 Besmetting Nu u weet wat malware is, is de volgende vraag natuurlijk: hoe komt u met al die ellende in aanraking? In dit hoofdstuk vindt u daarom een overzicht van de belangrijkste manieren waarop de diverse soorten malware zich kunnen verspreiden, en waar en hoe u ermee te maken kunt krijgen of zelfs een besmetting kunt oplopen. Het uiteindelijke doel is dat u een infectie kunt voorkomen, als u de gevaarlijke situaties (her)kent. Stel, u haalt een nieuwe computer uit de doos, zet alles op de juiste manier in elkaar volgens de ‘aan de slag’ instructies, en laat vervolgens na de eerste inschakeling de meegeleverde software automatisch installeren. U maakt nog geen verbinding met internet, al wordt u dat in de handleiding wel geadviseerd om de laatste updates van de software op te halen. Maar u geeft er de voorkeur aan om de status van het systeem zoals het uit de doos is gekomen vast te leggen in een imagebestand. Voor het geval u nog eens wilt terugkeren naar die ‘fabrieksinstellingen’. Wat denkt u: in ieder geval vrij van malware dus?
update
image
4.1 Bronnen Strikt genomen heeft u in bovenstaande situatie de grootste kans dat uw systeem nog geheel vrij is van enige vorm van malware. Als u geen verbinding heeft gemaakt met internet, en ook geen geheugenmedia zoals externe harde schijven, usb-sticks of memorycards aan het systeem heeft gekoppeld, is er nog geen contact geweest met mogelijke besmettingsbronnen van malware.
31
besmettingsbron
Malware en Phishing
spyware
Bovendien is de kans klein dat u nu net zo’n systeem heeft getroffen met een in een duister Aziatisch landje geproduceerde ingebouwde harde schijf met daarop een voorgeïnstalleerd stukje spyware. Dat is wel echt gebeurd: nieuwe systemen die werden uitgeleverd met geïnfecteerde harde schijven.
Het in omloop brengen van een virus of andere malware is in Nederland en België bij wet verboden. Het is zelfs een misdrijf waar hoge boetes en straffen op staan. Niet dat zoiets de echte cybercrimineel tegen kan houden; vergelijk het maar met analoge diefstal of vernieling. Maar het kan ook op u van toepassing worden als u ‘per ongeluk’ of ‘onwetend’ de verspreider van malware bent geworden. Er zijn diverse gevallen bekend van organisaties die hun beveiliging verwijtbaar niet in orde hadden en daardoor zelf een nieuwe besmettingshaard vormden. Wees ook voorzichtig met dubieuze handelingen met goede bedoelingen: hacken om de veiligheid van systemen te testen wordt niet altijd door de rechter als handelen ‘te goeder trouw’ uitgelegd, maar als computervredebreuk.
4.1.1 Media Veel malware kan zich verspreiden via verwisselbare opslagmedia media zoals disks, sticks of cards. Dat was in de begindagen van de computervirussen zelfs het belangrijkste kanaal voor verspreiding. Uiteindelijk vindt besmetting door malware bijna altijd plaats op een bepaalde opslaglocatie, bijvoorbeeld ergens op de harde schijf waarmee de computer opstart. Daarna kan de kwaadaardige code zich ook richten op (of verspreiden naar) andere delen in de computer zoals het interne geheuBIOS gen of de BIOS-chip. Hoe ver dat in sommige gevallen kan gaan, leest u in dit hoofdstuk in diverse voorbeelden.
32
besmetting
4.1.2 Netwerken Ondertussen geeft koppeling aan netwerken en internet een veel grotere kans op verspreiding van malware. Want steeds vaker bewaart men gegevens en bestanden op de servers in server de datacenters van het bedrijf of in de cloud. Daar komt dus cloud veel up- en downloaden bij kijken en bij elke verzending is er kans op contact met narigheid.
Ook e-mail is al langere tijd een belangrijk transportmiddel voor malware, en voor de bedenkers van veel narigheid is de mail meestal het uitgangspunt om een verspreiding te beginnen.
Verder kan in principe elke willekeurige webpagina gelden als bron van een infectie, als daar bijvoorbeeld automatisch kwaadaardige scripts worden uitgevoerd bij het ophalen van die pagina. Dat was bijvoorbeeld het geval met dubieuze peer-to-peer (‘p2p’) netwerken als KaZaA waar allerlei bestanden illegaal werden uitgewisseld.
script peer-to-peer P2P
In principe kan de uitvoering van kwaadaardige code worden gekoppeld aan elk element van een webpagina. Dat betekent dat u ook in chatsessies, bij bezoeken aan sociale netwerksites of p2p-netwerken in aanraking kunt komen met malware.
Daarnaast weten cybercriminelen zich hoog te nestelen in de resultatenlijsten van zoekmachines zoals Google naar aanleiding van populaire zoektermen. McAfee ontdekte bijvoorbeeld dat zoekwoorden als ‘screensaver’ of ‘lyrics’ bij meer dan de helft van de resultaten naar risicovolle webpagina’s verwezen. Hierop was malware, adware of spyware te vinden in de een of andere vorm.
33
adware spyware
Malware en Phishing
Typo-sites Er worden nog al eens typefoutjes gemaakt bij het intypen van een webadres in de browser. Sommige fouten worden vaker gemaakt dan andere, en die typevariaties bestaan dan ook vaak als een eigen webdomein. Men noemt dat typosquatting of URL hijacking: een typo-site van bijvoorbeeld ‘microsoft.com’ zou ‘mircosoft.com’ kunnen zijn. In veel gevallen zijn die webadressen met typefoutjes in handen van de eigenaar van de oorspronkelijke website, zodat een surfer toch bij hem terechtkomt als die een typefout maakt. Maar soms heeft de concurrentie de typo-sites al als domein geregistreerd. Of nog erger: die domeinnamen zijn in handen gevallen van cybercriminelen. Die zetten daar een natuurgetrouw nagemaakte nepsite neer waar heel wat tikfoutmakers met twee vingers intuinen en zonder argwaan al hun inlognamen en wachtwoorden intypen.
typosquatting URL hijacking
worm poort
Vooral wormen proberen binnen te dringen via een onbewaakte, slecht beveiligde of noodzakelijk openstaande internet- of netwerkpoort. Soms komen ze uw organisatie binnen via besmette pc’s of laptops van andere medewerkers, vooral in de buitendienst, die ze op een bepaald moment koppelen aan het bedrijfsnetwerk. De eigenschap dat wormen zichzelf kunnen vermenigvuldigen, wordt op dat moment aangewend om de malware te verspreiden.
4.1.3 Mobiel Een relatief nieuw kanaal waarlangs malware zich kan verspreiden is mobiele hard- en software. Want hoe populairder smartphones en tablets worden, des te interessanter zijn ze voor de cybercriminelen als transportkanaal voor hun malware.
34
besmetting
Ondertussen zijn er al heel wat virussen en andere malware aangetroffen in de webwinkels voor mobiele platformen zoals de Apple App Store en de Google Play Store.
App Store Play Store
Find and Call Een voorbeeld van een mobiele trojan die vorig jaar vooral in Rusland hevig woedde was Fidall.a (in de varianten Trojan.AndroidOS.Fidall.a en Trojan.IphoneOS.Fidall.a). Deze malafide app was zowel in de App Store (Apple) als de Play Store (Google) te downloaden. Het programma werd aangeboden als hulpje om snel (verkort) iemand te kunnen bellen, en deed zich dan ook voor als een volkomen legitieme VoIP-client die – natuurlijk – toegang moet krijgen tot het adresboek van de eigenaar. Maar eenmaal geïnstalleerd kopieerde het programma ook alle gegevens van de contactpersonen van de gebruiker van de smartphone, en stuurde die naar een server van cybercriminelen. Die gebruikten de gegevens weer om te spammen via sms’jes aan de geoogste telefoonnummers. Nu is deze vorm van malware die voornamelijk gericht is op spammen relatief onschuldig, maar het blijft malware. De apps zijn inmiddels gelukkig uit beide webwinkels verwijderd!
trojan
VoIP
spam
Het is geen overbodige luxe om ook uw mobiele apparatuur te voorzien van beschermingssoftware. Een groot probleem is namelijk – zoals u in bovenstaand voorbeeld kunt zien – dat mobiele apps zich allerlei rechten toekennen op het apparaat: bijvoorbeeld vrij gebruik van de internetverbinding, toegang tot het adresboek en het logboek, en nog veel meer. U begrijpt wel dat zoiets gevaarlijke situaties kan opleveren als u die rechten verleent aan een willekeurige applicatie.
35
rechten
Malware en Phishing
Kijk bij het downloaden en installeren van een app altijd welke rechten het programma zich wil toe-eigenen. Maak de overweging of het verlenen van belangrijke rechten opweegt tegen de functionaliteit van het programma dat u wilt installeren.
QR-barcode
bluetooth
MMS
Het kan u soms wel voor lastige keuzes stellen of u rechten wilt afstaan aan een app – en zo ja welke – want zelfs een eenvoudige QR-barcodescanner voor uw smartphone vraagt al toegang tot uw adresboek en locaties. Waarom in hemelsnaam? Maar dat is nu eenmaal zo bij sommige apps. Dat geldt overigens net zo goed voor apps of programma’s van bekende namen, die u waarschijnlijk als betrouwbare uitgever van de software beschouwt. Ook zij eigenen zich rechten op uw mobiele apparatuur toe, waarbij het maar de vraag is waarom u die toestemming zou moeten geven. Verspreiding Mobiele malware kunt u tegenkomen als u verbinding heeft met (mobiel) internet, want net als met andere malware kan contact met een malafide website al genoeg zijn om uw tablet of smartphone te besmetten. Maar ook infectie van apparaat tot apparaat kan voorkomen via een andere verbinding, namelijk bluetooth. Via dit communicatieprotocol voor de korte afstand kan een mobiel virus in de directe omgeving op zoek gaan naar andere apparaten – liefst met weinig of geen bescherming natuurlijk – die vatbaar zijn voor besmetting en zich zo razendsnel verspreiden. Ook verspreiding via mms (‘multimedia messaging service’, een opvolger van sms die multimedia kan bevatten) is mogelijk: in plaats van een clip of foto stuurt de cybercrimineel dan de malware mee in de bijlage.
4.1.4 In het wild Het eerder beschreven geval van het mobiele Trojaanse paard was min of meer de eerste keer dat ook de mobiele
36
besmetting
Apple-wereld werd bedreigd. En zodra de malware was ontdekt door meerdere bestrijders en bevestigd door meerdere bronnen, en vastgesteld was dat het ook daadwerkelijk om malware ging – en niet om een programmeerfoutje (‘bug’) zoals een van de app-ontwikkelaars van Find and Call verklaarde – konden er maatregelen worden genomen. Gedurende de tijd die er overheen gaat alvorens er een remedie is tegen een geval van malware, spreekt men wel over ‘malware in het wild’. Vaak betreft het toevallige ontdekkingen van verdachte processen of gedragingen van software, en dat hoeven dan nog niet eens direct virussen of andere malware te zijn. Soms is het juist een complex kwaadaardig programma dat zich heel goed kan camoufleren.
bug
In het wild Een gevaarlijk, maar op een beperkte doelgroep gericht stukje malware heeft lang ongestoord rond kunnen waren, voordat het werd ontdekt. Omdat het was gericht op verstoring van enkele Iraanse (overheids)organisaties op het gebied van de olie-export, was het zodanig geconstrueerd dat het zich goed kon verbergen. Het betrof een trojan (backdoor) met wormachtige kenmerken waardoor het zichzelf kon vermenigvuldigen. Pas toen de malware opdook in andere landen, gingen er enkele alarmbellen af. En dan nog pas na enige tijd, want de grootte van het kwaadaardig programma van zo’n 20 MB paste in geen enkel profiel van tot dan toe bekende malware. Uiteindelijke ontdekker Kaspersky schat dat deze Worm. Win32.Flame wel twee jaar onontdekt in het wild gegevens heeft kunnen verzamelen, toetsaanslagen uitlezen, screenshots maken, en zelfs geluidsopnamen. En misschien nog wel langer, want er bestaan vermoedens dat er ook een eerdere versie is geweest van deze trojan. Maar daarover zijn geen gegevens bekend.
backdoor
37
Malware en Phishing
signatuur
Pas als iedereen ervan overtuigd is dat het bij een ontdekte onregelmatigheid om malware gaat, wordt de signatuur (malwaredefinitie) ervan bepaald, en kan er in de laboratoria van de antimalwareindustrie een medicijn worden bedacht tegen de narigheid. Maar voor het zover is, kan de malware dus (soms lange tijd) vrij rondzwerven op internet zonder dat er een remedie is, en veel schade aanrichten.
