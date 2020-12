Het einde van 2020 is nog enkele uren van ons verwijderd, tijd om op dit bewogen jaar terug te blikken en de belangrijkste gebeurtenissen te bespreken. Het zal weinigen ontgaan zijn dat er de afgelopen twaalf maanden ook op het gebied van cybersecurity en privacy het nodige gebeurde.

Net als voorgaande jaren waren datalekken en beveiligingsincidenten aan de orde van de dag. Verschillende ontwikkelingen die dit jaar plaatsvonden hadden een grote impact op slachtoffers of de privacy van gebruikers en burgers.

Ransomware

Eindigden we 2019 met de ransomware-aanval op GWK Travelex en de Universiteit Maastricht, begin deze maand kreeg de gemeente Hof van Twente met een omvangrijke ransomware-infectie te maken waardoor de dienstverlening aan burgers werd verstoord. Eerder dit jaar wisten aanvallers ook bij het Friese onderzoeksinstituut Wetsus binnen te dringen en moesten ook systemen van Veiligheidsregio Noord- en Oost-Gelderland en Sportfondsen Nederland eraan geloven.

Tal van grote bedrijven en organisaties werden dit jaar het doelwit van ransomware, Randstad, Foxconn, Canon, Capcom, Garmin, Hydro, Honda, Cognizant, Picanol, SPIE ICS, Whirlpool, Mattel, Equinix, Nielsen en Royal Reesink. In de Verenigde Staten werden tal van schooldistricten door middel van ransomware platgelegd en werden ook allerlei ziekenhuizen en zorginstellingen getroffen.

Waren lange tijd eindgebruikers het doelwit van ransomware, inmiddels hebben criminelen hun focus volledig gericht op bedrijven en organisaties. De Fraudehelpdesk laat aan Security.NL weten dat het nauwelijks meldingen over ransomware krijgt. De impact van een succesvolle ransomware-aanval is voor organisaties veel groter en aanvallers kunnen ook meer losgeld eisen. Het afgelopen jaar betaalden slachtoffers van ransomware miljoenen euro's aan criminelen om hun bestanden te ontsleutelen.

Een ransomware-aanval verloopt vaak op dezelfde manier. De aanvallers compromitteren een systeem in de organisaties, verhogen hun rechten, bewegen zich lateraal door de organisatie, proberen domeinbeheerder te worden, zoeken en verwijderen back-ups, schakelen aanwezige antivirussoftware uit en installeren op alle systemen ransomware. Dit jaar werd daar nog een onderdeel aan toegevoegd, namelijk het stelen van data.

In het geval slachtoffers over een werkende back-up schikken wordt het losgeld niet betaald. Om deze organisaties toch af te kunnen persen besloot één ransomwaregroep om aanwezige data op het netwerk eerst te stelen voordat de ransomware wordt uitgerold. Als het slachtoffer niet betaalt dreigen de criminelen de data openbaar te maken. Al snel volgde allerlei andere groepen die deze tactiek inmiddels ook toepassen en via hun eigen "leak sites" de gestolen data voor iedereen beschikbaar maken.

Sommige slachtoffers besluiten dan alsnog te betalen om zo een openbaar datalek te voorkomen. Cloudsoftwarebedrijf Blackbaud besloot dit te doen nadat aanvallers via gestolen back-ups van een groot aantal onderwijsinstellingen, waaronder de TU Delft en Universiteit Utrecht, gegevens in handen hadden gekregen.

Veel organisaties die slachtoffer van ransomware worden laten niet weten hoe dit kon gebeuren. De manier waarop organisaties met ransomware besmet raken is volgens antivirusbedrijven al jaren hetzelfde: onveilige RDP-systemen, e-mailbijlagen en ongepatchte software. Dit jaar vonden de aanvallen vooral plaats via RDP en e-mail. Via RDP is het mogelijk om op afstand op een systeem in te loggen. Er zijn echter organisaties die hun RDP-beveiliging niet op orde hebben. Zo is het inloggen via RDP voor heel het internet mogelijk. Daarnaast wordt er geen tweefactorauthenticatie gebruikt, is er een zwak wachtwoord ingesteld en ook geen lock-out policy actief, waardoor een bruteforce-aanval op RDP succesvol kan zijn.

