Cybercrime: ‘We maken het de hackers soms wel erg gemakkelijk’
Volgens een FBI-rapport uit 2019 is ons land het zesde meest kwetsbare land voor cybercriminaliteit. Vorig jaar werd maar liefst 71 procent van de Belgische bedrijven het slachtoffer van een cyberincident. En bijna de helft van de gehackte bedrijven betaalt losgeld. Welkom in de wel zéér lucratieve wereld van de hackers.
Er gaat geen dag voorbij in ons land zonder dat een bedrijf, instelling of gemeentebestuur meldt dat ze werden aangevallen door cybercriminelen. Meestal wordt dan ransomware of gijzelsoftware geïnstalleerd, die het IT-systeem versleutelt en onbruikbaar maakt. Daarnaast zijn elke dag ook nog eens honderden Belgen het slachtoffer van phishing. Daarbij slagen oplichters erin om bijvoorbeeld een spaarrekening leeg te halen zonder dat de cliënt het in de gaten heeft.
Cybercriminaliteit rukt op en is ondertussen wellicht de meest lucratieve vorm van misdaad. Ze was in 2018 goed voor 1500 miljard dollar, schrijft de Britse onderzoeker Michael McGuire in zijn boek Into the Web of Profit. Dat is drie keer meer dan het bruto binnenlands product van ons land.
12.422 burgers werden vorig jaar het slachtoffer van bankphishing. Dat zijn er 34 per dag.
Erik Van Buggenhout is medeoprichter van NVISO, dat bedrijven bijstaat om zich te verdedigen tegen IT-aanvallen: ‘Cybercrime is een bijzonder interessant businessmodel voor criminelen: het risico om gepakt te worden is klein en de kans op slagen enorm. Vroeger moesten criminelen meestal fysiek aan de slag, nu doen ze dat ongemerkt aan hun computer. Bovendien kunnen ze hun aanvallen gemakkelijk opzetten vanuit verschillende landen. Je kunt bijvoorbeeld als Belg virussen verspreiden bij Franse internetgebruikers via een computer die draait in Argentinië. Dat maakt het bijzonder moeilijk voor de politie.’
Creatieve criminelen
De groei van cybercrime blijkt ook uit de statistieken van de federale politie. Het totaal aantal criminele feiten is in ons land al enkele jaren flink aan het dalen. Met één grote uitzondering: informaticacriminaliteit. In 2018 waren er 24.582 meldingen van IT-criminaliteit, zo blijkt uit het laatst beschikbare overzicht. Dat is een stijging van net geen 15 procent in vergelijking met het jaar daarvoor.
Het aantal hackings bij bedrijven steeg met ongeveer een derde tot 3575 feiten. Daarnaast stelt de politie ook een geweldige groei vast in phishing. ‘12.422 burgers werden vorig jaar het slachtoffer van bankphishing. Dat zijn er 34 per dag of een stijging van 27,5 procent in vergelijking met een jaar eerder’, zegt Isabelle Marchand van Febelfin, de overkoepelende beroepsfederatie van financiële instellingen. In totaal werd op die manier 7,5 miljoen euro ontvreemd. ‘Phishingmails worden steeds professioneler en zijn nauwelijks nog te onderscheiden van de echte mails.’
Criminelen worden ook almaar creatiever. Ze passen ondertussen dezelfde technieken toe op sociale media, via nagemaakte mails van internetwinkels of met valse sms’en. Isabelle Marchand: ‘Ik ontving zelf een tijd geleden een sms, die zogezegd van Card Stop kwam: Cardstop – info: Attentie! We hebben melding ontvangen om een verlopen bankkaart te blokkeren. Als dit niet klopt, verifieer jezelf via… en dan volgde een link. Klik nooit op zulke links en geef zeker nooit je bankgegevens door.’
De overgrote meerderheid van slachtoffers van phishing doet geen aangifte bij de politie, zo blijkt uit de jongste veiligheidsbarometer van de federale politie, die een groot aantal Belgen ondervroeg. Vaak is dat uit schaamte, omdat mensen beseffen dat ze door hun nalatigheid mee schuldig zijn. De politie schat dat minstens 80 procent van de inbraken in computers en smartphones niet gemeld wordt.
