In 6 stappen je bedrijf ontregeld: zo werkt een hacker
Of je nu een multinational of mkb’er bent: het is belangrijk je onderneming te beschermen tegen een cyberaanval. Hackers kunnen met een paar slimme trucjes flink wat schade veroorzaken. Ethisch hacker Sijmen Ruwhof (34) legt uit hoe hackers in 6 stappen je bedrijf kunnen ontregelen.
Sijmen Ruwhof's werk als ethisch hacker
Sijmen Ruwhof hackt legaal om cybercriminaliteit te voorkomen. Hij werkt voor bedrijven en de overheid. Hij zoekt fouten in hun systemen en netwerken. Zo helpt hij hun digitale beveiliging verbeteren.
Duizenden bedrijven tegelijk aanvallen
“De meeste criminele hackers richten zich niet op één bedrijf”, legt Sijmen uit. “Integendeel: ze willen met zo min mogelijk werk zo veel mogelijk bedrijven aanvallen.” Daarom doen ze aan geautomatiseerd hacken. Ze installeren programma’s of software waarmee ze in één keer duizenden bedrijven aanvallen.
Dit zijn de 6 stappen van een mogelijk hackproces:
- Stap 1: het bedrijf verkennen
- Stap 2: het netwerk binnendringen
- Stap 3: dieper in het netwerk komen
- Stap 4: toegang tot de bestanden
- Stap 5: bestanden extern opslaan en/of blokkeren
- Stap 6: ongezien wegkomen
Stap 1: het bedrijf verkennen
“Stel dat ik één bedrijf wil hacken. Dan begin ik met de verkenning. Ik bestudeer de website. Hoeveel mensen werken er? Wat is het fysieke adres? Het KVK-nummer? En wat staat er in de (ICT-)vacatures?”
Werknemers opzoeken
“Via LinkedIn zoek ik werknemers op. Sommige mensen noemen daar ook hun geboortedatum. Handig! Ik probeer zo veel mogelijk waardevolle informatie te verzamelen: persoonsgegevens, e-mailadressen, telefoonnummers en domeinnamen van websites. Zo breng ik het aanvalsoppervlak in kaart. En wie weet helpt deze informatie me later bij het kraken van wachtwoorden van gebruikersaccounts.”
Een bedrijf met duizenden werknemers hacken kost twee à drie maanden
Beveiliging checken
“Als ervaren hacker heb ik honderden verschillende trucjes om je computer binnen te komen. Vaak gebruik ik diverse technieken tegelijk om mijn kansen te vergroten.
Ik check bijvoorbeeld ook de digitale beveiliging van internetservers. Via de paginabron van de website bekijk ik welk contentmanagementsysteem het bedrijf gebruikt. Zo zie ik of de laatste software-updates gedownload zijn. Zo niet, dan vind ik een mogelijk beveiligingslek. Langzaam ontdek ik hoe goed het bedrijf beveiligd is. En hoe voorzichtig ik dus te werk moet gaan.”
Stap 2: het netwerk binnendringen
“Inmiddels heb ik persoonsgegevens van enkele werknemers verkregen. Ik kan ze nu bijvoorbeeld een phishing mail of sms sturen. Een vals berichtje dat van een betrouwbare afzender lijkt te komen. Deze methode heet social engineering. Ik zoek de zwakste schakel binnen het bedrijf. Vaak zijn dit de werknemers..”
Phishing
“Ik maak bijvoorbeeld een nepmail over een actueel onderwerp en stuur deze uit naam van MijnOverheid. Ook voeg ik er een PDF-bestand aan toe. Met een PDF vol exploitcode misleid ik werknemers. Na opening van de PDF krijg ik toegang tot hun computer.”
Stap 3: dieper in het netwerk komen
“Ik heb nu toegang tot de computer van een werknemer: ik kan alle bestanden inzien, de webcam en microfoon gebruiken. Vanuit deze computer kan ik meer systemen van het bedrijf.
Via deze computer bereik ik meer systemen van het bedrijf. Ik zoek naar andere computers met meer rechten of belangrijke bestanden. Voor permanente toegang installeer ik software die ik op afstand beheer. Ik kijk naar het hele netwerk, vind zwakke plekken en krijg controle over systemen en accounts.”
Onzichtbaar blijven
Onzichtbaar blijven kost veel tijd. Grote bedrijven hebben cybersecurity-afdelingen die hackers opsporen. Ik moet slim en voorzichtig zijn. Hacken is een kat- en muisspel. Soms vertraagt een antivirusscanner me, waardoor ik langer moet wachten. Een bedrijf hacken kan twee tot drie maanden duren.
Stap 4: toegang tot de bestanden
“Door simpele en vaak gebruikte wachtwoorden te proberen, krijg ik meer rechten. Met de overgenomen accounts krijg ik toegang tot geheime bedrijfsinformatie. Veel werknemers gebruiken enkele wachtwoorden voor al hun systemen. Daar maak ik misbruik van!!”
Stap 5: bestanden extern opslaan en/of blokkeren
“De informatie moet ik nu veiligstellen door het naar mijn server te uploaden. Met slechte intenties kan ik het bedrijfsnetwerk versleutelen met gijzelsoftware. Werknemers hebben dan geen toegang en het bedrijf is geblokkeerd. Daarna laat ik een bericht achter voor het bedrijf. Voor toegang moeten ze € 400.000,- in bitcoins betalen binnen drie dagen..”
Stap 6: ongezien wegkomen
“Mijn missie is bijna klaar. Ik moet nog mijn sporen wissen. Ik verwijder logboeken, bestanden en opdrachten die ik uitvoerde. Zo voorkom ik dat een IT'er ze later ontdekt. Een criminele hacker kan een backdoor installeren voor de zekerheid. Met deze software kan je later weer in het systeem komen.”
En dan… achterover leunen!
“Het is klaar. We hebben alles binnen en de sporen zijn uitgewist. We hebben nu altijd toegang tot het netwerk."
Zinvol onderzoek
Sijmen hackt alleen als bedrijven hem uitnodigen en toestemming geven. Hij wil helpen, niet chanteren. Toch is hij blij als een hack lukt. "Het ontdekken van een beveiligingslek voelt geweldig," zegt hij. Hacken is als puzzelen voor hem. Hij zoekt dagenlang naar het missende stukje. Klanten vinden het minder leuk als hij binnendringt, maar onderzoek is zinvol. Nu kan Sijmen uitleggen hoe de organisatie zich beter beschermt tegen een cyberaanval
De 3 beste beveiligingstips van Sijmen
- Tip 1: stel tweestapsverificatie in: gebruik je wachtwoord plus een code via sms of app;
- Tip 2: installeer een wachtwoordmanager, zodat je werknemers sterke en unieke wachtwoorden kunnen maken;
- Tip 3: zorg dat je werknemers zich bewust is zijn van cybersecurity. Ze weten waarom het nodig is en kennen hun eigen verantwoordelijkheid hierbij.
Cyberverzekering: verzeker je bedrijf tegen de gevolgen van een cyberaanval
Met de Cyberverzekering van Nationale-Nederlanden verzeker je je bedrijf tegen de gevolgen van een cyberaanval en cybercrime. Interesse in onze cyberverzekering? Check eerst de voordelen van onze cyberverzekering. Neem contact op met je adviseur voor advies of om de verzekering aan te vragen.