De onbegrensde creativiteit van hackers

Onlangs kreeg IKEA te maken met een relatief nieuw manier van hacking: de e-mail reply chain-aanval. Als het geen criminele activiteit was, zou je kunnen zeggen dat het een slimme manier is om een bedrijf met malware te infecteren. In deze blog leggen we uit hoe het werkt en wat je kunt doen om ter bescherming van netwerk en data.

Nog altijd is phishing via e-mail de meest gebruikte manier door internetcriminelen om netwerken van bedrijven en organisaties binnen te dringen. Een punt is ook dat internetcriminelen steeds slimmer worden. Een relatief nieuwe techniek die zij hanteren is die van de e-mail reply chain-aanval. Bij deze techniek wordt allereerst één of meerdere e-mailaccount(s) gehackt. Vervolgens gaat de hacker gesprekken volgen die via de mail worden gevoerd om te bekijken wat de mogelijkheden zijn om malware of schadelijke links naar de deelnemers in het gesprek te versturen. Een effectieve manier, omdat de deelnemers in het gesprek elkaar kennen en vertrouwen en niet beducht zijn op mogelijke malware. De schadelijke mail wordt immers ‘gewoon’ verstuurd van het account van een van de deelnemers aan het gesprek. En bovendien heeft deze mail inhoud die aansluit op het eerdere gesprek.

Heb je dat dan niet door?

Je zou denken dat gebruikers snel genoeg in de gaten hebben dat hun mailaccount gebruikt wordt. Vergeet echter niet dat de hacker toegang heeft tot de instellingen van het account. Zo kan de hacker mails van bepaalde ontvangers laten doorsturen naar een ander account, of ervoor zorgen dat bepaalde mails in een apart mapje worden geplaatst. Een e-mail reply chain-aanval wordt meestal opgesteld zonder de kenmerkende taalfouten. En omdat een antwoord wordt toegevoegd in een bestaande keten van mails en van een ‘betrouwbare’ afzender, stijgt het risico dat andere medewerkers de malware openen. Met alle gevolgen van dien.

Via de firmware

Maar daar houdt de creativiteit van hackers niet op. Ook in het nieuws van de afgelopen weken: meer dan 150 modellen van HP-printers hebben een foutje in de firmware. Langs dat foutje kunnen hackers gebruikersnamen en wachtwoorden achterhalen van personen die documenten naar de printer hebben gestuurd om uit te printen. Zo’n wachtwoord wordt bijvoorbeeld meegestuurd om ervoor te zorgen dat de printer het document automatisch en direct verwerkt, zonder eerst om een wachtwoord te hoeven vragen. Via persoonlijke accounts komt een hacker op deze manier binnen in het systeem. De fout in de firmware van HP is inmiddels gedicht, maar het geeft aan dat hackers op de meest ingenieuze manieren openingen vinden.

Wat te doen?

Zaken als bewustwording en een strikt wachtwoordenbeleid zijn en blijven natuurlijk belangrijk. En daarnaast adviseren wij altijd om een air-gapped back-up te hebben.

Namens alle medewerkers van COMEX: hele fijne kerstdagen en een goed begin van het nieuwe jaar!