Doorzoek de gemeenschap

De cyberaanval op de politie eind september heeft de organisatie in zijn kern geraakt. Volgens de politie is de aanval vermoedelijk uitgevoerd via een gestolen inlogsessie, een zorgwekkende onthulling die de gemoederen hoog doet oplaaien. Bij deze aanval zijn de gegevens van maar liefst 63.000 politiemedewerkers in handen gevallen van onbekende cybercriminelen. In een schokkende verklaring van Stan Duijf, hoofd Operaties bij de Eenheid Landelijke Opsporing en Interventies, komt naar voren dat de aanvallers een zogenaamde 'pass-the-cookie'-aanval hebben uitgevoerd. Dit houdt in dat ze een actieve sessie konden overnemen zonder opnieuw in te loggen, waardoor ze dezelfde rechten kregen als de oorspronkelijke gebruiker. Het verkrijgen van toegang tot deze gevoelige informatie kan op verschillende manieren zijn gebeurd, waarbij phishing een veelvoorkomende methode is. De gevolgen van deze cyberaanval zijn verstrekkend; privégegevens van de politiemedewerkers zijn gestolen, en de politie is momenteel druk bezig uit te zoeken wat er met deze data is gebeurd. Begin oktober werd door inlichtingendiensten gesuggereerd dat de hackers mogelijk in opdracht van een ander land hebben gehandeld, hoewel de naam van dat land in het duister blijft. De diefstal van een cookiebestand heeft de hackers in staat gesteld om zich voor te doen als een politiefunctionaris. Hierdoor konden ze het politiesysteem binnendringen en een waardevolle buit stelen: een lijst met namen, e-mailadressen en soms telefoonnummers van vrijwel alle medewerkers van de organisatie. De hackers wisten op slinkse wijze een of meerdere browsercookies te stelen, waarmee ze toegang kregen tot het interne systeem. Browsercookies zijn kleine bestanden die informatie opslaan van websites die je bezoekt en die op je computer of smartphone worden bewaard. Het stelen van zulke cookies is echter geen eenvoudige opgave; het vereist al enige toegang tot het systeem van het slachtoffer. De aanvallers hebben waarschijnlijk malafide software geïnstalleerd op het apparaat van een politiemedewerker. Dit kan door middel van phishing, maar ook door beveiligingslekken in software uit te buiten. De politie houdt de lippen stijf over deze specifieke aspecten van de hack, aangezien het onderzoek nog in volle gang is. Er wordt bovendien onderzocht of meerdere hackers bij verschillende fases van de aanval betrokken waren, aangezien dit in de cyberwereld vaak het geval is, waarbij elke hacker zijn eigen specialiteit heeft. In de nasleep van de hack is de politie duidelijk: tot nu toe lijkt het erop dat er geen andere informatie is buitgemaakt dan de eerder genoemde lijst van tienduizenden politiemedewerkers. Wat de hackers precies van plan zijn met deze gegevens, blijft een raadsel, want tot nu toe is er geen spoor van de gestolen informatie opgedoken. De AIVD en MIVD beschouwen deze aanval als ernstiger dan aanvankelijk gedacht en vermoeden dat er een land achter de hack schuilgaat. Volgens bronnen van de NOS zou het zelfs om Rusland kunnen gaan. Voor de verontruste medewerkers is er inmiddels een meldpunt geopend en heeft de politie extra veiligheidsmaatregelen genomen. De schaduw van de cybercriminaliteit hangt dreigend boven de organisatie, en het is duidelijk dat de strijd tegen deze digitale aanvallers nog maar net is begonnen. De wereld van cyberbeveiliging is in een voortdurende staat van evolutie, en de politie blijft vastberaden in haar zoektocht naar antwoorden en het beschermen van de gegevens van haar medewerkers. De komende tijd zal cruciaal zijn in het ontrafelen van deze complexe cyberaanval en het voorkomen van toekomstige incidenten.

Qishing is een nieuwe vorm van phishing die gebruik maakt van QR-codes. In tegenstelling tot traditionele phishing-aanvallen via e-mail, verspreiden hackers nu malafide websites door QR-codes te gebruiken. Deze QR-codes kunnen overal worden geplaatst, zodat nietsvermoedende slachtoffers ze scannen en naar de kwaadaardige website worden geleid. De opkomst van QR-codes is voornamelijk te wijten aan de coronapandemie, waarbij fysieke menukaarten in de horeca werden vervangen door QR-codes om de verspreiding van het virus te verminderen. Hierdoor zijn QR-codes genormaliseerd en zijn mensen meer bereid om ze te scannen. Het gevaar van qishing is dat het moeilijk te herkennen is. Er is meestal geen bijgevoegde tekst die verdacht kan lijken, en gebruikers gaan ervan uit dat het veilig is om een QR-code te scannen. Bovendien kunnen deze phishing-e-mails omzeild worden door de filters in de inboxen. Er zijn enkele factoren waar je op kunt letten om qishing-berichten te herkennen. Deze omvatten e-mails die lijken te zijn verzonden door populaire bedrijven zoals Microsoft, het gebruik van het e-mailadres van het bedrijf waarin het slachtoffer werkt, dwingende en tijdsgebonden verzoeken om in te loggen met 2FA of wachtwoord, en het verzoek om de QR-code met de smartphone te scannen. Het is belangrijk om te melden dat security awareness-trainingen kunnen helpen om werknemers bewust te maken van de gevaren van qishing. Het is ook vermeldenswaard dat hackers QR-codes niet alleen gebruiken voor qishing, maar ook voor een ander type aanval genaamd QRLJacking. Hierbij maken hackers misbruik van applicaties die gebruikers de mogelijkheid bieden om in te loggen met QR-codes, door gekopieerde codes te gebruiken op kwaadaardige websites. Het gebruik van QR-codes brengt dus nieuwe gevaren met zich mee en het is belangrijk om alert te blijven. Het is aan te raden om verdachte e-mails en QR-codes te vermijden en indien mogelijk altijd te controleren of de website legitiem is voordat je persoonlijke informatie invoert. Het volgen van security awareness trainingen en het gebruik van beveiligingssoftware kan ook helpen om jezelf te beschermen tegen qishing en andere vormen van phishing.

Microsoft waarschuwt voor een toename van kwaadaardige activiteiten door een groep genaamd Storm-0539, die zich richt op fraude en diefstal van cadeaukaarten via geavanceerde e-mail- en SMS phishingaanvallen. Deze aanvallen zijn vooral gericht op detailhandelsbedrijven tijdens de feestdagen. De aanvallen verspreiden links die leiden naar phishing pagina's, ontworpen om inloggegevens en sessie tokens te stelen. Storm-0539 kan hiermee MFA beveiligingen omzeilen en blijft onopgemerkt in de systemen van de slachtoffers. Microsoft meldde in zijn Microsoft 365 Defender rapport dat Storm-0539 sinds ten minste 2021 actief is en zich richt op het stelen van gebruikersgegevens voor initiële toegang. De groep gebruikt ook de cloudservices van de doelorganisatie voor verdere aanvallen. Deze informatie volgt op Microsofts recente actie tegen een Vietnamese cyber criminele groep, Storm-1152, die toegang verkocht tot frauduleuze Microsoft-accounts. Microsoft waarschuwt ook voor het misbruik van OAuth applicaties door cybercriminelen voor activiteiten zoals zakelijke e-mailcompromissen, phishing en het illegaal delven van cryptocurrencies.