4.2 Infectie besmettingsbron
e-mail
logische bom
Ook al maakt u contact met bronnen van besmetting, dan wil dit nog niet zeggen dat u dan ook direct een infectie oploopt. Bij diverse vormen van malware vindt besmetting pas plaats als u daar eerst zelf een handeling voor verricht. Bij verspreiding via e-mail kan dat bijvoorbeeld door het openen van een bijlage, het volgen van een hyperlink naar een besmette webpagina, of iets dergelijks. In deze gevallen is de malware nog niet aangekomen op uw systeem, en zorgt uw handeling voor het downloaden ervan. Andere malware vormen kunnen zelf binnendringen en zich nestelen op bepaalde plaatsen in uw systeem of netwerk. Ontdekt Zodra een kwaadaardig programma eenmaal is doorgedrongen tot een opslaglocatie in uw systeem, kan het actief worden, mits het niet wordt ontdekt door geïnstalleerde beschermingssoftware. Maar dat hoeft niet per se. Het stukje malware kan zich ook lange tijd verschuilen: lang onontdekt blijven kan inherent zijn aan het soort malware dat de infectie veroorzaakt. Bijvoorbeeld een logische (tijd)bom is afhankelijk van een gebeurtenis of tijdsmoment om aan het ‘werk’ te gaan. Ook andere vormen van malware zijn niet altijd direct operationeel of volledig verwoestend. Bijvoorbeeld omdat ze zich in eerste instantie zo veel mogelijk willen reproduceren. Vanaf het moment dat een besmetting plaatsvindt, kan er in principe van alles gebeuren. Malware-ontwikkelaars worden steeds sluwer: hun kwaadaardige programmaatjes en scripts weten steeds beter te
38
besmetting
ontsnappen aan de beschermings- en bestrijdingssoftware. En de malware zelf wordt ook krachtiger bij het uitvoeren van aanvallen op andere software. In de kaders hieronder kunt u er enkele voorbeelden van lezen. Tijdens die ‘incubatietijd’ liggen er natuurlijk kansen voor bestrijdingssoftware. Maar daarover meer in een later hoofdstuk.
incubatietijd
Monopolistisch typetje Vorig jaar dook er een trojan op die in eerste instantie ‘gewoon’ op zoek ging naar inloggegevens en wachtwoorden van bankaccounts om die naar de cybercriminele thuisbasis te sturen. Maar vervolgens downloadde het script zelf extra malware met als doel uiteindelijk het hele systeem van de gebruiker over te nemen, en op te nemen in een botnet. Daarbij gebruikte de malware een nog niet eerder vertoond kunstje: eventueel andere aanwezige bots werden opgespoord en vernietigd, zodat het als enige op het systeem actief was en optimaal van de systeembronnen kon profiteren.
trojan
botnet bot systeem bronnen
De manier waarop de gebruiker van het voorbeeld in het kader besmet was geraakt, wordt veel gebruikt: via een phishingmail. Het betrof hier een valse koopbevestiging uit een webwinkel die er geloofwaardig uitzag, met een link eraan om de pdf van de order te bekijken. Het slachtoffer dat geen producten had aangeschaft bij deze webwinkel, klikte nietsvermoedend op het pictogram van de pdf met de vermeende aankoop om de gegevens te verzamelen voor een eventueel protest bij de winkel. Maar toen was het leed natuurlijk al geschied. Het was namelijk geen gewone pdf, maar malware met de uiterlijke verschijning van een pdf. Het verschijnsel phishing komt in een later hoofdstuk nog uitgebreid aan de orde.
39
phishing
Malware en Phishing
Vermommend typetje De trojan in het voorbeeld hierboven wist door te dringen in het systeem doordat zich achter het pdf-masker een executable bestand verschool dat een registersleutel genereerde met de naam ‘Windows Defender’. Hierdoor werden de beschermende programma’s misleid omdat dat een legitieme sleutel zou kunnen zijn. Het script paste daarnaast zelfs de waarden en instellingen aan in de registersleutels van de geïnstalleerde firewall zodat die kon worden omzeild.
executable register script firewall
Register Omdat de malware zich nu in het register had genesteld, werd die vermomming geactiveerd elke keer dat de machine opstartte, en daarmee was in feite de firewall dus uitgeschakeld.
systeemproces
bestands uitgang
wisselbestand
De firma (cyber)list en bedrog kan nog veel inventiever zijn om ontdekking te voorkomen. Enkele manieren waarop eventueel geïnstalleerde beschermingssoftware misleid kan worden: ▪▪ De malware wordt niet op het systeem als apart proces gestart, maar als onderdeel van een al draaiend proces dat de beschermingssoftware niet als verdacht beschouwt. ▪▪ De malware neemt tijdelijk een andere verschijningsvorm aan (meestal een valse bestandsuitgang, maar ook andere vermommingen komen voor), waardoor een malwarescanner eraan voorbijgaat (zie ook het voorbeeld in het kader hierboven). ▪▪ Om de scanner te ontlopen, nestelt de malware zich tijdens de controlescan op een tijdelijke geheugenlocatie, bijvoorbeeld het intern geheugen of het wisselbestand van Windows. Daarna keert het weer terug op de ingenomen positie (zie ook het volgende kader).
40
besmetting
Terugkerend typetje Vorig jaar september werd malware ontdekt die zich bediende van de techniek om zich te verstoppen in het tijdelijk geheugen. Daarbij verwijderde het programma alle sporen en registerverwijzingen naar zichzelf.
register
Opstart Normaliter zou de malware dan een nieuwe opstart van de computer niet overleven, maar in dit geval kaapte de malware ook de shutdown-procedure waardoor vlak voor de daadwerkelijke afsluiting alle bestanden en (register)verwijzingen naar de malware weer werden teruggezet.
shutdown
Zelfs aanvallen op een systeem achter de firewall op de beschermingssoftware zelf worden door de malware-schrijvers niet geschuwd. Vooral het bootvirus (zie kader op de volgende pagina) is daarvoor een belangrijk hulpmiddel, omdat die belangrijke startprocedures – bijvoorbeeld voor de bescherming tegen of de bestrijding van malware – kan onderscheppen nog voordat ze geactiveerd worden door het besturingssysteem.
firewall bootvirus
phishing
Phishing en social engineering
social engineering
Er zijn nog verschillende andere methoden en technieken die cybercriminelen en vooral hackers inzetten om een systeem te besmetten met malware. Vaak is dat een bepaalde vorm van phishing of social engineering, met als enige doel malware naar binnen te loodsen. Daarbij wordt dus een manier gezocht om de beschermende maatregelen van het potentiële slachtoffer te omzeilen. Daarover meer in de volgende hoofdstukken.
41
Malware en Phishing
Vasthoudend typetje Een bootvirus is een bijzonder gevaarlijk stukje malware dat zich in de opstartsector van een schijf (master boot record) verschanst, zichzelf meestal vlak na het opstarten direct kopieert naar het werkgeheugen en vandaaruit probeert het opstarten van malwarescanners of andere beschermingssoftware te voorkomen. Dat is vaak succesvol, want door zijn gebruik van het tijdelijke geheugen is een bootvirus bijna niet te verwijderen. Als u het al in de gaten heeft, is het in sommige gevallen nog mogelijk de pc (misschien zelfs nog wel in veilige modus) op te starten vanaf een extern medium. Maar in ernstiger gevallen is zelfs dat niet meer mogelijk. Zelfs als u het bootvirus weet te vangen en (schijnbaar) onschadelijk weet te maken, blijkt het meestal toch niet direct uit de opstartsector te verwijderen te zijn. En dat betekent dan meestal dat de volgende opstart wederom het virus activeert.
bootvirus opstartsector
veilige modus
4.3 Risico’s
continuïteit
Als u besmet bent geraakt, loopt u het risico dat uw belangrijke en gevoelige gegevens worden gestolen en doorgeseind naar cybercriminelen die daar van alles (kwaads) mee kunnen uitrichten. Denk aan internetaankopen op uw credit card, overschrijvingen via uw internetbankprogramma, maar ook aan het prijsgeven van bedrijfsgeheimen, het chanteren van belangrijke functionarissen in uw organisatie, reputatieschade, en dergelijke. Een ander gevaar dat u kunt lopen, is dat uw gegevens worden aangepast of zelfs vernietigd. Daarnaast kan malware uw computer(s) of netwerk vertragen of helemaal platleggen. Dat hindert u in uw werkzaamheden en kan zelfs de bedrijfscontinuïteit van uw organisatie in gevaar brengen. Sowieso kost het oplossen van de
42
besmetting
problemen die door een besmetting zijn ontstaan meestal veel tijd, en vaak ook cash geld.
Houd uw reputatie hoog! Veel organisaties die met een besmetting te maken krijgen, lopen daar liever niet mee te koop. Want dat levert een flinke deuk op in de reputatie: ‘die club had zijn beveiliging kennelijk niet op orde’, is dan al snel de conclusie in de markt of in de media. Veel hackers en social engineers rekenen erop dat u uw goede naam niet kwijt wilt raken en bedenken dan ook soms slinkse technieken waarbij u in verlegenheid gebracht kunt worden. Houd daarom ook uw reputatie op het aspect beveiliging hoog!
reputatie
Malware zoekt in uw systemen vaak naar gegevens die relatief gemakkelijk zijn te stelen. Want uitgebreide programma’s uitvoeren om wachtwoorden te kraken of versleutelde gegevens te ontcijferen, vereist veel systeembronnen van de binnengedrongen computer, en dat zal de aanwezigheid van de malware eerder onthullen. Daarom hieronder enkele bijzonder risicovolle plekken en omstandigheden in uw systeem waar de malware zal proberen toe te slaan. ▪▪ De poorten van uw netwerk: via portscanning probeert de malware erachter te komen waar en welke poorten open staan, en dus waar de belangrijke gegevens doorheen kunnen komen.
Firewalls gebruiken de techniek vaak zelf ook om poorten die nutteloos openstaan, af te dichten, waardoor de beschermingssoftware de pogingen van portscanning door de malware niet herkent.
43
systeem bronnen
poort portscanning
Malware en Phishing
datapakketjes
sniffing
telemeeting
skimming
wachtwoord certificaten
man-in-themiddle trusted zone
firewall spoofing
▪▪ De datapakketjes die over uw netwerk, via internet of intranet worden verzonden: vaak zijn dit onbeschermde plattetekstbestandjes waaruit een heleboel nuttige teksten of tekenreeksen kunnen worden gedestilleerd, die weer tot belangrijke gegevens of cruciale informatie kunnen worden gecombineerd. Men noemt dit ook wel sniffing en de snuffelware is over het algemeen lastig te detecteren. ▪▪ Communicatiekanalen: ook de pakketjes van die kanalen gaan soms onversleuteld over en weer via het netwerk of internet, en kunnen zo bij onderschepping ‘gouden’ informatie leveren aan de cybercriminelen. Om over audiovisuele signalen zoals bij telemeeting of videoconferencing nog maar te zwijgen. ▪▪ De inlog- of aanmeldprocedure: eigenlijk elke vorm van interactie met een gebruiker is gevoelig voor skimming. Zoals in de analoge wereld een nepfaçade voor een pinautomaat kan worden geplaatst, kan in principe voor elk dialoogvenster een nepvenster worden ingevoegd waarmee de cybercrimineel de invoer afvangt. Natuurlijk het liefst inlognamen, wachtwoorden, pincodes, en dergelijke. Zelfs bij gebruik van digitale certificaten zoals elektronische handtekeningen of public en private keys kan de communicatie nog worden onderschept door kwaadwillenden, al is de kans dat de informatie wordt geoogst dan wel kleiner vanwege de encryptietechnieken die daarbij van toepassing zijn. De techniek van het onderscheppen van communicatie – vooral met de inzet van valse certificaten – noemt men wel ‘man-in-the-middle’. ▪▪ De trusted zone: een veeltoegepaste methode om te proberen binnen te dringen is via de vertrouwde reeks IP-adressen van de firewall. Zo kan de malware – of de hacker – zich voordoen als een betrouwbare interne relatie of bron. Dit verschijnsel staat ook wel bekend als spoofing.
44
besmetting
Als iemand u (persoonlijk, telefonisch of in een mail) om uw IP-adres vraagt, bent u natuurlijk direct alert dat dit een poging tot phishing kan zijn. Want wie zou u nu vragen om zo’n adres? Toch gebeurt het wel, bijvoorbeeld in verband met een vermeende overgang naar IPv6, de nieuwe vorm van de IP-adressen. En pas op: een kwaadwillende kan soms gewoon op internet uw IP-adres opzoeken – bijvoorbeeld vanwege uw domeinregistratie voor uw website – en dan gokken of uitproberen dat in de buurt van dat adres ook andere IP-adressen die alleen in de laatste drie cijfers verschillen, in gebruik zijn. Alleen daarom al zou u integraal over moeten schakelen op IPv6-adressen, want daarmee is die gokkans nagenoeg afwezig.
Platformen Het is nog altijd zo dat de meeste malware voorkomt (en kan binnendringen) op computers die draaien met Windows. Daar zijn enkele oorzaken voor aan te wijzen: ▪▪ Vanuit het oogpunt van de cybercriminelen is het wel logisch, want het besturingssysteem Windows heeft verreweg de grootste gebruikersgroep. Als Windowsgebruiker loopt u daarom een grotere kans op infectie met malware. ▪▪ Een andere reden dat de digitale boeven hun pijlen massaal op Windows (en de programma’s die daaronder draaien) richten, ligt bij producent Microsoft: om zo gebruiksvriendelijk mogelijke en dumbo-proof software te ontwerpen, zijn veel concessies gedaan aan de beveiliging. ▪▪ Daarnaast is Microsoft vooral (en van oorsprong) ontworpen voor ‘personal’ en dus meestal stand-alone computers, en zijn de netwerkfunctionaliteiten en werken (delen) met meerdere gebruikers nogal ad hoc toegevoegd aan het basisontwerp.
