Vijf cybercrimeverwachtingen voor 2015
Wat een nieuw jaar gaat brengen, valt vaak op te maken uit tekenen van het afgelopen jaar. Zo ook voor security. Jornt van der Wiel, beveiligingsonderzoeker van Kaspersky Labs Global Research & Analysis Team (GReAT), schotelt vijf verwachtingen voor.
Pinkraken met ‘analoge’ component
“In 2014 zagen we al een ‘nieuw’ soort aanval op pinautomaten opduiken”, vertelt Van der Wiel. “Niet skimmen maar fysiek openbreken van pinautomaten, om zo direct op de machine malware te plaatsen. Dat openbreken gebeurt door het slot te kraken of door simpelweg op een online-forum een pinautomaatsleutel te kopen”, legt de security-expert uit. Veel pinautomaten draaien nog op Windows XP. Dat is wel de embedded-variant die officieel nog updates krijgt, maar vaak ontbreekt het aan geïnstalleerde patches. De geplaatste malware kan dus zó zijn slag slaan. In Nederland zijn er overigens niet zo veel pinautomaten met XP, nuanceert de security-onderzoeker.
Jornt van der Wiel, beveiligingsonderzoeker van Kaspersky Labs Global Research & Analysis Team
Het fysieke element van deze cybercrime wordt verder doorgezet doordat de gekraakte pinautomaat van zijn geld wordt ontdaan. “Een katvanger in dienst van de bende gaat midden in de nacht langs, toetst een bepaalde code in en krijgt van de automaat een challenge-code te zien. Die belt hij of zij door naar de cybercriminelen die dan de response-code doorgeven waarna de katvanger kan kiezen welke geldlade er nu geopend moet worden.” Alleen dan niet voor navullen waar deze voorziening voor is bedoeld, maar voor leeghalen. “Het is wat analoog, ja. Maar het geeft de daders een grotere zekerheid van hun buit.” Inmiddels is deze vorm van pinkraken meer opgedoken. Een voorbode voor 2015.
‘Bankkluizen’ direct op de korrel nemen
De tweede securityverwachting voor 2015 is dat geldrovers hun misdadige inspanningen verschuiven van individuele bankrekeningen bij consumenten en (kleine) bedrijven naar de financiële instellingen zelf. Banken hebben in de regel hun security beter op orde dan de gewone burger of klant, maar daar valt in de praktijk toch wel wat aan te morrelen. Cybercriminelen mikken ook meer op de ‘bankkluizen’ zelf doordat de transacties voor en door bankklanten steeds beter gemonitord worden door die instanties.
Terwijl financiële instellingen wel goede beveiliging in huis hebben, blijft de mens de zwakke schakel. De mens die in phishingmails trapt, die attachments blind opent en daarmee de security kan schaden. Van der Wiel noemt het recente incident van een grote Westerse bank die enkele dagen na een interne awareness-training als test een phishingmail had gestuurd. Maar liefst 85 procent van de bankmedewerkers klikte op de payload van die testmail. Eenmaal binnen bij een financiële instantie hebben cybercriminelen vele lucratieve mogelijkheden.
Minder malware voor de massa
De verschuiving naar ‘bankkluizen’ betekent niet dat individuen en bedrijven opgelucht adem kunnen halen. Er speelt namelijk nog een andere, in 2015 doorzettende verschuiving in het cybercrimelandschap. “Minder massieve malware”, waarmee Van der Wiel doelt op de generieke malware die op een breed massapubliek is gericht. In plaats daarvan komen er meer en meer gerichte aanvallen: malware die op maat is gemaakt voor een bepaald soort slachtoffer. Ja, ook cybercriminelen doen steeds meer aan doelgroepdenken.
Zo worden bijvoorbeeld Macs populairder bij malwaregebruikende dieven, weet Van der Wiel. “De aanvallen daarop stijgen gestaag. Hoewel het overigens niks is vergeleken met de Windows-malware.” Daarnaast wijst hij op het gebruik van tablets voor internetbankieren, waarmee die apparaten een aantrekkelijk doelwit zijn voor cybercriminelen. Deze malwarespecialisatie voor specifieke platformen en groepen slachtoffers is niet alleen vanwege de ‘marktmogelijkheden’ maar ook vanwege de benodigde inspanning. Het maken van massamalware die op vele verschillende systemen werkt, is veel werk, weet Van der Wiel. Lichtpuntje is dat de malwaredreiging voor consumenten relatief afneemt, omdat het voor organisaties juist toeneemt.
APT-versplintering en verveelvoudiging
De afgelopen tijd hebben diverse autoriteiten enkele grote groepen achter APT’s (advanced persistent threats) ontmaskerd, vertelt de expert van Kaspersky Lab. Het uitvoeren van geavanceerde aanvallen die lange tijd onopgemerkt blijven, wordt hierdoor bemoeilijkt. De verwachting is dat in 2015 APT-groepen uit elkaar vallen. Hetzij door arrestaties, hetzij om minder goed op te sporen te zijn. Hierdoor ontstaan er wel meer kleinere groepen die APT’s uitvoeren. Dit leidt dan ook tot meerdere aanvallen, waarschuwt Van der Wiel.
Meer fouten in open source
Zowel geavanceerde cyberinbraken en spionagecampagnes als relatief gewone malware maakt gebruik van menselijke én softwarefouten. De verwachting voor 2015 is dat er meer fouten in open source-software worden ontdekt, vertelt de onderzoeker. Niet dat die vorm van software nou meer fouten bevat, maar er wordt tegenwoordig kritisch naar die veelgebruikte software gekeken. Enerzijds door ethische hackers die gaten zoeken om ze te (laten) dichten, anderzijds door cybercriminelen die er hun slag mee willen slaan.
Naast de aanwezigheid van fouten in software - of dat nou open of closed source is - speelt er nog de kwestie van fouten in software die in gebruik is. Het ontbreekt in de praktijk nog altijd vaak aan goed patchbeleid, waardoor bekende beveiligingsgaten gewoon open staan. “Sommige APT’s gebruiken zero-day gaten [waar nog geen patches voor beschikbaar zijn - red.], maar veel APT’s niet; die gebruiken oude gaten.” Van der Wiel noemt de in 2014 onthulde Crouching Yeti-malware die industriële systemen op de korrel neemt en daarvoor exploits uit 2012 en 2013 benut.
“Cybercriminelen hebben open deuren nodig. Update dus je software”, luidt het advies van Kaspersky Labs onderzoeker Van der Wiel. Hij erkent dat updates ook voor problemen kunnen zorgen, maar dat moet patchen niet in de weg staan. “Je moet het omdraaien: de kans dat je wordt aangevallen, is veel groter dan dat een patch je schade berokkent.”
Auteur: Jasper Bakker