Eerste hulp bij een cyberaanval

wo 24 juli 2019 - 14:30
Afbeelding-Tesorion-stethoscoop
Security
Blog

Bij het woord cyberaanval denken we vaak aan grootscheepse DDoS-aanvallen. Maar hoe reageer je adequaat op de veel vaker voorkomende vormen als phishing, ceo-fraude en diefstal via malware? ‘Trek vooral niet de stekker zomaar eruit.’

Met meer dan 12 jaar ervaring in cybersecurity heeft Lodi Hensen alle ongure cybertypes en digitale aanvallers al eens gezien. In deze blog zet Hensen, tegenwoordig verantwoordelijk voor het Incident Response Team bij cybersecurity-organisatie Tesorion, de belangrijkste soort aanvallen en de do’s en don’ts op een rij.

Soort aanval: Phishing

Te herkennen aan: ‘Een crimineel stuurt een e-mail met een link of een Microsoft Office-bijlage. De e-mail ziet er normaal uit, maar bevat een onverwachts verzoek. De afzender vraagt om bijvoorbeeld je wachtwoord te wijzigen of de macro’s aan te zetten in het Microsoft Office-document. In het eerste geval voer je je nieuwe wachtwoord in op een website die de crimineel beheert maar er wel normaal uitziet. Vervolgens kan hij met je gegevens op de loop. Bij de tweede handeling krijg je malafide software op je systeem, doordat de macro die downloadt en installeert.’

Niet doen: ‘Wedden op één paard. Investeer in bewustwording bij medewerkers, en in goede virusscanners en netwerkdetectie  voor als er toch iets doorheen glipt.’

Wel doen: ‘Laat medewerkers het e-mailadres van de afzender altijd controleren en zich afvragen waarom iemand een link of bijlage stuurt: is dat op hun verzoek of ongevraagd? Zorg verder dat er een contactpersoon is bij IT die bij twijfel kan meekijken. Daarnaast bieden sommige e-mailprogramma’s, zoals MS Office 365, automatische detectie.’

Soort aanval: CEO-fraude

Te herkennen aan: ‘Herkenbaar voor CEO-fraude zijn mails die uit naam van de directeur worden gestuurd naar de financiële administratie met het verzoek om ‘met spoed’ een – vaak groot – bedrag over maken.’

Niet doen: ‘De directeur bellen op het nummer dat in de mail staat: een bekende truc waardoor de oplettende medewerker alsnog om de tuin wordt geleid. Zomaar een groot bedrag overmaken is natuurlijk ook niet aan te raden.’

Wel doen: ‘Ook hier is bewustzijn de sleutel. Stuurt de directeur vaker dit soort verzoeken? Laten de processen het toe om zomaar zoveel geld over te maken? De administratief medewerker kan checken of de directeur vaker dit soort verzoeken doet bij collega’s, of nog beter: de directeur bellen op het nummer dat bekend is.

Soort aanval: DDoS-aanval

Te herkennen aan: ‘Dat de website of server niet meer toegankelijk is. Dit kan meerdere oorzaken hebben, maar als je plots heel veel verkeer ziet naar jouw website vanaf diverse (of dezelfde) locaties of IP-adressen, ben je mogelijk doelwit van een DDoS-aanval.’

Niet doen: ‘In alle hectiek slordig communiceren en nog meer paniek veroorzaken. Zeg bijvoorbeeld niet dat je te maken hebt met een aanval, maar last hebt van een storing.’

Wel doen: ‘Een DDoS-aanval kan aanzienlijke schade veroorzaken. Wees hackers voor en test je belangrijkste systemen eens op robuustheid en kwetsbaarheden. Hoe? Door bijvoorbeeld zelf een aanval uit te voeren en te kijken wat er gebeurt. En spreek af met je provider dat je met spoed een ander IP-adres kunt krijgen als dat nodig is, zodat je snel weer operationeel bent. Ook zijn er anti-DDoSoplossingen verkrijgbaar. Het is verstandig om je hierin te verdiepen en een kosten-batenanalyse te maken.’

Soort aanval: Malware

Te herkennen aan: ‘Over het algemeen zal een ‘reguliere’ gebruiker niet direct herkennen dat er malware actief is op zijn of haar systeem. Bij ransomware merkt de gebruiker dit wel direct omdat de computer kan worden gegijzeld.’

Niet doen: ‘De netwerkstekker eruit trekken is verstandig, maar de stroomstekker uit het apparaat trekken niet. Dan kun je sporen wissen, terwijl het juist van belang is om na de isolatie uit te zoeken wat er gebeurd is en hoe groot de schade is.’

Wel doen: ‘Direct isoleren! Overweeg ook – naast antivirus en een firewall – (beheerde) netwerkdetectie en isolatie-oplossingen. Deze ‘digitale alarmcentrale’ signaleert of er iets ongebruikelijks op het netwerk gebeurt en kan het besmette apparaat direct isoleren, zodat de malware zich niet verder verspreidt.’