Wie heeft mijn inloggegevens?

Door 17 december 2020 december 21st, 2020 Blog, CERT, Digital Risk Protection

Weet jij wie in het bezit is van JOUW inloggegevens? Diefstal van vertrouwelijke gegevens door hackers is aan de orde van de dag. Maar wat kunnen zij hiermee en wat is de schade die er mee aangericht kan worden? Kun je die schade beperken?

Een voorbeeld uit de praktijk

Jouw organisatie is slachtoffer geworden van een hacker en verschillende databases worden gestolen. Eén van de databases bevat inloggegevens van medewerkers en directieleden. Met name de laatste categorie is interessant voor een hacker: hiermee kunnen zij zich voordoen als directielid en bijvoorbeeld fraude plegen. Natuurlijk kunnen de inloggegevens ook gebruikt worden om andere systemen te misbruiken, met alle gevolgen van dien.

In veel gevallen wordt de ‘hack’ pas veel later ontdekt en zijn de vertrouwelijke gegevens in sommige gevallen al misbruikt voordat een organisatie hier erg in heeft (In 2019 duurde het gemiddeld 209 dagen voor een hack werd ontdekt. Bron IBM). Vertrouwelijke gegevens, zoals inloggegevens zijn geld waard op digitale zwarte markten die vaak verscholen zijn op het Deep en Dark Web. Om het Dark Web te betreden is speciale tooling nodig, een standaard internet browser werkt bijvoorbeeld niet. Hoe kom je er dan achter of jouw gegevens op het Dark Web worden verhandeld en mogelijk misbruikt worden?

Digital Risk Protection

Omdat bovenstaande vragen door veel organisaties niet of nauwelijks beantwoord kunnen worden, biedt Tesorion de dienst Digital Risk Protection (DRP) aan. Met behulp van DRP worden het Clear, Deep en Dark Web in de gaten gehouden en ontvang je een melding als er signalen zijn dat bijvoorbeeld jouw vertrouwelijke gegevens gelekt zijn of door criminelen verhandeld worden.
Wanneer het bijvoorbeeld gaat om gestolen inloggegevens, dan kan je direct actie ondernemen door de wachtwoorden te veranderen om zo een cyberincident voor te zijn of om in ieder geval de schade voor jouw organisatie te beperken.

Met DRP kunnen ook nep domeinen gevonden worden die sterk lijken op jouw eigen domein. Bijvoorbeeld www.0rganisatie.nl. Hier is de letter ‘o’ vervangen door het cijfer ‘0’. Zo’n aanval wordt typosquatting genoemd. Deze werkwijze wordt vaak gebruikt bij een phishingaanval om inloggegevens te bemachtigen. Met behulp van DRP kan dit nep domein verwijderd worden om de phishingaanval te voorkomen. Ook kan het zijn dat je door DRP bewust wordt van het feit dat jouw organisatie (in het verleden) is gehackt. In dat geval kan je direct schakelen met het T-CERT van Tesorion om een onderzoek te starten naar de oorzaak van de hack en advies in te winnen om verdere schade te voorkomen.

Waar kan ik Digital Risk Protection nog meer voor in zetten?

Een bekend raamwerk voor cyber security is Prevent, Protect, Detect & Respond. Met DRP wordt er een extra stap voor geplaatst, namelijk Predict. Een potentiële aanval kan vroegtijdig ontdekt worden en zo worden onaangename verrassingen voorkomen. Hoe dat werkt?
Een cyberaanval wordt veelal goed voorbereid door hackers en ook hier wordt gebruik gemaakt van het Dark Web. Hackers gebruiken Dark Web Fora om hun plannen te smeden en te delen, om zo hun aanval te coördineren.

Een recent voorbeeld is een gepubliceerde lijst met zo’n 50.000 Fortinet VPN-logingegevens van kwetsbare organisaties. Door gebruik te maken van een kwetsbaarheid in het ForitGate-systeem wist een hacker VPN-inloggegevens te bemachtigen van onder andere banken, overheden en telecombedrijven. De database met gegevens van ongeveer 6,7 gigabyte is online aangeboden op fora die veel gebruikt worden onder hackers.

Waarvoor kan je DRP dan nog meer inzetten? We geven een aantal voorbeelden:

  • Signaleren van aanvalsindicatoren op bijvoorbeeld hacker-fora
  • Herkennen van gelekte vertrouwelijke gegevens
  • Beschermen van een merknaam, door bijvoorbeeld “nep-websites” te herkennen
  • Detecteren van (aanstaande) phishing aanvallen
  • Vinden van onnodig blootgestelde gegevens en (kwetsbare) systemen
  • VIP-Bescherming

DRP geeft inzicht in de digitale wereld waar je vanuit je eigen netwerk niet direct zicht op en toegang toe hebt. DRP wordt ook wel “outside the wire” monitoring genoemd. De informatie die DRP levert kan ingezet worden om beveiligingsmaatregelen veel nauwkeuriger te bepalen en in te zetten. Hiermee kan ook getoetst worden of het beveiligingsbeleid wel focus heeft op de meest belangrijke zaken.