45
dumbo-proof
stand-alone
Malware en Phishing
drive-by download
plug-in
Java applet ActiveX
Drive-by download Een groot risico vormen ‘drive-by’ downloads. Daarmee bedoelt men een download die u zou moeten verrichten om de inhoud van een webpagina in uw browser naar behoren te kunnen weergeven. Bijvoorbeeld als u een website bezoekt waarop het filmmateriaal alleen met Microsofts Silverlight kan worden afgespeeld en u heeft die plug-in niet geïnstalleerd, zult u die op dat moment moeten downloaden. Maar cybercriminelen maken van dit verschijnsel misbruik door een onterecht verzoek aan de surfer te doen om bijvoorbeeld een Java-applet of een ActiveX-element te downloaden. Dergelijke elementen zijn bijzonder gevaarlijk omdat ze malware kunnen bevatten (maar dat hoeft niet). De argeloze gebruiker downloadt zo’n element dan eigenlijk zonder te weten wat precies de risico’s of consequenties kunnen zijn.
Sommige plug-ins kunnen zichzelf toevoegen aan de browser zonder de surfer om toestemming te vragen. Zulke drive-by downloads zijn natuurlijk helemaal risicovol, want dat kan net zo goed malware zijn! De moderne browsers kennen wel instellingen om dat te voorkomen, maak daar gebruik van!
zero-day exploits
bug lekkage patch bugfix
Zero-day exploits Een ander belangrijk risico vormen zogenoemde zero-day exploits (vrij vertaald: nuldagenmisbruik). Als producenten nieuwe software of versies uitbrengen, kan die nog kinderziekten, fouten (‘bugs’) of lekkages bevatten die niet meteen bekend zijn. Die zwakke plekken kunnen worden misbruikt door malwareverspreiders omdat er op dat moment nog geen patch of bugfix voor beschikbaar is. Vooral de dag waarop de software (of update daarvan) op de markt verschijnt (‘zero-day’) is dan ook een risicovol moment. Maar soms zijn bepaalde
46
besmetting
onvolkomenheden van software al vóór dag nul ontdekt door de malware-ontwikkelaars, bijvoorbeeld aan de hand van pre-releases of bèta-versies die bij wijze van test waren gepubliceerd. Vooral malware voor botnets probeert vaak gebruik te maken van deze lekken in belangrijke of populaire software. De lekken worden zelfs door de cybercriminelen aan elkaar doorgegeven, vaak om anderen ook misbruik te laten maken van de zwakheden, waardoor hun eigen activiteiten meer naar de achtergrond kunnen verschuiven.
47
bèta-versie botnet
5 Phishing U bent het verschijnsel in de voorgaande hoofdstukken al een paar keer tegengekomen: phishing. Dit dient vaak als transportmiddel om malware bij een slachtoffer te krijgen. Maar ook zonder het overbrengen van narigheid kan het gehengel heel vervelend zijn. Als u belangrijke of gevoelige gegevens kwijtraakt of als die op straat komen te liggen, kan dat u of uw organisatie net zo goed (reputatie)schade toebrengen. Vissen naar uw gegevens kan de cybercriminelen veel opleveren: de gegevens kunnen worden doorverkocht, bijvoorbeeld aan spammers, of misschien zelfs aan uw concurrent. Er met sommige gegevens, zoals bankrekening- of creditcardnummers, kunnen internetfraudeurs op uw rekening allerlei dure spullen aanschaffen. Verder wordt er natuurlijk ook gevist naar inloggegevens en wachtwoorden door hackers, of personen die dergelijke gegevens aan hackers willen verkopen. En er zijn nog wel meer redenen te bedenken om te hengelen.
5.1 Oplichterij Strikt genomen is phishing geen diefstal, want nadat een cybercrimineel gegevens van u heeft verkregen op slinkse wijze, heeft u zelf die gegevens ook nog. De phisher heeft hooguit informatie aan u ontfutseld, en omdat dat onder valse voorwendselen is gebeurd, is het eerder een vorm van oplichterij. Want dat u uw gegevens geeft aan kwaadwillende sujetten is min of meer vergelijkbaar met het verklappen van uw pincode aan een dief. U weet natuurlijk zelf ook wel dat
49
spam
wachtwoord hacken
Malware en Phishing
computer vredebreuk
het niet verstandig is, en dat u dan bijvoorbeeld het recht op vergoeding door de bancaire instantie verspeelt. Maar in een onbewaakt ogenblik kan het u misschien toch overkomen. Dat ligt overigens wel iets anders als de phisher zich via malware toegang heeft verschaft tot uw computer, want dan is er ook sprake van computervredebreuk. Want dat is namelijk wel strafbaar.
5.2 Methoden en technieken
e-mail pop-up
De hengels die cybercriminelen gebruiken om u uw gegevens te ontfutselen, zijn er in verschillende soorten en maten. Vaak wordt een e-mail gebruikt, maar ook een venster of pop-up kan een goed middel zijn voor de digitale dief. En die zien er in de meeste gevallen verraderlijk echt uit in vergelijking tot de e-mails, vensters of pop-ups die door officiële en betrouwbare instanties worden gebruikt.
Smishing In plaats van e-mail kunnen phishers ook SMS-berichten inzetten om een potentieel slachtoffer naar een malafide website te leiden, of te laten bellen met een geautomatiseerde antwoorddienst. De tekstberichten zijn vaak afkomstig van bancaire of financiële instellingen, en zijn lastig als phishing te herkennen.
Verificatie Zo zou u zomaar een simpel (nep)verzoek van ‘uw bank’ kunnen krijgen om voor alle zekerheid nog even uw pincode of inloggegevens te verifiëren op een zogenaamde controlesite van de bank. De tijd trouwens dat phishingmails vooral afkomstig waren uit het buitenland, geformuleerd in steenkolennederlands, is alweer even geleden. Zelfs de buitenlandse phishers verdiepen zich steeds beter in de formuleringen die ze kopië-
50
phishing
ren uit teksten van de echte organisaties die ze misbruiken voor hun imitaties.
Wees alert op een geraffineerde, maar ook wel dubbel valse truc die de laatste tijd vaker wordt gebruikt: eerst stuurt de cybercrimineel een duidelijk herkenbare phishingmail met de typische kromme Nederlandse zinnen, en kort daarna volgt dan een tweede phishingmail ‘namens de bank’ of andere organisatie die als nepafzender diende, waarin wordt gesteld dat u bestookt bent met een nepmail. En die tweede mail bevat dan een aantal zogenaamde controlevragen, of nog erger: een link om uw gegevens te controleren die u natuurlijk op een malafide website met malware brengt.
Vooral in nepmails uit de bancaire en financiële wereld wordt vaak op de actualiteit ingespeeld: bijvoorbeeld de introductie van de IBAN-nummering, recente hacks van creditcardmaatschappijen, uitbraak van wereldomvattende virussen of andere malware, en dergelijke. Hierbij worden vaak angstscenario’s geschetst: uw rekening of account dreigt te worden geblokkeerd, cybercriminelen hebben grote bedragen van uw rekening afgeschreven, of iets dergelijks. Dus of u maar even uw beveiligingsinstellingen wilt controleren, uw wachtwoord wilt wijzigen, of wat dies meer zij.
U vindt veel voorbeelden van nepmails ‘afkomstig van uw bank’ bij de ING op de webpagina ing.nl/de-ing/ veilig-bankieren/meest-voorkomende-bankfraude/wat-isphishing/voorbeelden-van-phishingmail/ (waar ook de afbeelding bovenaan de volgende pagina van afkomstig is). Zeker de moeite waard om te bekijken als u phishing wilt leren herkennen.
51
IBAN hacken
wachtwoord
Malware en Phishing
Figuur 5.1 Phishingvoorbeeld dat inspeelt op de IBAN-nummering
Vooruitzicht Behalve valse bankmails waarmee natuurlijk vooral gehengeld wordt naar uw gegevens om te internetbankieren, zijn ook mails over loterijen, prijsvragen of onverwachte erfenissen populair bij de phishers. Daarin stellen zij u grote sommen geld in het vooruitzicht, en wie wordt er dan niet nieuwsgierig? Een veelgebruikte variant op dit thema is de phishingmail met een noodkreet of waarin uw aandacht gevraagd wordt
52
phishing
voor een belangrijk maatschappelijk thema. Heel vaak zijn dit soort mails in nogal warrig Engels opgesteld en afkomstig uit een ver land, waarbij Nigeria opvallend vaak voorkomt. Maar het kan ook best een ander land zijn, zolang het maar ver weg is, wat het dus lastig maakt om de boodschap in de nepmail te controleren. Want dat is natuurlijk waarop de phishers inspelen: dat u niet achterdochtig wordt en een en ander gaat controleren.
Geblokkeerde tegoeden Lange tijd waren ‘geblokkeerde’ tegoeden een populair onderwerp, en ze duiken nog steeds regelmatig op. In de phishingmail zoekt men contact om een aanzienlijk gevulde bankrekening te legaliseren, bijvoorbeeld van een overleden klant zonder erfgenamen. Alleen uw naam en bankrekeningnummer insturen is voldoende om het enorme bedrag vrij te maken en te kunnen overboeken. Soms wordt zelfs een klein bedrag gevraagd om uw betrouwbaarheid aan te tonen. Na de transactie zult u natuurlijk rijkelijk beloond worden voor uw medewerking.
Sommige phishingmiddelen zijn zo knap in elkaar gestoken, dat niemand ervan staat te kijken dat u er bent ingetrapt. Want de cybercriminelen gebruiken de kleuren, logo’s en adresgegevens van de organisatie die ze als nepafzender gebruiken. Het voorbeeld op de pagina hiernaast moge dat duidelijk maken. Dat komt dus heel betrouwbaar en authentiek over, en u zult er uw best voor moeten doen om deze berichten te ontmaskeren als nepmails. Wel zult u zich – waarschijnlijk terecht – kunnen afvragen waarom u nu juist degene bent die precies op dit moment met de (nep)mail wordt aangeschreven. Meestal is dat namelijk niet anders te verklaren dan uit het feit dan men ergens uw e-mail adres heeft kunnen oogsten of kopen.
53
Malware en Phishing
Is het webadres wel echt? Een bekende truc die phishers gebruiken om u te misleiden is gebruik van een valse URL (webadres) die nauwelijks van echt is te onderscheiden. In sommige gevallen worden er alternatieve letters gebruikt die uiterlijk nauwelijks verschillen van de originele, en soms zijn de domeinnamen net even iets anders gespeld. Fictieve voorbeelden hiervan: www.lNG.nl (waarbij de hoofdletter I in werkelijkheid de kleine letter L is), www. paypall.com (aan het eind dubbel L, terwijl het met maar één moet), of www.markt-plaats.nl (met koppelstreepje).
URL
ransommail
Chantage Een bijzondere vorm van phishingmails zijn ‘ransommails’. Daarin wordt losgeld gevraagd voor het vrijgeven van door de cybercriminelen versleutelde bestanden of informatie, die mogelijk gevoelige gegevens of bedrijfsgeheimen bevatten, of dubieuze activiteiten beschrijven. Of ze dergelijke versleutelde bestanden ook echt bezitten is niet altijd duidelijk, want dan zouden ze uw computer(s) ook daadwerkelijk gehackt moeten hebben. En opvragen van ‘bewijs’ is natuurlijk niet mogelijk, of liever: ‘not done’ in verband met het phishingrisico.
5.3 Succes Het hengelen naar gevoelige gegevens via phishing is succesvoller dan u denkt: uit een onderzoek van enkele jaren geleden van de universiteit van Indiana bleek dat 14% van de geadresseerden toegaf ingegaan te zijn op een (gesimuleerde) valse mail van eBay. Daarbij waren de gebruikers die niet wilden toegeven dat ze gehapt hadden – maar dat waarschijnlijk wel hadden gedaan – niet eens meegeteld. Dit hoge ‘succes’-percentage is de re-
54
phishing
den waarom phishing zo populair is. Want daarbij steekt de gemiddelde respons voor een succesvolle direct mailing van 0,5% schril af.
Sommige marketingdeskundigen verklaren het hoge percentage ‘toehappers’ uit het feit dat veel mensen in eerste instantie of in hun emotie te goeder trouw handelen, en niet constant alert zijn op de mogelijkheid dat ze beetgenomen worden.