‘Schaamte is nergens voor nodig’, vindt Isabelle Marchand. ‘Het kan iedereen overkomen. Daarom starten wij over enkele maanden een grootschalige mediacampagne om burgers te waarschuwen voor deze praktijken.’
Gijzelingen
Hiscox is een Britse beursgenoteerde verzekeringsmaatschappij, die gespecialiseerd is in een aantal nicheproducten, zoals polissen tegen cybercrime. Het bedrijf bevraagt elk jaar meer dan 5000 bedrijven in zeven landen, waaronder België, over cybercriminaliteit. ‘Cybercrime is een onomkeerbaar onderdeel geworden van ondernemen’, schrijft Gareth Wharton, ceo van Hiscox, in het voorwoord van het cyberrapport van 2019. Jeremy D’Hondt van Hiscox België: ‘Dat bleek onlangs ook uit het jaarlijkse Global Risk Report van het Wereld Economisch Forum (WEF). Daarin rukte cybercriminaliteit op naar de vijfde grootste bedreiging volgens ondernemers.’
61 procent van de bevraagde bedrijven geeft toe dat ze een of meerdere keren zijn aangevallen door cybercriminelen, blijkt uit het Cyber Readiness Report van Hiscox. Een jaar eerder was dat 45 procent. Van alle onderzochte landen lijkt ons land het meest kwetsbaar voor cybercrime: maar liefst 71 procent van de ondervraagde Belgische bedrijven was het voorbije jaar het slachtoffer van een cyberincident.
In 24 procent van de gevallen besmette de IT-crimineel het computersysteem van een bedrijf met een virus of worm en in 17 procent van de gevallen werd gijzelsoftware geïnstalleerd. Andere misdaadvormen zijn het stelen van een digitale identiteit, pharming of spoofing (zie lexicon).
‘België is een land van kmo’s, ‘ zegt Jeremy D’Hondt, ‘en hackers hebben een voorkeur voor kleine en middelgrote bedrijven, omdat die meestal het minst beschermd zijn. Veel bedrijfsleiders zien het nut niet in van zo’n verdediging en investeren te weinig in hun IT-infrastructuur. Ons zal het wel niet overkomen, denken ze. Ze verzekeren zich wel tegen brand, maar de kans dat je bedrijf afbrandt, is achtmaal kleiner dan dat je gehackt wordt. Een verzekeringspremie van duizend euro per jaar tegen IT-criminaliteit vinden ze te duur. Maar ze zijn wel bereid zijn om 2000 euro per jaar te betalen voor een allriskverzekering voor hun Land Rover.’
Losgeld betalen?
Uit een enquête van ondernemersorganisatie Unizo bij 240 Limburgse kmo’s bleek dat drie op de vijf kmo’s al digitale inbrekers op bezoek hadden. Bij één op de vijf was de aanval ook geslaagd. ‘Heel wat bedrijfsleiders van kmo’s zijn zich bewust van de problematiek, maar vrezen de hoge factuur voor een degelijke beveiliging’, aldus de onderzoekers.
Om de versleuteling van de bedrijfssoftware om te keren, vragen hackers losgeld, meestal te betalen in de virtuele munt bitcoin. De hoogte van het losgeld hangt samen met de grootte van het gegijzelde bedrijf. Onlangs werd het computersysteem van een keten van woonzorgcentra aangevallen. De overvallers vroegen 2 miljoen euro losgeld, maar dat werd niet betaald. De universiteit van Maastricht gaf wel toe dat ze al eens 200.000 euro losgeld heeft betaald.
Jeremy D’Hondt raadt zijn klanten af om losgeld te betalen. ‘Je wilt dat verdienmodel van criminelen toch niet in stand houden? Toch merken we dat veel bedrijven, misschien zelfs de helft van de gehackte bedrijven, wél betalen. Dat zijn meestal bedrijven die niet verzekerd zijn tegen cybercriminaliteit.’