In het geval van e-mail maken aanvallers vooral gebruik van Microsoft Office-documenten met een kwaadaardige macro. Macro's staan standaard uitgeschakeld in Office. Daarom voegen criminelen instructies voor het slachtoffer toe om macro's in te schakelen, bijvoorbeeld omdat zo de tekst leesbaar kan worden gemaakt. Wanneer macro's worden ingeschakeld raakt het systeem besmet met malware en kunnen criminelen zo hun standaard draaiboek afwerken om de rest van de organisatie te infecteren.

Vaak wordt eerst het netwerk in kaart gebracht en gewacht voor een opportuun moment om de ransomware uit te rollen. De Nederlandse politie liet onlangs nog weten dat het een vpn-dienst uit de lucht had gehaald waar criminelen gebruik van maken bij hun aanvallen. Door de operatie tegen de vpn-dienst werden wereldwijd 250 organisaties in kaart gebracht waar criminelen al toegang tot het netwerk hadden gekregen en op elk moment ransomware konden uitrollen.

Telefoonspoofing en WhatsAppfraude

Dat criminelen niet over uitgebreide technische kennis hoeven te beschikken om miljoenen euro's te kunnen stelen werd dit jaar duidelijk door telefoonspoofing en WhatsAppfraude. Eind 2019 werden de eerste gevallen bekend waarbij criminelen mensen belden en zich voordeden als een bankmedewerker. Daarbij werd er gebruik gemaakt van telefoonspoofing, waardoor slachtoffers het telefoonnummer van hun bank in de display van hun telefoon te zien kregen.

De zogenaamde bankmedewerker stelt dat het geld op de rekening niet veilig is en naar een "kluisrekening" moet worden overgemaakt. Honderden slachtoffers doen dit en worden zo voor miljoenen euro's gedupeerd. Later dit jaar komen criminelen met een variant, waarbij ze de pincode van het slachtoffer ontfutselen en vervolgens de bankpas aan de deur komen ophalen. Veel slachtoffers worden niet vergoed, omdat ze het geld zelf naar de oplichters hebben overgemaakt.

De overheid en banken komen echter tot een overeenkomst dat slachtoffers met terugwerkende kracht worden vergoed, tenzij er sprake van grove nalatigheid is. Daarnaast introduceert ING een wachttijd van vier uur voor het verhogen van de overboekingslimiet. Dit moet het lastiger voor oplichters maken om geld van de rekeningen van hun slachtoffers te stelen.

Naast het oplichten van mensen via de telefoon blijken oplichters ook zeer bedreven in het misleiden van mensen via WhatsApp. De schade door WhatsAppfraude loopt dit jaar in de miljoenen euro's. Criminelen benaderen slachtoffers via WhatsApp en doen zich voor als hun zoon of dochter. Er wordt gesteld dat er tijdelijk van een nieuw telefoonnummer gebruik wordt gemaakt. Vervolgens vraagt "het kind" aan de ouder om een rekening te betalen.

Wanneer de ouder "het kind" probeert te bellen wordt er niet opgenomen. In augustus waarschuwde de politie dat de oplichters eerst de echte zoon of dochter van het beoogde slachtoffer belden en zo hun stem opnamen. Daarna wordt pas het slachtoffer benadert. Wanneer die de zogenaamde dochter of zoon probeert te bellen wordt de eerder opgenomen stem van de echte zoon of dochter afgespeeld.

De politie weet dit jaar tientallen verdachten van WhatsAppfraude en telefoonspoofing aan te houden. In veel gevallen gaat het om jongeren tussen de 17 en 21 jaar. Vanwege de omvang van de fraude komt de overheid met een campagne om ouderen te waarschuwen.

SolarWinds

Na de grote supply-chain-aanvallen via CCleaner, M.E. Doc (NotPetya) en ASUS Live Update, werd twee weken voor het einde van 2020 een nieuwe grote aanval bekendgemaakt. Aanvallers hadden updates van het Orion Platform van softwarebedrijf SolarWinds van een backdoor voorzien. Grote bedrijven, organisaties en overheden wereldwijd gebruiken het platform om hun it-omgeving te beheren.

De aanvallers blijken al sinds oktober 2019 in staat te zijn om een backdoor aan de updates voor het Orion Platform toe te voegen, maar doen dat in maart van dit jaar voor het eerst. 18.000 bedrijven installeren de besmette updates en geven de aanvallers zo toegang tot hun netwerk. Via de backdoor installeren de aanvallers bij een select aantal organisaties, waaronder Amerikaanse ministeries en grote tech- en securitybedrijven, aanvullende malware. Het zou om zo'n vijftig instanties en bedrijven gaan.