5.4 Gevolgen In het begin van dit hoofdstuk kon u het al lezen: gegevens die via phishing bij cybercriminelen terechtkomen kunnen veel geld opleveren, zowel door het doorverkopen van namen, inloggegevens, mailadressen, en wat dies meer zij, als door het webwinkelen op uw kosten. Zo zijn alleen uw rekeningnummers met bijbehorende naam of wachtwoord al veel geld waard.
wachtwoord
Oninbaar En niet alleen het slachtoffer van phishing wordt benadeeld: ook webwinkels, verzekeraars en bancaire instellingen die bij een malafide transactie betrokken raken, kunnen soms flinke schade oplopen. Zo zal bij misbruik of fraude met een creditcard de moedermaatschappij in veel gevallen de schade moeten vergoeden. De webwinkel waar de digidief zijn illegale aankopen deed, moet misschien een oninbare factuur afboeken. Of als u – of uw organisatie – zich tegen dergelijke praktijken heeft ingedekt, moet de verzekeraar uitkeren. Melden Welke vorm van phishing (of malware) u ook overkomt: u loopt er haast onvermijdelijk reputatieschade mee op. Toch is de doofpot vaak niet de beste remedie om dat te voorkomen.
55
reputatie
Malware en Phishing
U kunt dergelijke kwesties beter melden bij de bevoegde instanties, zodat er tegen de cybercriminelen actie kan worden ondernomen. Want het blijft oplichterij.
U kunt zowel phishing als internetfraude melden op de website van het Centraal Meld- en Informatiepunt Identiteitsfraude en -fouten (CMI): overheid.nl/identiteitsfraude. Overweeg ook om aangifte te doen van een phishingkwestie bij de politie (via politie.nl), eventueel anoniem (meldmisdaadanoniem.nl). In beide gevallen zult u er anderen weer mee helpen, als zij in de situatie komen dat ze slachtoffer van phishing worden en dat melden.
56
6 Social engineering Een dubieuze ‘tak van sport’ die nauw verbonden is met malware en phishing, is social engineering. Daarbij kan de cybercrimineel zich van elk middel bedienen om u uw belangrijke of gevoelige gegevens te ontfutselen. Dus ook zonder kwaadaardige scripts of hengelberichten. Maar wel net zo goed met als doel u vervolgens te benadelen. En dat zoiets erg ver kan gaan, leest u in dit hoofdstuk. Bent u – in plaats van via e-mail – wel eens telefonisch of persoonlijk benaderd met het verzoek om uw pincode of wachtwoord te verstrekken aan een supportmedewerker van uw bank of creditcardmaatschappij? Dikke kans dat dit een social engineer betrof die u die gegevens probeerde af te troggelen.
6.1 Verzamelen Het vergaren van allerlei gegevens of delen daarvan kan bij de juiste combinatie, vergelijking en interpretatie voor de sociale ingenieur uiterst bruikbare informatie opleveren. En dat verzamelen van die (deel)informatie hoeft niet per se te geschieden via malware of phishing. Ook de informatie die een cyberboef bijvoorbeeld op uw socialemediapagina’s tegenkomt – uw gezinssamenstelling, hobby’s, nevenwerkzaamheden, en dergelijke – kan een schat aan gegevens bevatten waardoor bijvoorbeeld het ‘raden’ van een wachtwoord een stuk gemakkelijker wordt. De betere social engineer verdiept zich vergaand in de interesse, belevingssfeer en omgeving van zijn potentiële slacht-
57
sociale media
wachtwoord
Malware en Phishing
offer of doelgroep. In de ‘bovenwereld’ zouden ze waarschijnlijk heel goede marketeers zijn!
In de tekst wordt over de ‘social engineer’ geschreven in de mannelijke vorm en ernaar verwezen met ‘hij’ en ‘zijn’, zoals bij beroepen te doen gebruikelijk is. Dat neemt natuurlijk niet weg dat er ook vrouwelijke social engineers zijn.
6.2 Methoden en technieken Als u al dacht: dat overkomt mij niet, dat ik (privé)gevoelige gegevens zomaar weggeef … Dat zal best kloppen, maar een social engineer denkt daar heel anders over. En heeft daar ook wel zo zijn methoden en technieken voor. Eigenlijk is een social engineer een soort spion waarvoor niets te gek is om aan de gewenste gegevens of informatie te komen. Internet Een vooronderzoek door de social engineer langs de digitale snelweg is geheel anoniem en kan (voor hem) natuurlijk nooit kwaad. Het was al even aan de orde: er zijn op internet al heel wat gegevens over uzelf die u al ooit eens ergens heeft weggegeven en die hij zo op kan vragen. En ook anderen houden gegevens over u bij: denk aan het smoelenboek van opleiding of werk, de club waar u vrijwilligerswerk verricht, webpagina’s over uw hobby waar u regelmatig wordt genoemd, en natuurlijk de sociale media. Zo zijn bijvoorbeeld de controlevraagmogelijkheden om een vergeten wachtwoord op te vragen bij sommige loginprocedures eigenlijk wel heel erg naïef: Wat is mijn geboortestad? Wat is mijn lievelingskleur? Wat is de meisjesnaam van mijn moeder? Veel van die informatie is voor een beetje sociale snuffelaar vrij snel boven water te krijgen.
58
social engineering
Er is heel wat meer informatie over u, uw organisatie of uw situatie vrij op internet te vinden. Meer zelfs dan u denkt: googel maar eens op uw eigen naam of de naam van uw organisatie om te zien wat er dan allemaal opduikt in de resultatenlijst van de zoekmachine. Of wat dacht u van al die profielen bij sociale media als Facebook of LinkedIn?
Ook (semi)officiële, professionele en commerciële instanties verzamelen allerlei gegevens over u die – tot op zekere hoogte tenminste – opvraagbaar zijn, zoals kadastergegevens, kamervankoophandelgegevens, webwinkelgegevens, domeinnaamregistratie, telefoon- of bedrijfsgidsen, et cetera. En maar weinig instanties brengen u op de hoogte als iemand uw gegevens heeft opgevraagd.
Het schijnt dat elke Nederlander gemiddeld zo’n zeshonderd keer geregistreerd staat bij allerlei organisaties, instanties, bedrijven, gidsen, et cetera. Dus de kans dat door een lekkage of via hacken ook uw gegevens eens op straat komen rollen, is best aanwezig. Wees daarom toch maar spaarzaam met het verstrekken van al die persoonlijke gegevens.
Contact Als bepaalde gegevens die de social engineer zoekt niet direct op internet te vinden zijn, kan hij proberen via direct contact met de gebruiker van het systeem of het netwerk waarop hij wil inbreken, of door het benaderen van een ‘zwakke broeder’ in de organisatie onder valse voorwendselen proberen die informatie boven water te krijgen. Vooral medewerkers in grotere organisaties die vanwege hun functie niet zo op de hoogte zijn van alle ICT-procedures en de bijbehorende beveiligingsinstructies – denk aan
59
Malware en Phishing
personeel in de kantine, in de groenvoorziening, in representatieve functies, aan de balie, en dergelijke – zijn daarbij gewilde slachtoffers. Zij willen in al hun goedheid en behulpzaamheid desgevraagd nog wel eens allerlei gevoelige informatie prijsgeven. En reken maar dat social engineers dat weten!
IJverige schoonmaker Een sociaal ingenieur had zich met een valse naam via een uitzendbureau aangemeld bij een schoonmaakbedrijf dat in een grote onderneming de werkplekken schoonhield na werktijd. Maar hij ging niet alleen aan de gang met driftig stoffen en zuigen; hij ploos ook alle plakbriefjes (met wachtwoorden… nee hè) op de monitoren en onnodig uitgeprinte rapporten en papieren (met cruciale gegevens) op de bureaus uit. En voordat hij de prullenbakken leegmaakte, nam hij toch nog even de inhoud door.
wachtwoord
Opgeruimd Sommige organisaties hebben dan ook een verstandige aanpak als ze eisen dat de medewerkers bij het verlaten van de kantoorruimte alles opgeruimd en niet in het zicht achter moeten laten. Belangrijke gegevens zelfs achter slot en grendel!
Het voorbeeld hierboven laat maar weer eens zien dat onbewust allerlei zaken toch bronnen kunnen zijn voor social engineers. En naast snuffelen in prullenbakken (trouwens vooral ook die in de buurt van kopieermachines), vuilcontainers en zelfs papiervernietigers, kan een nepschoonmaker vaak ook computers die na werktijd in slaapstand zijn gevallen weer activeren en daarop alle informatie bekijken … en niet in de laatste plaats ook in de elektronische prullenbak op het bureaublad.
60
social engineering
Veel computergebruikers laten hun spullen na werktijd aanstaan of zetten die zelf in sluimer- of slaapstand. Behalve vanwege de genoemde risico’s van social engineering na werktijd zoals hier geschetst, is dat ook niet verstandig in verband met de updating van software waaronder het besturingssysteem. Voor de verwerking en toepassing van updates die eventuele lekkages moeten dichten – maar ook bij andere issues – is het vaak essentieel om het systeem opnieuw (koud) op te starten.
Het contact kan nog veel directer: de social engineer benadert het potentiële slachtoffer dan rechtstreeks: persoonlijk, telefonisch of via andere communicatiemiddelen zoals e-mail, sms, of twitter. Daarbij doet hij zich voor als een nieuwe klant, een supportmedewerker van een bekende leverancier, een bezorger van een post- of pakketdienst, of een andere min of meer betrouwbaar lijkende relatie. Enig vooronderzoek kan ook nog wel eens handig zijn: wie de automatiseerder is van het bedrijf, is vaak te zien aan de autootjes die regelmatig de poort in- en uitzoeven. Op basis van die informatie heeft de social engineer zijn vermomming snel geregeld, met een relatief kleine kans op ontmaskering. Dat de mens vaak een zwakke schakel in de beveiligingsprocedures is, wordt op deze manier genadeloos door de social engineer misbruikt. Denk u eens de volgende situatie in. Iemand in de werkkleding van uw vaste automatiseringsleverancier meldt zich om samen met u naar een zogenaamd probleem op uw pc te kijken. Hij noemt daarbij bekende namen van ICT’ers in uw organisatie. Wat doet u? Vraagt u hem direct naar zijn ID? Of belt u meteen de ICT-afdeling om te vragen of er wel een probleem is? Misschien wel, maar heel veel gebruikers – vooral in grote ondernemingen – doen dat niet, en gaan ervan uit dat het wel ergens voor nodig zal zijn dat deze supportmedewerker bij u langskomt.
61
e-mail
Malware en Phishing
Als u zelf geen problemen met uw systeem ondervindt, is het misschien niet onverstandig om toch even contact te maken met uw automatiseringsafdeling over het hoe en waarom van dit bezoek. Een échte supportmedewerker kan hiertegen geen bezwaar hebben, de nephelpers zullen u proberen tegen te houden of allerlei smoesjes verzinnen.
Iets minder brutaal, maar minstens zo effectief is het als een social engineer zich voordoet als een nieuwe klant of leverancier. Hij kan zich dan onbekommerd melden bij de verkoper of inkoper van de organisatie waarvan hij informatie wil stelen. Omdat een commerciële medewerker toch meestal in een informele sfeer zaken wil doen, en azend op een goede deal meestal bereid is veel informatie te verschaffen, is een gesprek met deze persoon in de organisatie ook voor de snuffelaar een goede context om via koetjes en kalfjes over werk, actualiteit, hobby en privézaken achter allerlei informatie te komen. Zonder ooit maar de bedoeling te hebben iets te kopen of te leveren natuurlijk.
camera keylogger
Hardware De social engineer gaat nog meer lijken op 007 als hij zich gaat bedienen van allerlei hardware om achter informatie te komen. Denk aan het verstoppen van afluisterapparatuur of verborgen cameraatjes, en ook het installeren van hardwarematige keyloggers. Dat zijn handige gereedschappen om informatie te vergaren, die natuurlijk wel via persoonlijke aanwezigheid bij het slachtoffer geïnstalleerd moeten worden. De nepschoonmaker zou daarvoor gemakkelijk in de gelegenheid kunnen komen. Bijvoorbeeld een fysieke keylogger installeren op een systeem betekent meestal dat er een klein apparaat aan de achterkant van de computer moet worden geplaatst tussen de plug van het toetsenbord en de aansluiting op de systeem-
62
social engineering
kast. Dan moet de social engineer zich toch wel minstens voordoen als automatiseringsmedewerker, wil de eindgebruiker het niet vreemd vinden dat er iemand aan zijn machine sleutelt. Toch?
Vergeet ook de indirecte benadering niet! Als de sociaal ingenieur bijvoorbeeld eenmaal weet dat u altijd op woensdag vrij bent, zal hij juist dan verschijnen op uw werkplek en tegen een collega zeggen dat het nu de ideale tijd is om onderhoud te plegen of bepaalde aanpassingen te doen aan uw systeem. O ja, en hoe is de snuffelaar trouwens aan die informatie over uw vrije dag gekomen?
Normaal Social engineers proberen in hun persoonlijke contacten om informatie af te troggelen, in te spelen op wat voor u en iedereen in de organisatie de normale gang van zaken is. Of ze verwijzen naar belangrijke issues die op dit moment in uw organisatie spelen, zoals een bezuinigingsoperatie met een bepaalde code- of projectnaam (die ze vanzelfsprekend uit andere informatie hebben verkregen). Ook doen ze zich vaak voor als een collega van een andere vestiging van de organisatie (ver weg natuurlijk). Zulke benaderingen geven de indruk van een normaal gesprek tussen collega’s, waarbij de veiligheid van de organisatie of de gegevens geen gevaar lijken te lopen. De kans dat de aangesprokene dit als een bedrieglijke situatie zal inschatten, is dan heel klein.