Bedrijven betalen om er snel vanaf te zijn of omdat het vaak duurder is om de volledige IT-structuur ‘schoon te maken’ en herop te bouwen. Of ze zijn verzekerd tegen het betalen van losgeld. Maar dat zeg je beter niet tegen de hackers, waarschuwt Jeremy D’Hondt. ‘Het kan de prijs opdrijven. Bovendien, als je eenmaal betaald hebt zullen criminelen je later misschien nog eens aanvallen, precies omdat je eerder betaalde. Zo stel je je kwetsbaar op.’
Een industrie van hackers
Hoe ziet de cybercrimineel eruit? Volgens Erik van Buggenhout bestaat er geen eenduidig profiel. ‘In landen met minder economische mogelijkheden zie je wel meer cybercrimeactiviteit. Denk maar aan Oost-Europa, Afrika en sommige Aziatische landen. Zo is er een hele industrie ontstaan.’
Maar waarom is het zo moeilijk om cybercrime te bestrijden? Een van de grote problemen is volgens Miguel De Bruycker dat het internet geen publieke ruimte is. De Bruycker is directeur van het Centrum voor Cybersecurity België (CCB), een dienst die de federale overheid vier jaar geleden oprichtte en die zich bezighoudt met de preventie en bestrijding van cybercriminaliteit. ‘Er is no public space in cyberspace. Je verbindt thuis je privécomputer via een privéverbinding van een commerciële provider met een andere particulier of een bedrijf. Je gebruikt geen openbare weg. Dat maakt het voor een overheid zeer moeilijk om daar bij wijze van spreken camera’s of sensoren te plaatsen om alles te controleren.’
De strijd tegen cybercriminaliteit wordt in België in de eerste plaats gevoerd door de Federal Computer Crime Unit (FCCU) van de federale politie. Hun middelen zijn, in tegenstelling tot die van de criminelen, redelijk beperkt. De dienst kampt met een structurele onderbezetting, kent een groot personeelsverloop en slaagt er nauwelijks in om specialisten aan te werven. De beste mensen van de FCCU worden zelfs ‘weggekocht’ door privébedrijven.
Daarnaast is er ook het hiernaast vernoemde CCB. Die dienst ressorteert rechtstreeks onder premier Sophie Wilmès (MR) en dat bewijst hoeveel belang de federale regering hieraan hecht. Het personeelsbestand van het CCB is de jongste jaren onder leiding van Miguel De Bruycker sterk gegroeid. Er werken nu een vijftigtal IT-specialisten.
Is dat veel? Op het eerste gezicht niet. Duitsland heeft voor een vergelijkbare dienst 1300 personeelsleden, Frankrijk meer dan 700, Nederland iets meer dan 200 en het VK zet ook meer dan duizend IT-experts in tegen cybercriminaliteit, en beschikt daarvoor over een budget van meer dan 1 miljard pond per jaar.
Toch denkt Miguel De Bruycker dat zijn personeelsbestand volstaat. ‘We werken zeer goed samen met een uiteenlopend palet diensten die ook met cybercriminaliteit bezig zijn, zoals de staatsveiligheid, Defensie, de FCCU, enzovoort. Als je al die capaciteit optelt, kom je aan ongeveer 500 mensen die actief zijn in het voorkomen en bestrijden van cybercriminaliteit.’
Ieder zijn specialiteit
In de wereld van de hackers heeft ieder zijn eigen specialiteit. ‘Sommigen houden zich bezig met het opspeuren van de doelwitten. Zij kopen op het darkweb bijvoorbeeld lijsten met bedrijven en organisaties die niet goed beveiligd en dus hackable zijn’, legt Miguel De Bruycker uit. ‘Andere hackers leggen zich toe op het maken van een exploit. Dat is een stukje software waarmee je een zwak beveiligd systeem kunt binnendringen. Weer andere groepen kopen die exploits en slaan toe in een bedrijf.’ Dat kan allemaal snel en simpel gaan. De Bruycker surft naar zo’n lijst en vindt prompt een bedrijf dat aangevallen kan worden, als hij 2000 dollar betaalt voor de toegangssoftware.