Daarnaast blijkt dat een tweede groep aanvallers gebruikmaakt van een kwetsbaarheid in het Orion Platform waardoor het mogelijk is om zonder authenticatie een backdoor op het systeem te installeren. De impact van de supply-chain-aanval via SolarWinds is nog onbekend. Volgens Microsoft hadden de aanvallers het onder andere voorzien op de clouddata van getroffen organisaties.

Wat betreft het aantal infecties is de SolarWinds-aanval niet de grootste. Bijna 2,3 miljoen gebruikers van het programma CCleaner werden in 2017 slachtoffer van een supply-chain-aanval. Wat betreft financiële impact veroorzaakte de NotPetya-malware, die zich via boekhoudsoftware M.E. Doc verspreidde, volgens het Amerikaanse ministerie van Justitie met een bedrag van bijna 1 miljard dollar de meeste financiële schade.

Corona

Een terugblik op 2020 is niet compleet zonder de uitbraak van het coronavirus te noemen. Cybercriminelen gebruikten het onderwerp voor allerlei phishingaanvallen. Zo werden er malafide e-mails verstuurd die zogenaamd van de Wereldgezondheidsorganisatie afkomstig waren. Organisaties die zich bezighouden met de bestrijding van het coronavirus of de ontwikkeling van het vaccin werden doelwit van aanvallen.

Ook op het gebied van privacy had het virus gevolgen. De overheid liet CoronaMelder ontwikkelen, een app waarmee via bluetooth de contacten van gebruikers worden bijgehouden, zodat die in het geval van een infectie kunnen worden gewaarschuwd. De app, die inmiddels meer dan 4,3 miljoen downloads telt, maakt gebruik van een door Apple en Google ontwikkeld platform, wat voor de nodige kritiek van privacyexperts zorgde.

Daarnaast wil de overheid telecomdata gaan verzamelen om het coronavirus te bestrijden. Zo is er een wetsvoorstel opgesteld dat telecomproviders verplicht om telecomgegevens met het CBS en het RIVM te delen. Volgens het ministerie van Volksgezondheid kan het RIVM met de telecomdata bij een eventuele toename van het aantal besmettingen in een gebied sneller handelen, door de regionale GGD te waarschuwen.

De data die het RIVM ontvangt bestaat uit een telling, per uur, per gemeente, van het totaalaantal mobiele telefoons dat daar aanwezig is vanuit welke gemeente. Daarbij wordt voor buitenlandse nummers ook een verdeling gemaakt naar herkomst op basis van het telefoonnummer. Het plan zorgde wederom voor felle kritiek van privacyexperts.

Voor de horeca, toen die nog open was, kwam de overheid met een registratieplicht. Restaurants en cafés moesten bezoekers om hun naam en contactgegevens vragen. Het afstaan van de gegevens is vrijwillig, maar baart privacydeskundigen desondanks zorgen en zorgt ook voor vervelende situaties. De registratieplicht wordt later uitgebreid naar alle contactberoepen. Het meten van de temperatuur van medewerkers door werkgevers was een ander privacyonderwerp dat afgelopen maanden speelde en voor actie van de Autoriteit Persoonsgegevens zorgde.

Als onderdeel van de vaccinatiestrategie kondigde minister De Jonge een centraal register aan. Dit systeem moet de gegevens van alle gevaccineerden gaan bevatten. Standaard zou de data van iedereen die is gevaccineerd worden toegevoegd, waarna burgers achteraf een verzoek konden indienen om hun gegevens te verwijderen. Een opzet waar veel kritiek op kwam. De minister is daar nu op teruggekomen en heeft besloten om burgers eerst om toestemming te vragen. Wat vragen betreft, het is werkgevers niet toegestaan om aan hun werkgevers te vragen of ze gevaccineerd zijn, aldus de Autoriteit Persoonsgegevens.

De basis

Sommige aanvallen en incidenten worden nooit opgemerkt, andere komen niet in de media. Bij de incidenten en aanvallen die wel openbaar worden blijkt dat die vaak ontstaan en mogelijk zijn doordat basale beveiligingsmaatregelen niet worden opgevolgd. Zo vinden beveiligingsonderzoekers nog altijd dagelijks onbeveiligde databases die voor iedereen op internet toegankelijk zijn, kiezen beheerders en gebruikers onveilige wachtwoorden, installeren organisaties beschikbare beveiligingsupdates niet, zijn webapplicaties kwetsbaar voor SQL-injection en Cross-Site Scripting en worden ongevraagde bijlages nog altijd geopend. Genoeg punten die op de lijst met goede voornemens van 2021 mogen.