Vooral de nieuwe medewerkers in een organisatie zijn gewilde prooien voor de sociale ingenieurs. Die zijn namelijk meestal nog niet zo bekend met alle veiligheidsprotocollen en met wat binnen de bedrijfscultuur al dan niet normaal is.
63
Malware en Phishing
Voor nieuwe personeelsleden is het behoorlijk lastig in te schatten of bepaalde vragen indiscreet of risicovol voor de bedrijfsvoering of organisatie zijn. Sommige social engineers zijn zelfs zo brutaal dat ze hun vragen gewoon inleiden met een praatje dat het heel normaal of logisch is om bepaalde vragen in het kader van het beveiligingsbeleid te stellen aan nieuwe medewerkers.
wachtwoord
Gefingeerd In de praktijk van alledag blijken heel wat eindgebruikers – zowel nieuwe als al lang meelopende – zonder bedenking hun loginnaam en wachtwoord prijs te geven om een ‘gefingeerd’ probleem op te lossen dat door een schijnbaar betrouwbare persoon wordt aangekaart. En zelfs het (nep)contact met een ‘belangrijke’ organisatie als de gemeente, de belastingdienst of een onderzoeksinstituut als TNO kan de tongen aardig los maken. Dat kan ook de computergebruiker in een kleine organisatie of zelfs een zzp’er overkomen.
6.3 Gevolgen
spyware
Misschien vraagt u zich ondertussen af waarom social engineers zoveel moeite willen doen om uw gegevens te pakken te krijgen. Het antwoord is redelijk simpel: eigenlijk vanwege alle al genoemde redenen die voor iemand van belang kunnen zijn om naar kwaadaardige middelen als malware of phishing te grijpen. Want als malware of phishingmails verspreiden niet de gezochte informatie oplevert, hebben cybercriminelen vaak de ‘fase’ van social engineering nodig om zich een ingang te verschaffen waardoor ze dat stukje malware, spyware of andere narigheid bij u kunnen binnenloodsen. Vervolg De vervolgactiviteiten van social engineering kunnen dan ook zijn: versturen van phishingmails voor verdere informatievergaring, of installatie van malware.
64
social engineering
Tegen dat soort risico’s zijn diverse beschermingsmaatregelen te nemen waar u in volgende hoofdstukken nog nadere informatie over zult vinden.
Het herkennen en voorkomen van social engineering is lastig en er is meestal geen ‘anti-social-engineering’ software die u kan beschermen.
Tips Omdat het zo lastig is social engineering te herkennen (en voorkomen) is het dan ook belangrijk dat u de kans op (kwaadaardig) gesnuffel zo klein mogelijk maakt. De volgende tips kunnen u en uw collega’s in de organisatie daarbij behulpzaam zijn: ▪▪ Gebruik sterke wachtwoorden voor toegang tot netwerken of webpagina’s met gevoelige of cruciale gegevens en bestanden. Kies in ieder geval geen voorspelbare variaties op namen of andere gegevens die relatief gemakkelijk via social engineering zijn op te sporen. Wissel ook regelmatig van wachtwoord (kan met behulp van software in de netwerkomgeving verplicht worden gesteld). ▪▪ Hang wachtwoorden nooit en te nimmer op een briefje aan de monitor, of iets dergelijks, maar gebruik een wachtwoordmanagementprogramma als u ze niet allemaal kunt onthouden. ▪▪ Als u vaak van uw werkplek loopt en er regelmatig medewerkers van externe dienstverleners – die kunnen trouwens ooit ook uw concurrent worden – of zelfs complete vreemdelingen rondlopen, stel dan een screensaver in voor uw computer. Zorg dat die al na enkele minuten geactiveerd wordt. Stel natuurlijk ook een wachtwoordbeveiliging voor de ontgrendeling in, anders heeft het weinig zin als bescherming van uw gegevens.
65
sterk wachtwoord
wachtwoordmanager
screensaver
Malware en Phishing
▪▪ Laat geen belangrijke informatie open en bloot rond-
sociale media
encryptie
beleid
slingeren op uw werkplek. Zeker niet als u weet dat er ‘s avonds nog vreemden op de werkplek komen, bijvoorbeeld om schoon te maken. Sluit bij voorkeur ook uw computer(s) af als u het kantoorpand verlaat. ▪▪ Wees altijd voorzichtig met het verspreiden van persoonlijke en gevoelige gegevens via sociale media. Ook al lijken uw persoonlijke zaken niets te maken te hebben met uw werk, de social engineer vindt er vaak nog allerlei interessante informatie in. ▪▪ Wees extra voorzichtig met mobiele apparaten als laptops, tablets en smartphones, maar ook met usb-sticks en externe harde schijven. Zorg voor een adequate beveiliging van de gegevens daarop (bijvoorbeeld met behulp van encryptie). Probeer trouwens sowieso de kans op diefstal of verlies van mobiele apparatuur zo klein mogelijk te maken. Want vergeet niet dat zulke apparatuur nu eenmaal een belangrijk doelwit is van social engineers. ▪▪ Maak in uw organisatie afspraken of stel een beleid op over het afhandelen van persoonlijke en zakelijke contacten en bezoeken. Geef daarbij aan wat ‘normaal’ is in de dagelijkse bedrijfsvoering. In zo’n ‘contactenbeleid’ zou u kunnen vastleggen dat in ieder geval nooit direct aan een veiligheidsgerelateerd verzoek van relatief onbekende personen mag worden voldaan (‘neem altijd eerst even contact op met de verantwoordelijken’), en dat ook nooit zomaar toegang mag worden verleend tot het netwerk, of de ICT-faciliteiten of -ruimten zoals serverlocaties of datacenters van uw organisatie.
Beleid en regels opstellen of afspraken maken is natuurlijk prima, maar de controle op de naleving van uw afspraken en regels is minstens zo belangrijk.
66
social engineering
Bovenstaande aandachtspunten spelen natuurlijk een extra belangrijke rol als u of uw collega’s veel op beurzen, congressen, in de openbare ruimte of sowieso in de buitendienst werken.
Wees ook alert in situaties van thuis- of telewerken: want ook daar kunnen ongewenste bezoekers opduiken.
Awareness De beste maatregel ter voorkoming van social engineering die u als professionele pc-gebruiker kunt nemen, is het ontwikkelen van een veiligheidsbewustzijn (‘security awareness’). U en ook de andere medewerkers in uw organisatie moeten op de hoogte zijn van de mogelijke bedreigingen binnen uw ICT-infrastructuur en systemen, de informatiegevoeligheid, de methoden van cybercriminelen, en dergelijke. Daarbij behoort dus ook een bewustzijn met betrekking tot de dreiging van malware en phishing.
Overdrijven kan natuurlijk ook: in een sfeer van paranoia, achtervolgingswaanzin of overdreven achterdocht is het niet prettig werken. Maar een beetje alert zijn op verdachte omstandigheden of personen kan geen kwaad.
De professionele en ervaren gebruikers van computers zijn zich over het algemeen bewuster van de gevaren en risico’s, en daardoor ook wel voorzichtiger dan minder ervaren gebruikers. Maar sommige social engineers zijn erg sluw en kunnen ook op hoog ICT-niveau geavanceerde trucs uithalen…
67
security awareness
7 Botnets Een verschijnsel dat steeds vaker op internet opduikt in een kwaadaardig daglicht, is het gebruik van een botnet. Cybercriminelen zetten zulke illegale netwerken onder andere in om andere computers te besmetten, om te (laten) spammen of andere systemen volledig plat te leggen. En allemaal zonder dat de eigenlijke gebruiker van de geïnfecteerde apparatuur dat merkt. Botnets zijn in de strikte betekenis netwerken van samenwerkende computers. In het verleden werden ze dan ook vooral positief ingezet, bijvoorbeeld door clusters van computers rekenkracht te laten combineren om ingewikkelde vraagstukken op te lossen. Daarbij krijgt elke computer een aparte of zelfstandige taak toebedeeld die in het kader van het totale project moet worden uitgevoerd. Dit noemt men ook wel distributed computing en de zelfstandig opererende softwareprocessen heten softwarerobots, afgekort tot bots. Overigens maken bijvoorbeeld ook zoekmachines op grote schaal gebruik van softwarebots – in de vorm van spiders of crawlers – die internet afspeuren en websites en -pagina’s in kaart brengen en indexeren.
distributed computing bot spider crawler
7.1 Werking Een botnet lijkt wel wat op een cluster van computers. Zo’n cluster kan bestaan uit samenwerkende machines in één ruimte, maar kan ook gevormd zijn door de machines aan elkaar te koppelen via (inter)netwerken. Dat laatste is bij botnets meestal het geval. Door in het netwerk relatief eenvoudige computers te laten samenwerken, kan een enorme
69
cluster
Malware en Phishing
server idle time
worm trojan backdoor
bot herder
rekenkracht ontstaan die het mogelijk maakt heel complexe berekeningen te maken. Om dit te kunnen realiseren, moeten de deelnemende bots beschikken over een stukje zelfstandig draaiende software. Die ontvangt instructies of aansturing van de centrale computer (server) die het totale project onder beheer heeft. De uitvoering van de deeltaken vindt plaats in de zogenoemde idle time van een computer, in de tijd dus dat er geen andere taken zijn die de processor van de computer bezighouden of die intern geheugen in beslag nemen. Hierdoor zal de gebruiker van de computer geen vertraging ondervinden als hij zijn dagelijkse werkzaamheden uitvoert op het systeem. In principe gaat dat dus allemaal ongemerkt. Kwaadaardig En dat is in feite in het kwaadaardige scenario ook het geval. De softwarecomponent die op de deelnemende bots moet worden geïnstalleerd, wordt verspreid – u begrijpt het al – in de vorm van malware. Meestal zijn dat wormen, trojans of andere vormen van backdoors. Als een systeem in het kader van een botnet is geïnfecteerd, is er een heimelijke verbinding met een centrale server die instructies verstuurt aan het besmette systeem. Dat centrale systeem wordt bestuurd en beheerd door een cybercrimineel, de bot herder. Die is dus in staat om een hele grote groep van besmette systemen aan te sturen, en dat geeft ongekende kwaadaardige mogelijkheden. Verderop enkele voorbeelden daarvan.
Over het algemeen zijn vooral systemen die draaien met besturingssysteem Windows gevoelig om op die manier overgenomen te worden, maar wees voorzichtig: ook andere besturingssystemen kunnen worden aangetast.
zombie
De computers die heimelijk de kwaadaardige opdrachten moeten uitvoeren worden ook wel zombies genoemd, en het
70
botnets
botnet dus een zombienetwerk. De zombierobots houden het contact met de remote server van de cybercriminelen in stand en wachten geduldig af tot ze worden geactiveerd door de bot herder voor een bepaalde taak. Die opdrachten komen meestal binnen via chatverbindingen zoals IRC (‘internet relay chat’), omdat dat een relatief eenvoudig communicatieprotocol is. IRC is trouwens van oorsprong zelf ook een botnet (in de positieve zin). En het is in de besturingsomgeving meestal een vertrouwd verbindingsprotocol, zodat detectie- of beschermingssoftware de verbinding niet als kwaadaardig aanmerkt. Server Uiteindelijk komen alle touwtjes van de zombies in handen van de centrale bot herder, die daar vaak een speciale eigen server voor gebruikt. Dat maakt namelijk detectie door internetproviders een stuk lastiger. Die ISP’s (‘internet service provider’) doen steeds meer aan preventie en bestrijding van botnets, omdat zij er zelf ook erg veel last van hebben en gestoord worden in hun dienstverlening aan de klant.
IRC
ISP
7.2 Toepassing De instructies die de zombies moeten uitvoeren, verlopen zo onopvallend mogelijk op de geïnfecteerde systemen, zodat ontdekking zo lang mogelijk uitblijft. Wat ze precies moeten doen, kan heel verschillend zijn. Sommige bots hebben als enige taak om de zwakke punten in een besmet systeem op te zoeken, en andere zoeken via webadressen, contactpersoonadresboeken of IP-adressen nieuwe slachtoffers die als zombie kunnen worden opgenomen in het botnet. Weer andere kunnen als taak hebben het bestaan van een botnet te verbergen voor providers en hun eventuele beschermings- en bestrijdingssoftware. Een botnet kan door cybercriminelen voor verschillende doeleinden worden ingezet, waarvan de belangrijkste zijn: ▪▪ verspreiden van spam; ▪▪ verder uitbreiden van het botnet;
71
IP-adres
provider
spam
Malware en Phishing
adware spyware
▪▪ verspreiden van ad- of spyware (of nog andere malware); ▪▪ grootschalige klikfraude; ▪▪ platleggen van internetservices of websites. Omdat de zombieservers aan elkaar gekoppeld kunnen zijn of in ieder geval regelmatig met elkaar verbinding onderhouden, kunnen ze gigantische netwerken vormen waarmee grootschalige projecten kunnen worden uitgevoerd. Daar zijn dan vaak grote financiële belangen mee gemoeid, want voor het verschaffen van toegang tot bijvoorbeeld uitgebreide spamnetwerken wordt grof geld betaald.