Zodra de hacker binnen is, installeert weer een andere groep cybercriminelen de ransomware. ‘Maar die doet dat niet meteen. Het gebeurt via een heel planmatige aanpak. Eerst stelen ze bijvoorbeeld de beheersrechten van de bedrijfssoftware, dan verkennen ze het netwerk en pluizen ze uit waar de databanken staan, hoe de back-ups werken, enzovoort. Die hackers zitten vaak voor de eigenlijke versleuteling of kaping al weken in je systeem voor hun verkenningswerk. En dat allemaal zonder dat iemand in je bedrijf daar iets van merkt.’
‘We denken vaak dat criminelen erg geavanceerde technieken gebruiken, maar meestal is dat niet het geval’, weet Erik Van Buggenhout. ‘Ze zoeken de weg van de minste weerstand. Op plekken met zo weinig mogelijk controles, slaan ze dan zo hard en zo vaak mogelijk toe. Vaak wordt er een nieuwe kwetsbaarheid publiek gemaakt, bijvoorbeeld omdat de softwareleverancier een update uitbrengt om de kwetsbaarheid te voorkomen. En dan gaan aanvallers razendsnel te werk om automatisch zo veel mogelijk organisaties te raken op zo’n kort mogelijke termijn. Het is dus van erg groot belang dat je software-updates zo snel mogelijk uitrolt.’
7,9 miljard dollar kosten
Uit het Hiscox-rapport blijkt ook dat steeds meer bedrijven zich beginnen te wapenen tegen cybercriminaliteit. Dat kan in de eerste plaats door preventie en dus een betere beveiliging van het eigen netwerk. ‘De kosten voor een betere cyberbeveiliging stegen in 2019 met gemiddeld 24 procent’, zegt Jeremy D’Hondt. ‘De totale beveiligingskosten voor de 5400 bevraagde bedrijven bedroegen 7,9 miljard dollar. Twee derde van hen zegt dat de kosten dit jaar zeker nog eens met 5 procent stijgen.’
Als die criminelen informatie kunnen verzamelen over wie kwetsbaar is, dan moeten wij dat ook doen. Zo kunnen wij anticiperen en betrokkenen waarschuwen.
Voor preventie is het CCB de belangrijkste speler in België. Ons land is aan een inhaalbeweging begonnen, meent Miguel De Bruycker. Volgens een statistiek van het Amerikaanse BitSight Security Ratings staat Finland in de Europese Unie op kop als het gaat om preventie, gevolgd door Duitsland en Oostenrijk. België staat op een gedeelde vierde plaats, samen met Denemarken en Nederland. ‘Enkele jaren geleden bengelde ons land bijna onderaan’, zegt De Bruycker.
Bedrijven kunnen ook de hulp inroepen van specialisten zoals NVISO. Hun responseteam is dag en nacht, zeven dagen per week oproepbaar bij een aanval. ‘Onze mensen brengen het probleem zo snel mogelijk in kaart en proberen het bloeden te stoppen’, zegt Erik Van Buggenhout. ‘Ze onderzoeken wat de oorzaak is van het incident en doen aanbevelingen om de organisatie zo snel mogelijk weer operationeel te krijgen. Maar een systeem “schoonmaken” is erg moeilijk, omdat een slimme aanvaller zichzelf goed kan ingraven in het netwerk. Vaak is het de beste oplossing om de IT-systemen helemaal opnieuw te implementeren. En daarnaast stellen we een actieplan op om dit soort problemen in de toekomst te vermijden.’
Nieuwe app
Miguel De Bruycker van het CCB wil nog verder gaan en hackers bestrijden met dezelfde wapens. ‘Als die criminelen informatie kunnen verzamelen over wie kwetsbaar is, dan moeten wij dat ook doen. Zo kunnen wij anticiperen en betrokkenen waarschuwen.’