Spamzombie Hieronder een voorbeeld van hoe een botnet ontstaat om te gebruiken voor het verspreiden van spam. ▪▪ De (cybercriminele) bot herder begint met het verspreiden van malware, scripts om op zo veel mogelijk systemen van argeloze internetgebruikers een achterdeurtje (backdoor) open te zetten waarlangs een verbinding met de centrale server kan worden gemaakt. ▪▪ De cybercriminelen bieden tegen betaling toegang tot het botnet aan om spam te verspreiden. ▪▪ De spamberichten worden via de besmette computers (zombies) verspreid. ▪▪ De zombies kapen de adresboeken van de geïnfecteerde systemen, en versturen de ongevraagde reclame naar alle contactpersonen daarin. Spammen is weliswaar in onze contreien verboden, maar lang niet overal ter wereld. En omdat ongevraagde reclame toch een relatief hoge respons heeft – veel hoger dan bijvoorbeeld een direct mailing via de post – passen nog altijd heel wat marketeers de irritante methode toe.
bot herder script backdoor
respons
Maar ook het platleggen van websites of internetdienstverlening kan een belangrijk doel zijn van de inzet van een botnet. De verwoestende werking die grote of gecombineerde
72
botnets
zombienetwerken kunnen hebben is enorm. Dat kan bijvoorbeeld door alle zombies in het botnet tegelijkertijd contact te laten maken of een aanvraag te laten doen bij een bepaalde (internet)server, die daardoor overbelast raakt. Men noemt aanvallen om internetservices of sites plat te leggen ook wel DoS- of DDoS-aanvallen – ‘(distributed) denial of service’ – waarbij de aanval in het tweede geval vanaf meerdere systemen tegelijk wordt uitgevoerd. Vaak zijn websites van financiële instellingen en prominente (overheids)dienstverleners het doelwit van de (D)DoS -aanvallers en de programma’s waarmee dat gebeurt, worden ook wel flooders (vloedveroorzakers) genoemd.
DDoS-aanval
flooder
7.3 Opsporing Het ontdekken van een botnet is soms erg lastig omdat vooral malware wordt gebruikt die zich lange tijd schuil kan houden. Beschermende maatregelen in de vorm van een firewall zijn vaak niet afdoende omdat de flinke hoeveelheid bots die betrokken kunnen zijn normaliter allemaal een ander IP-adres hebben. Als gebruiker kunt u vaak niet meer doen dan uw ‘reguliere’ maatregelen treffen ter preventie en bestrijding van een malwarebesmetting. Deze maatregelen komen verderop in dit dossier nog aan de orde. Er zijn ook op netwerk-, beheerders- en providersniveau methoden en programma’s om een zombienetwerk te detecteren en eventueel te blokkeren. Zo zijn er beschermingsprotocollen waarbij gekeken wordt naar het besturingssysteem van een extern proces dat bepaalde verzoeken aan de kern doet en met behulp van deze ‘vingerafdrukken’ (OS fingerprints) zouden de botnets kunnen worden geïdentificeerd. Sommige speurders doen zelf wereldwijd onderzoek en monitoren met allerlei (hulp)middelen illegale activiteiten op internet om op tijd maatregelen te kunnen nemen. Een voorbeeld daarvan is Deutsche Telecom, dat zelfs digitale lokmiddelen (‘honeypots’) inzet om te kunnen zien waar ter wereld cyberaanvallen plaatsvinden en waar de narigheid vandaan komt.
73
firewall IP-adres
systeemproces OS fingerprint
honeypot
Malware en Phishing
Figuur 7.1 Waar komen al die cyberaanvallen toch vandaan? DNS
antimalware
Soms maken botnets gebruik van gratis DNS-diensten (‘domain name servers’) voor het verspreiden van en communiceren met de zombies. Door zo’n dienst uit te schakelen kan vaak een heel botnet worden platgelegd. Verder zijn er nog antimalwareproducenten die voor de opsporing en eliminatie van botnets speciale programma’s ontwikkelen gericht op (grote) organisaties die webdiensten verlenen of internetproviders.
Dat er een botnet actief is, wordt vaak in de media – en vooral via securitysites zoals waarschuwingsdienst.nl – bekendgemaakt, en dat is soms het enige signaal dat u er mogelijk deel van uitmaakt. In zulke publicaties worden soms ook hulpmiddelen aanbevolen om te controleren of de gemelde bot zich op uw systeem bevindt, en om die in dat geval te verwijderen.
Ook een besmetting met een bot is een malwareinfectie, dus de opsporing en bestrijding ervan is vergelijkbaar. Over de detectie van malware gaat het volgende hoofdstuk, de bestrijding komt verderop in dit dossier aan de orde.
74
8 Detectie U weet nu inmiddels wat malware, phishing en aanverwante narigheid inhouden, wat het allemaal kan aanrichten, en hoe deze ellende zich kan verspreiden. Maar hoe ontdekt u of deze vervelende verschijnselen tot uw computer zijn doorgedrongen? U hoeft niet Sherlock te heten om bepaalde aanwijzingen te zien, maar extra oplettendheid is vaak geboden! Het zal u ondertussen duidelijk geworden zijn dat cybercriminelen vooral de heimelijkheid zoeken en zich proberen op te houden in de krochten van uw systeem waar ze niet zo snel zullen worden ontdekt. Want hoe langer ze onontdekt aan het werk kunnen blijven, des te langer kunnen ze de malafide taken waarvoor ze zijn ontworpen, blijven uitvoeren.
8.1 Herkenning In dit hoofdstuk gaat de aandacht uit naar de herkenning en de opsporing van malware. Hoe ontdekt u dat er op uw systeem allerlei activiteiten ontplooid worden waar u zelf als gebruiker niet zoveel aan kunt doen. Zoals u hiervoor heeft kunnen lezen is de verspreiding van malware of besmetting ook vaak betrokken bij phishingactiviteiten of zombienetwerken. Daarom is het herkennen van bijvoorbeeld phishingmails of botnets ook belangrijk. Dat is al ruimschoots aan de orde geweest in voorgaande hoofdstukken. Op de volgende pagina’s eerst nog even de belangrijkste signalen die op phishing of botnets kunnen duiden.
75
herkenning opsporing
phishing zombie botnet
Malware en Phishing
verificatie
e-mail
Phishing Phishingmails kunnen heel geraffineerd geformuleerd zijn om u te verleiden (gevoelige) gegevens te verstrekken. Welke signalen zouden u (en uw collega’s in de organisatie) achterdochtig moeten maken? ▪▪ Verificatie Een financiële instantie vraagt u om ter verificatie uw inlog- of andere persoonlijke gegevens te verstrekken, of om via een link uw gegevens te controleren. Maar in de tekst zijn die persoonlijke gegevens niet vermeld, terwijl die wél bij de echte financiële instelling bekend zouden moeten zijn. In de regel stellen banken, financiële instellingen en (web)winkels zulke vragen niet, omdat ze zelf ook wel weten hoe gevoelig dit ligt. Ze gebruiken andere verificatiemiddelen, zoals het toesturen van een logincode of extra bevestigingscode via een bij hen bekend e-mailadres van u. Geef in principe nooit pincodegegevens of wachtwoorden af aan derden (maar dat wist u al). Neem bij twijfel contact op met de organisatie die in het verificatieverzoek is vermeld. Als zij van niets weten ... ▪▪ Actualiteit Veel phishers grijpen de actualiteit aan om u nepmails te sturen, zoals een gevaarlijk virus dat is opgedoken en mogelijk uw account heeft besmet (kan dat wel?), gewijzigde wet- en regelgeving, de introductie van nieuwe banknummering, et cetera. Ook vindt vaak verhoogde hengelactiviteit plaats als bijvoorbeeld jackpots in loterijen erg hoog staan, of als er flinke sommen gewonnen kunnen worden bij weddenschappen rond belangrijke sportevenementen. ▪▪ Geld In hoofdstuk 5 kwam u al andere signalen tegen zoals zielige verhalen en bedelbrieven, geblokkeerde rekeningen van overleden personen, erfenissen van onvermoede familie, hulpverzoeken bij het overschrijven van grote bedragen, en ga zo maar door.
76
detectie
Ook kettingbriefachtige mails waarmee u veel geld zou kunnen verdienen, zijn meestal verdacht. ▪▪ Links Als er in de mail een link staat, kunt u die aanwijzen en in de statusregel van uw venster verschijnt dan de URL (webadres) waar de hyperlink naar verwijst. Vaak kunt u in zo’n webadres al heel wat verdachte signalen vinden. Een inlogpagina van uw bank op een buitenlandse site? Lange cijfercodes waarin u niets herkenbaars ontdekt?
Als uw Engels redelijk is, kunt u zelf proberen of u verdachte links in mails kunt herkennen via de tien voorbeelden in de Phishing IQ-test op webpagina sonicwall. com/furl/phishing/ van de firewall-producent voor Dellproducten.
▪▪ Taalgebruik U mag van de officiële instanties die u een mail met een bepaalde mededeling of verzoek zouden sturen, redelijkerwijs verwachten dat ze dat in correcte taalformuleringen zullen doen. Natuurlijk, een typfoutje kan best wel eens voorkomen in een tekst, maar als een mail volstaat met taalfouten, onlogische zinsbouw, afwisselend gebruik van Engels en Nederlands en andere slordigheden, kunt u er wel van uitgaan dat de mail niet van een officiële instantie afkomstig is.
Blijf ook alert bij mails waarin geen taalfouten of andere slordigheden voorkomen. Want phishers letten steeds beter op hun taaluitingen of kopiëren passende en correct geformuleerde standaardzinnen uit echte mails van de organisaties die ze misbruiken.
77
URL
Malware en Phishing
bot
antimalware firewall
poort
Botnets Veel indicaties dat zich mogelijk een bot op uw systeem schuilhoudt, zijn er niet, want meestal is deze vorm van malware uitermate sluw in verstoptechnieken. Vaak hoort u pas van het bestaan van softwarebot of een zombienetwerk in de media. En als er al signalen zijn op uw systeem, gaat het meestal om nogal ‘vage klachten’ zoals een behoorlijk trage internetverbinding als u surft of mailt, of meldingen van uw beschermingssoftware (antimalware, firewall) dat er pogingen worden waargenomen om die software uit te schakelen. Een andere manier om mogelijke signalen op te vangen is een poortscan. Daarbij kunt u controleren of (met name vreemde) externe partijen toegang hebben tot uw computer via een opstaande poort. Want dat kan een signaal zijn dat uw systeem besmet is met een bot. Voorbeelden van online poortscanners vindt u onder andere op ipscanner.nl, of t1shopper.com/tools/port-scan/ (is wel Engelstalig).
Figuur 8.1 Een online scanner checkt welke poorten openstaan
IP-adres
Behalve het scannen van mogelijk openstaande poorten kunt u bij ipscanner.nl ook controleren of uw IP-adres op een zwarte lijst voorkomt. Bij T1shopper kunt u ook eigen poortadressen (of reeksen) checken.
78
detectie
Heeft u trouwens in figuur 8.1 het matige taalgebruik in de begeleidende tekst gezien? Dat zou u ook best eens hebben kunnen opvatten als een signaal van een onbetrouwbare website. U kunt dat met een online tool eigenlijk nooit helemaal zeker weten.
8.2 Alarmsignalen Er zijn nogal wat signalen die zouden kunnen duiden op de aanwezigheid van malware op uw systeem. Enkele zijn al even aan de orde geweest, zoals een uitermate traag werkende internetverbinding of een melding van uw beschermingssoftware. De belangrijkste signalen die bij u de alarmbellen zouden moeten doen rinkelen zijn: ▪▪ Continue activiteit op de achtergrond: de processor of de lees- en schrijfbewegingen op de HD blijven maar werken, terwijl u dat van de werkzaamheden of handelingen die u aan het uitvoeren bent niet zou verwachten. ▪▪ In idle time probeert uw systeem via internet contact te leggen met een andere locatie, en natuurlijk niet met uw vaste opslaglocatie in de cloud. Sowieso is activiteit op uw computer verdacht als u zelf niet aan het werk bent. ▪▪ Er vinden onverwachte gebeurtenissen plaats, zoals het opstarten van programma’s zonder uw tussenkomst, spontane herstart van het systeem, systeembestanden blijken opeens onvindbaar, er verschijnen plots pop-ups binnen of buiten een browsersessie, en dergelijke. ▪▪ Uw zoekmachine laat plotseling veel minder adequate resultaten zien of presenteert ongevraagde advertenties naast de resultatenlijst of in pop-ups. Er zijn speciale malwarevormen ontwikkeld om zoekmachineresultaten te beïnvloeden of aan te passen, of om u sowieso helemaal de verkeerde kant op te sturen. ▪▪ Verwijderde malware – zoals door een bestrijdingsprogramma – blijft toch maar steeds terugkomen. Dit duidt
79
idle time cloud
pop-up
Malware en Phishing
dropper
ransommail
skimming
plug-in
bestands uitgang
er vaak op dat er een zogenoemde dropper is achtergelaten. Die houdt zich ergens op uw systeem schuil om in een onbewaakt ogenblik de malware of eventueel nog andere narigheid op te halen via de internetverbinding. ▪▪ Het openen van een bestand of een webpagina wordt geblokkeerd door een bevriezend beeldscherm met in een dialoogvenstertje instructies om de blokkering op te heffen. Dit wordt vooral gebruikt bij ransommails (chantage, losgeld) en door hengelaars die angstscenario’s inzetten (‘uw account is gehackt …’, ‘de politie heeft illegale software op uw systeem aangetroffen …’). ▪▪ Belangrijke websites die u regelmatig bezoekt – waaronder ook de webpagina’s voor internetbankieren – zien er plotseling enigszins anders uit. Of een procedure die u normaliter volgt, is gewijzigd. Natuurlijk veranderen websites regelmatig qua vormgeving of procedurele (ver) werking, maar als u twijfelt, is het niet onverstandig om daarover even contact op te nemen met de organisaties achter deze belangrijke websites. Het skimmen van websites met valse (dialoog)vensters is een methode die bij veel cybercriminele activiteiten wordt gebruikt. ▪▪ Er verschijnen meldingen van beschermings- of bestrijdingsprogramma’s die u zelf niet heeft geïnstalleerd. Dat betreft meestal valse meldingen, of advertenties om u te dwingen die beveiligingssoftware aan te schaffen. ▪▪ Belangrijke variant op het vorige thema is het aanbieden van multimediamateriaal waarvoor ‘de codec of plug-in ontbreekt’ om het te kunnen afspelen. Vaak is het bestand vermomde malware (met een ‘bekende’ multimediabestandsuitgang), en anders brengt de link naar de ‘benodigde’ codec u wel op een malafide website. Sommige van de alarmbellen kunnen ook afgaan als u phishing of opname in zombienetwerken vermoedt. Als u dergelijke signalen opmerkt, is het verstandig om het zekere voor het onzekere te nemen en direct opsporings-, beschermings- of bestrijdingsmaatregelen te nemen. Daarover gaat het volgende hoofdstuk.
80
detectie
Global Virus Map Een handig hulpmiddel om te zien of er in onze contreien bepaalde ‘actuele’ virussen actief zijn – bijvoorbeeld als u daarover nieuws in de media heeft vernomen – is de Global Virus Map van antimalwareproducent McAfee.
Figuur 8.2 Global Virus Map
Daarop kunt u via de keuzelijst View linksonder en dan de keuze Top 10 computer- of bestandsbesmettingen met de toptienvirussen van de afgelopen tijd in beeld brengen. Ook de actualiteit is in te stellen linksonder bij Time Period: bijvoorbeeld de afgelopen 24 uur.
Figuur 8.3 Keuzevakken voor selectie wat de kaart moet tonen
81
9 Beschermen en bestrijden Hoeveel signalen u zelf ook kunt oppikken die erop duiden dat er malware aan het werk zou kunnen zijn, en hoe goed u die malware en ook bijvoorbeeld phishing kunt herkennen, u loopt in feite altijd achter de zaken aan. En het zou u een dagtaak bezorgen om steeds uw systeem of netwerk in de gaten te houden. Maar daar zijn natuurlijk andere middelen voor. Er is een hele industrie van softwareontwikkelaars die zich ten doel hebben gesteld u te helpen bij de bescherming tegen en bestrijding van malware. Velen nemen daarbij meteen ook phishing en spam op de korrel, al zijn dat toch een beetje andere takken van sport.
Oorzaak of gevolg? Ooit is wel beweerd dat de antimalwareindustrie zich noodzakelijk maakte door zelf virussen en andere narigheid in omloop te brengen. Deze verdachtmakingen zijn nooit echt bewezen, en trouwens ook wel enigszins ongeloofwaardig. Het zou een beetje ‘ziek’ zijn als artsen mensen ziek maken om ze vervolgens te kunnen genezen.
In dit hoofdstuk vindt u vooral voorbeelden van werkwijzen van deze software en de belangrijkste producenten. Ook leest u hoe u daar het beste mee om kunt gaan. Specifieke producten zelf komen daarbij niet aan bod, om twee redenen: programma’s met hetzelfde doel ontlopen elkaar
83
phishing spam
Malware en Phishing
meestal niet zoveel, en sommige programma’s zijn sterk op het ene punt, en zwakker op een ander vlak. U kunt voor uw volledige bescherming eventueel meerdere programma’s van dezelfde of van verschillende soort naast elkaar draaien. Dat gaat over het algemeen goed, al kunnen ze soms ook wel ‘conflicteren’. En welke u ook kiest of heeft geïnstalleerd: elke bescherming is beter dan helemaal geen bescherming.
9.1 Antimalware
signatuur
sandbox
Beschermings- en bestrijdingsprogramma’s voor malware zijn voor een groot deel gebaseerd op ‘bekende patronen’ – oftewel de signatuur van malware – die in grote databases worden geregistreerd. Die enorme gegevensverzamelingen kunnen worden geraadpleegd om allerlei narigheid te identificeren. Deze aanpak betekent dan wel dat patronen van nieuwe vormen of varianten nog niet in de ‘virusbibliotheek’ zijn opgenomen zodat die malware nog niet altijd direct kan worden herkend en bestreden. Heuristiek Sommige programma’s kiezen daarom voor een andere aanpak: via een heuristische analyse. Daarmee onderzoeken zij het gedrag, bepaalde eigenschappen of activiteiten (zoals het geven van instructies) van objecten. Dat doen ze in een beschermde omgeving – een sandbox – zodat eventuele schadelijke handelingen uw systeem toch niet kunnen aantasten. Op basis van die analyse besluiten ze of het om schadelijke activiteiten gaat.
Bijvoorbeeld het opsporen van tracking cookies – die het mogelijk maken uw surfgedrag te volgen – kan op die manier geschieden. Maar ook onbekende malware (‘in het wild’) kan zo vaak worden opgespoord.
84
beschermen en bestrijden
Nadeel van deze methode is dat er ook veel ‘false positives’ kunnen opduiken: onterechte meldingen van verdachte processen als mogelijke malware. Daarom wordt de heuristische methode vaak gecombineerd met de statistische methode op basis van bekende signaturen. Updaten De beschermings- en bestrijdingsproducten die gebruikmaken van statistische analyse op basis van bibliotheken met signaturen moet u dus goed up-to-date houden om er zeker van te zijn dat de programma’s in ieder geval alle tot dan toe bekende patronen kunnen herkennen. Meestal bevatten de antimalwareproducten handige automatische updatevoorzieningen.
false positive
update
Het zou onverstandig zijn de automatische updateservice van een antimalwareprogramma uit te schakelen. Controleer voor de zekerheid nog even of die optie überhaupt wel is ingeschakeld (liefst dagelijkse update)!
Het updaten van dergelijke programma’s heeft als belangrijk nadeel dat dit door de eindgebruiker moet geschieden voor het product dat op het systeem is geïnstalleerd. In grotere organisaties is er vaak al een beschermingsproduct op het netwerk geïnstalleerd, waardoor die eigen verantwoordelijkheid er niet is. En sommige providers nemen ook vaak maatregelen die bijvoorbeeld al operationeel zijn voordat bepaalde inhoud naar de gebruiker wordt verzonden. Vooral bij e-mailservers is dat het geval: die kunnen e-mail en bijlagen al vroegtijdig scannen, en verdachte berichten of spam doorsturen naar speciale mappen in de e-mailclient zoals de map Ongewenste e-mail. Niet alleen het updaten van antimalwareprogramma’s is belangrijk, ook van de andere software op uw systeem zou u bij voorkeur de automatische updateservice moeten gebruiken om eventuele lekkages en andere zwakke plekken te dichten
85
e-mail spam
lekkage
Malware en Phishing
patch
met patches. Want hoe ouder software is, des te groter de kans dat cybercriminelen daarin gaatjes of weeffouten hebben ontdekt waarlangs zij hun narigheid bij u naar binnen kunnen sluizen.
Denk niet alleen aan de reguliere programma’s waarmee u uw werk uitvoert, maar ook aan ondersteunende software zoals stuurprogramma’s of invoegtoepassingen in browsers. Vooral lekkages in oudere versies van Java (applets, scripts, runtime-engine) en plug-ins in browsers zoals Flash, zijn veelgebruikte routes die de cybercriminelen kiezen voor de verspreiding van hun narigheid. Ook drive-by downloads horen bij deze manier van transport.
9.2 Firewall firewall
trusted zone IP-adres
intruder detection hacken
Een speciaal soort beschermingssoftware is de firewall (er bestaan overigens ook hardwarematige varianten). Die beheert de toegang tot uw systeem, meestal vanuit de netwerkomgeving, en meer in het bijzonder vanuit internet. Door de poorten open te stellen of juist te sluiten, kan zo’n programma de toegang tot een systeem vrijgeven of juist blokkeren voor programma’s, netwerkprotocollen, internetverbindingen, en dergelijke. In een firewall draait alles om vertrouwen: welke programma’s en netwerkadressen zijn betrouwbaar en mogen dus vrij over de verbinding(en) opereren. Daarvoor heeft de firewall allerlei instellingsmogelijkheden via de tabbladen die u aantreft voor ‘trusted programs’ of ‘trusted zones’. Zo kunt u bijvoorbeeld voor alle computers in uw (thuis)netwerk een bereik van IP-adressen opgeven zodat ze onderling met elkaar kunnen communiceren. Maar als er een andere computer van buitenaf probeert contact te leggen – een indringer – zal er een melding van de firewall verschijnen. Dit noemt men meestal ‘intruder detection’, en dat is natuurlijk vooral een wapen tegen hacken.
86
beschermen en bestrijden
En mocht u per ongeluk een malwarebesmetting hebben opgelopen of een (kwaadaardig) proces wil vanuit uw systeem of het netwerk naar buiten, ook dan zal de firewall onmiddellijk reageren.
9.3 Phishingfilter
filter
Software om phishing op te sporen is meestal onderdeel van de webbrowser of van een e-mailprogramma. Maar bij cybercriminelen die bij een hengelpoging meteen malware inzetten om bijvoorbeeld kwaadaardige scripts bij u te installeren, bent u dan altijd te laat. Een grote softwareproducent beschrijft bijvoorbeeld in de procedure om een mogelijk onbetrouwbare site handmatig door het phishingfilter te laten controleren, als stap dat u eerst naar de te onderzoeken website moet surfen. Ons inziens zou u dat beter niet kunnen doen, want een malafide website kan ook de procedure Pagina openen gebruiken om malwarescript uit te voeren. Dan kunt u beter de (zwarte) lijsten van phishingsites controleren.
e-mail
Websites bij ophalen automatisch laten checken door hulpmiddelen in de browser is een betere optie, omdat dan meestal de verdachte webpagina nog niet meteen wordt geladen.
Filters zijn vooral handig als het gaat om phishing via email. Het e-mailprogramma moet namelijk de post ophalen bij een centrale server, en op het moment dat het bericht wordt weergegeven in een lijst of een voorbeeldpaneel is een bijbehorende (malafide) webpagina nog niet geopend. Zelfs een bericht dat is opgesteld in HTML – de markeertaal waarin ook webpagina’s zijn opgesteld – kan eventuele kwaadaardige code pas activeren op het moment dat u de mail daadwerkelijk opent, niet als u het in de lijst of het voorbeeld bekijkt.
87
server
HTML
Malware en Phishing
Gebruik bij twijfel nooit de in een e-mail – geopend of weergegeven in een voorbeeldpaneel – aangeboden hyperlink naar een weblocatie. Die snelkoppeling kan u doorlinken naar ongewenste sites via de parameters van de link. Typ eventueel het adres van de betreffende website zelf in in uw browser.
Er zijn hier en daar nog wel enkele ‘losse’ tools beschikbaar voor het opsporen van phishingactiviteiten, maar de meeste hulpmiddelen zijn ondertussen onderdeel van de grote antimalwarepakketten. Of ze echt naar behoren werken, is al lange tijd onderwerp van discussie. En vergeet niet: gezien de buit die de digitale boeven bij u zoeken – meestal gegevens die uw identiteit kunnen prijsgeven of bevestigen – is te allen tijde opperste alertheid gewenst. U kunt nooit volledig vertrouwen op vage tools.
social e ngineering
Social engineering Voor social engineering – en eigenlijk ook voor spamfilters, anti-adware, en dergelijke – geldt iets soortgelijks. Door de diversiteit van mogelijke benaderingen van cybercriminelen is het bijna onmogelijk om daar met speciale software bescherming of een remedie voor te realiseren. In de meeste gevallen gaat het bij social engineering om het verkrijgen van persoonlijke gegevens om er identiteitsfraude mee te plegen. Dus sowieso moet u op hoede zijn als iemand om uw persoonlijke gegevens vraagt, zeker als dat gevoelige nummers of codes betreft.
Of u bij een transactie, informatieverzoek of registratie wel al uw gegevens wilt verstrekken, is een kwestie waar u best wat regelmatiger over zou kunnen nadenken, of kritisch naar kunt kijken. Want al die gegevens kunnen natuurlijk toch gaan rondzwerven op internet.