Hij toont een grafiek op zijn iPad: ‘Hier zie je dat er de voorbije tien dagen bijna 20.000 kwetsbare IP-adressen zijn opgedoken van zowel bedrijven als personen. Dat is een verzameling van alle waarschuwingen over infecties en kwetsbaarheden die wij vanuit de hele wereld binnenkrijgen. Elke dag zijn we in ons centrum voltijds bezig met de analyse van die data.’
Het CCB wil nog dit jaar een beveiligingsapp ontwikkelen voor smart- phones. ‘Als je je daarop registreert en je bent aangesloten op wifi, kun je uit onze databank alle noodzakelijke gegevens binnenhalen over mogelijke infecties. Wanneer een virus is binnengedrongen in je computer, krijg je via onze app automatisch een melding, plus een link waarin staat wat je moet doen om dat virus te verwijderen.’
Op iets langere termijn werkt De Bruycker aan enkele nieuwe concepten die de veiligheid op internet moeten verhogen, namelijk de ‘betrouwbare zender’ en de ‘betrouwbare uitgever’. ‘In België mag je in principe niets publiceren zonder een verantwoordelijke uitgever. Op het internet bestaat dat niet. Daarom stel ik voor om aan alle bedrijven, kmo’s, organisaties, vzw’s enzovoort, een veiligheidscertificaat toe te kennen. Dat kan relatief eenvoudig, omdat ze nu ook al allemaal geregistreerd zijn in een databank van de Federale Overheidsdienst Economie. Daar kun je je domeinnaam officieel laten registreren. En de overheid kent je daarna gratis of tegen een kleine kostprijs het hoogst mogelijke beveiligingscertificaat toe voor het internet.’
‘Dat certificaat plak je op je website. Als alle browsers meewerken moet het dan straks mogelijk zijn dat, als je via een phishingmail op een website belandt zonder certificaat van de verantwoordelijke uitgever, die website een rode balk krijgt. Dan weet de consument meteen dat er iets niet klopt en dat hij nergens moet klikken.’ Miguel De Bruycker wil een vergelijkbare procedure ontwerpen voor mails via het principe van ’trusted sender’: mails die verstuurd worden zonder een erkend veiligheidscertificaat kleuren dan rood.
1234 is geen wachtwoord
Jaarlijks worden er miljoenen phishingmails verstuurd in ons land en elke dag zijn burgers en bedrijven het slachtoffer van computercrime. Toch blijft Miguel De Bruycker zich verbazen over de nonchalance en onvoorzichtigheid van vele burgers. ‘Mensen zijn nog altijd ontzettend slordig met hun wachtwoorden. In een recente fraudezaak kregen wij alle wachtwoorden van de slachtoffers te zien. We hebben toen iedereen op die lijst benaderd om hen te waarschuwen. En om hen aan te raden een nieuw wachtwoord te kiezen dat iets ingewikkelder is dan ‘wachtwoord’ of ‘1234’. Want zo maak je het de hackers wel erg makkelijk.’
Coronacriminelen
Zoals wel vaker in crisissen, zijn ook dit keer criminelen er als de kippen bij om misbruik te maken van de situatie. Dat gebeurt op twee manieren, legt Katrien Eggers van het Center for Cybersecurity Belgium uit.
‘We zien een stijging van het aantal phishingberichten waarin de coronabesmetting gebruikt wordt om mensen nieuwsgierig te maken en te misleiden. Hackers sturen naar telewerkers e-mails die erg lijken op die van hun werkgever, en waarin ze vragen om inloggegevens in te voeren. Niet doen, dus.’
Daarnaast zijn in Europa al verschillende ziekenhuizen aangevallen met gijzelsoftware. De hackers gebruiken de chaos in sommige instellingen om computersystemen te blokkeren en vragen dan losgeld. Ze gaan ervan uit dat ziekenhuizen geen weken tijd hebben om hun IT-systemen schoon te maken en herop te starten.
Fout opgemerkt of meer nieuws? Meld het hier