88
beschermen en bestrijden
Er zijn altijd wel tooltjes die bijvoorbeeld in de gaten houden of niet stiekem een keylogger wordt geïnstalleerd op uw systeem, of dat er in uw afwezigheid vanaf een remote locatie activiteit plaatsvindt. Er bestaat echter geen programma om te controleren of een helpdeskmedewerker van uw softwareleverancier die u opbelt over een virusprobleem, wel een echte is. Dan zult u toch echt zelf even contact moeten opnemen.
keylogger
Belangrijkste beschermingsmaatregelen ▪▪ Installeer altijd een (vorm van) antimalwareprogramma en firewall, en houd die software up-to-date. ▪▪ Zorg dat ook uw besturingssysteem, browser, mailclient en alle andere software volledig up-to-date zijn. ▪▪ Gebruik bij het delen of versturen van gevoelige gegevens zo veel mogelijk beveiligde verbindingen zoals SSL (‘secure socket layer’) of transfer protocol HTTPS://. ▪▪ Sla gevoelige of cruciale gegevens liefst op in versleutelde bestandsformaten. Zeker als u ze gaat versturen. ▪▪ Wees dubbel voorzichtig met het openen van verdachte mails, bijlagen, webpagina’s en dergelijke die persoonlijke of gevoelige gegevens betreffen. Tenzij u zeker weet dat ze uit betrouwbare bron komen. ▪▪ Is uw mobiele apparatuur ook voorzien van beschermende software? En zijn die programma’s up-to-date? ▪▪ Let goed op uw mobiele spullen, zeker als u die regelmatig zakelijk gebruikt. Laptops, tablets, smartphones en externe opslagmedia als usb-sticks, memory cards en externe HD’s zijn belangrijke doelwitten voor digidieven en social engineers. Een goede voorlichting over de risico’s en gevaren van malware en phishing is ook een vorm van bescherming. Geef in uw organisatie eens een presentatie met aansprekende voorbeelden: die zullen voor veel medewerkers ‘eye-openers’ zijn.
SSL HTTPS
89
Malware en Phishing
9.4 Bestrijding bescherming bestrijding
recovery
lekkage patch zero-day exploit
quarantaine
back-up
Bescherming en bestrijding liggen vaak dicht bij elkaar, zeker als u de mogelijkheden in antimalwareprogramma’s bekijkt, maar toch is er een fundamenteel verschil. Bestrijding is pas nodig als u daadwerkelijk bent getroffen door malware (of social engineers). En dan heeft u nog een andere kwestie aan de hand: hoe herstelt u de schone situatie weer? Men noemt dat wel recovery, waarbij u bijvoorbeeld vanuit een back-up – on site of online – uw software, bestanden en gegevens kunt herstellen. Maar ondanks al uw beschermende maatregelen kan een besmetting u nog altijd treffen: bijvoorbeeld doordat cybercriminelen in populaire software toch weer een lekkage hebben gevonden. En tot het moment dat de producent daarvoor een patch heeft uitgebracht, bent u in principe kwetsbaar bijvoorbeeld door zero-day exploits. Daarom op de pagina hiernaast een checklist om na te lopen als u (denkt dat u) besmet bent geraakt. Recovery Hoe de bestrijding verloopt en uiteindelijk ook afloopt, kan nogal verschillen. In veel gevallen zal uw bestrijdingssoftware wel in staat blijken om de narigheid op het systeem te elimineren, of in ieder geval in quarantaine te plaatsen zodat u de malware na nader onderzoek eventueel zelf kunt verwijderen. Maar soms kan dat niet, en loopt u zodanige schade op dat uw schijf, of misschien zelfs uw hele systeem niet meer bruikbaar is. Dan zijn rigoureuzere maatregelen nodig zoals formatteren van uw harde schijf – waarbij dan ook alles erop verloren gaat – of het plaatsen van een nieuwe schijf, waarna u alle (besturings)software opnieuw zult moeten installeren. Bij zo’n recovery-operatie zult u ook moeten beschikken over een goede (niet-geïnfecteerde) back-up vanwaaruit u al uw belangrijke en gevoelige gegevens weer kunt ophalen. Maar dat spreekt vanzelf, toch?
90
beschermen en bestrijden
Wat te doen bij besmetting? ▪▪ Verbreek in eerste instantie de verbinding met uw netwerk of internet om verdere verspreiding van de besmetting te voorkomen. In een later stadium kan eventueel wel internetverbinding nodig zijn voor de bestrijding, maar laat dit dan door het malwarebestrijdingsprogramma verzorgen. ▪▪ Laat uw antimalwareprogramma direct een uitgebreide scan uitvoeren. Hopelijk hoeft u niet eerst de signatuurbibliotheek te updaten, want dan moet u alsnog internet op. ▪▪ Geen of out-of-date beschermingssoftware geïnstalleerd ten tijde van de besmetting? De belangrijkste mogelijkheden zijn dan: een zelfstandig opstartende cd of dvd (boot-cd) met bestrijdingssoftware uit de doos, of – als het echt niet anders kan – online scannen. Diverse grote bestrijdingssoftwareontwikkelaars bieden zowel een online scan aan, als ook de mogelijkheid om een rescue disk te downloaden (op een niet-besmette computer) om die zelf te branden. ▪▪ Nog geen bestrijdingsmethode beschikbaar in uw antimalwareprogramma (vaak bij zero-day exploits)? Zoek – via een ‘schoon’ apparaat – op internet naar eventuele bestrijdingsmiddelen, maatregelen, speciale tools of handelingen voor deze (nieuwe) besmetting. Ook in andere situaties, bijvoorbeeld als andere bestrijdingsmethoden niet mogelijk blijken, kan het handig zijn extra informatie op te zoeken over de besmetting.
boot-cd online scan
zero-day exploit
Beleid Regelmatig overleg met collega’s of externe partijen – vooral met degenen die (eind)verantwoordelijk zijn voor het automatiseringsgebeuren in uw organisatie – over malware, phishing en andere risico’s en bedreigingen, is natuurlijk een goede zaak.
91
Malware en Phishing
En dat kan uiteindelijk uitmonden in een beleid met handzame (en te handhaven) regels ten aanzien van belangrijke beveiligingskwesties.
Ook als u zelfstandig werkt of bij thuis- of telewerken, is het verstandig uw zaken te documenteren of in beleidsregels te formuleren. Zo weet u in de tijd van chaos na een calamiteit direct wat er ook allemaal weer moet gebeuren.
9.5 Een gewaarschuwd mens... Zeg nooit dat het u niet zal overkomen. Want ondanks alle beveiligingsmaatregelen en beleidsregels is het nooit helemaal zeker dat u buiten alle gevarenzones bent. Tot slot van dit dossier dus nog enkele tips die u voor twee doen tellen: ▪▪ Volg de media als ernstige of kritieke beveiligingsrsico’s opduiken. Gebruik die informatie om workarounds of tools te vinden om besmetting of schade te voorkomen. ▪▪ Lees de nieuwsbrieven – die zijn helaas wel meestal in e-mailvorm – of webpagina’s van de producent van uw beschermings- en bestrijdingsprogramma’s. ▪▪ Raadpleeg regelmatig waarschuwingsdiensten of nieuwssites op dit gebied. In het kadertje vindt u enkele veelbekeken voorbeelden daarvan.
▪▪ waarschuwingsdienst.nl ▪▪ virusalert.nl ▪▪ beveiligingnieuws.nl ▪▪ security.nl
Ook bij bekende ICT-informatie- en nieuwssites als Tweakers, WebWereld en TechNet, treft u regelmatig berichten over malware en de bestrijding ervan. Maak er gebruik van en doe er uw voordeel mee!
92
Register ActiveX 46 Adware 23, 27, 33, 72 Antimalware 17, 74, 78, 84 App Store 35 Apple 21 Applet 21, 46, 86 Backdoor 24, 27, 37, 70, 72 Back-up 12, 90 Beleid 12, 66, 91 Bescherming 90 Besmettingsbron 31, 38 Bestandsuitgang 40, 80 Bestandsvirus 22 Bestrijding 90 Bèta-versie 47 BIOS 32 Bluetooth 36 Boot-cd 91 Bootsector 21, 22 Bootvirus 22, 41, 42 Bot 39, 69, 78 Bot herder 70, 72 Botnet 10, 20, 39, 47, 69, 75 Bug 37, 46 Bugfix 46 BYOD 14 Camera 62 Certificaten 44 Cloud 15, 33, 79 Cluster 69 Computervredebreuk 32, 50 Continuïteit 42
Cookie 25, 28 Crawler 69 Crimeware 26 Datapakketjes 44 DDoS 16, 24 DDoS-aanval 73 Dialer 26 Distributed computing 69 DNS 14, 74 DOS 21 Drive-by download 46, 86 Dropper 80 Dumbo-proof 45 E-mail 33, 38, 50, 61, 76, 85, 87 Encryptie 66 Executable 40 Exploit 90 False positive 85 Filter 87 Firewall 24, 40, 41, 43, 44, 73, 78, 86 Flash 86 Flooder 73 Freeware 28 Hacken 32, 49, 51, 59, 86 Heuristiek 84 Herkenning 75 Hoax 29 Honeypot 73
93
Malware en Phishing
HTML 87 HTML-script 25 HTTPS 89 IBAN 51 Identiteitsfraude 17 Idle time 70, 79 Image 31 Incubatietijd 39 Infection 17 Infrastructuur 14 Intruderdetection 86 iPad 21 IP-adres 45, 71, 73, 78, 86 iPhone 21 IPv6 45 IRC 71 ISP 71 Java 46, 86 Kaasschaafvirus 23 Keylogger 26, 62, 89 Lekkage 14, 46, 59, 85, 86, 90 Logische bom 23, 27, 38 Macro 21, 22 Macrovirus 22 Mailvirus 22 Malware 16, 19 Man-in-the-middle 44 Media 32 Misdrijf 32 MMS 36 Mobiel virus 23 Motieven 9
94
Online scan 91 Opsporing 75 Opstartsector 22, 42 OS fingerprint 73 P2P 33 Patch 46, 86, 90 Payload 17 Peer-to-peer 33 Phishing 17, 39, 41, 45, 49, 75, 83 Play Store 35 Plug-in 21, 46, 80, 86 Poort 34, 43, 78 Pop-up 50, 79 Portscanning 43 Provider 71 QR-barcode 36 Quarantaine 90 Ransommail 54, 80 Rechten 35 Recovery 12, 90 Register 40, 41 Reputatie 43, 55 Respons 11, 72 Roaming 27 Rootkits 25 Sandbox 84 Screensaver 65 Script 21, 25, 33, 40, 72, 86 Security awareness 67 Server 33, 70, 87 Shareware 28 Shutdown 41 Signatuur 38, 84
REGISTER
Skimming 44, 80 Sniffing 44 Social engineering 17, 18, 41, 57, 88 Sociale media 15, 57, 59, 66 Spam 10, 20, 35, 49, 71, 72, 83, 85 Spider 69 Spionage 10, 20, 27 Spoofing 44 Spyware 23, 27, 32, 33, 64, 72 SQL-injectie 16, 25 SSL 89 Stand-alone 45 Stealthware 28 Sterk wachtwoord 65 SQL-injectie 16, 25 Systeembronnen 21, 39, 43 Systeemproces 40, 73
Virus 15, 16, 20 VoIP 35 Wachtwoord 18, 20, 27, 44, 49, 51, 55, 57, 60, 64 Wachtwoordmanager 65 Wisselbestand 40 Worm 16, 23, 34, 70 XSS 25 Zero-day exploits 46, 90, 91 Zombie 10, 70, 75
TCP 14 Telemeeting 44 Telewerken 67, 92 Tijdbomvirus 23 Tracking cookie 29, 84 Trojan 16, 23, 24, 27, 35, 39, 70 Trusted zone 44, 86 Typosquatting 34 Update 31, 85 Updating 61 URL 54, 77 URL hijacking 34 Veilige modus 42 Verificatie 76
95
Nu malware is uitgegroeid tot een serieuze criminele activiteit, kunt u er niet meer omheen: zonder adequate maatregelen zet u de continuïteit van het bedrijf op het spel. U zult zich dus moeten verdiepen in de wereld van hacken, trojans en phishing om te weten welke stappen het beste zijn. Alles op slot zetten is daarbij geen optie, want uw bedrijfssystemen moeten ook gewoon bruikbaar blijven om mee te werken. U kunt echter ook een hoop narigheid voorkomen als u gericht werkt aan voorlichting voor alle medewerkers en aan preventie. Een goed inlog- en wachtwoordbeleid kan al veel schelen. Ook het beveiligen van de apparatuur die medewerkers mee van huis nemen, voorkomt de nodige problemen. Kortom, wapen u tegen de inventiviteit die de cybercrimineel aan de dag legt. Hopelijk kan dit dossier u daarbij een handje helpen!
Malware en Phishing Malware maakt meer kapot dan u lief is
Malware maakt meer kapot dan u lief is
Malware en Phishing
Malware maakt meer kapot dan u lief is
mei 2013
JA ARGANG 9
▶
NUMMER 3
▶
mei 2013
