Om hackers te bestrijden, moet u weten hoe ze werken. Wat doen ze eigenlijk?
De meeste hacks volgen de Lockheed Martin Cyber Kill Chain, een intelligentieraamwerk dat is ontwikkeld om cyberaanvallen te identificeren en te voorkomen. Het proces begint met het verkrijgen van informatie over een potentieel doelwit en eindigt met het stelen van waardevolle gegevens. Dus welke stadia doorlopen cybercriminelen bij het hacken van een systeem?
De Lockheed Martin Cyber Kill Chain
Hoewel er variaties op het proces zijn, volgen hackers meestal de: Lockheed Martin Cyber Kill Chain in hun zoektocht om te vinden wie ze kunnen hacken en om een aanval uit te voeren. De Kill Chain bestaat uit zeven stappen.
1. Hackersonderzoek en oogstinformatie
De eerste stap in een cyberaanval is verkenning - of het verkennen van het doelwit. Dit omvat meestal het verzamelen van openbaar beschikbare informatie over een potentieel doelwit, waaronder e-mailadressen, gebruikersnamen voor sociale media en openbare registers.
Ze kunnen deze informatie krijgen van datalekken of door het gruntwerk te doen als ze geïnteresseerd zijn in een specifieke persoon. In het laatste geval kunnen ze hun toevlucht nemen tot meer geavanceerde methoden zoals a Bluetooth-aanval of het onderscheppen van het netwerk, ook wel a Man-in-the-Middle-aanval (MITM). Terwijl de eerste vereist dat de hacker zich dicht bij het doelwit bevindt, kan de laatste op afstand worden gedaan met behulp van software of ter plaatse door de wifi van het slachtoffer te onderscheppen.
Het uiteindelijke doel is om zoveel mogelijk te weten te komen over onder meer de doelen, de apparaten die ze gebruiken, de besturingssystemen van de apparaten en de diensten die ze gebruiken. De informatie die ze hier krijgen, kan hen helpen kwetsbaarheden te vinden.
Deze fase wordt "wapens" genoemd in de Cyber Kill Chain. Gewapend met informatie over hun potentiële doelwitten, verzamelen hackers de tools die ze nodig hebben voor de cyberaanval. Ze kunnen bijvoorbeeld malware maken en verbergen in bestanden die hun doelwit waarschijnlijk zal downloaden.
Je zou kunnen denken aan deze fase als gaan vissen. De uitrusting die je nodig hebt om te vissen in een zoetwatermeer is anders dan de uitrusting die je nodig hebt om in de oceaan te vissen. Je zou waarschijnlijk ook met een andere boot gaan.
3. Hackers werpen hun net of lokaas uit
Deze fase wordt "levering" genoemd in de Kill Chain. Deze stap omvat het misleiden van het doelwit om de malware te downloaden - in feite de slechteriken uitnodigen in het fort.
Een veelvoorkomende manier waarop hackers dit doen, is door e-mails te verzenden die schadelijke bestanden bevatten. De leveringsmethode kan ook afbeeldingen zijn die de malware hosten, zoals gezien toen hackers misbruik maakten van de James Webb-telescoopafbeeldingen malware te verspreiden. SQL-injectie is een andere veelvoorkomende manier waarop hackers malware afleveren.
Hoe dan ook, het doel is om het doelwit malware op hun apparaat te laten downloaden. De malware neemt het vanaf hier over: het haalt zichzelf automatisch uit en injecteert het in het systeem.
4. Malware maakt misbruik van een kwetsbaarheid in het systeem
De malware neemt het over zodra het op de computer van het doelwit staat. Bepaalde achtergrondacties, zoals USB of automatisch afspelen van media, kan ervoor zorgen dat de malware automatisch wordt uitgepakt en uitgevoerd op het apparaat van het slachtoffer. Deze fase wordt "exploitatie" genoemd.
5. Malware doet waarvoor het is geprogrammeerd
Deze fase in de Kill Chain wordt "installatie" genoemd. Zodra de malware het systeem (of computernetwerk) binnendringt, wordt het stil op de achtergrond geïnstalleerd, meestal zonder medeweten van het slachtoffer. Dan begint het scannen op kwetsbaarheden in het systeem dat de hacker hogere beheerdersrechten geeft.
De malware zet ook een Command-and-Control-systeem op met de hacker. Met dit systeem kan de hacker regelmatig statusupdates ontvangen over hoe de hack vordert. Om het in perspectief te plaatsen, stel je het Command-and-Control-systeem voor als een hoge militaire officier die eigenlijk een spion is. Door de positie van de spion hebben ze toegang tot gevoelige militaire geheimen. Deze status maakt ze ook klaar om gestolen informatie zonder achterdocht te verzamelen en te verzenden.
6. Het spionagesysteem van hackers neemt het over en breidt zich uit
De malware in dit stadium doet verschillende dingen om zijn Command-and-Control-systeem op te zetten, ook gelijknamig voor de zesde fase in de Kill Chain. Meestal blijft het het systeem scannen op kwetsbaarheden. Het kan ook creëren achterdeuren die hackers kunnen gebruiken om het systeem binnen te gaan als het slachtoffer het toegangspunt ontdekt.
Daarnaast zoekt het systeem ook naar andere apparaten die zijn aangesloten op de besmette apparaten en infecteert deze ook. Het is alsof iedereen op kantoor verkouden wordt. Als er genoeg tijd verstrijkt, weet niemand meer wie er precies mee begonnen is.
7. Plunder, vernietig, ga weg
De laatste fase in het daadwerkelijke hackproces omvat de cybercrimineel die hun verhoogde controle over de apparaat van het slachtoffer om gevoelige gegevens zoals inloggegevens, creditcardgegevens of bestanden met zakelijke gegevens te stelen geheimen. Een hacker kan ook de bestanden op het systeem vernietigen, wat vooral gevaarlijk is als het slachtoffer geen back-up heeft voor gegevens die zijn gestolen en vernietigd.
Wat gebeurt er meestal na een hack?
In gevallen waarin een hacker heimelijk de aanval heeft aangepakt, realiseert het slachtoffer het zich misschien niet, waardoor de hacker een constante aanvoer van materiaal krijgt. Aan de andere kant, als het slachtoffer zich realiseert dat ze zijn gehackt, kunnen ze de malware verwijderen en de achterdeuren sluiten die ze kunnen vinden.
Sommige organisaties vernietigen gecompromitteerde apparaten om veilig te zijn. Ze beginnen ook het effect van de hack te neutraliseren. Als een hacker bijvoorbeeld inbreuk maakt op het netwerk van een bank en creditcardgegevens steelt, zou de bank onmiddellijk alle gecompromitteerde kaarten deactiveren.
Ondertussen betekent de succesvolle hack voor de hackers betaaldag. Ze kunnen het slachtoffer aanhouden om losgeld te vragen, meestal betaald via niet-traceerbare betaalmethoden. Een andere optie is om de gestolen gegevens te verkopen aan andere cybercriminelen die er mogelijk gebruik van kunnen maken; zeggen, iemands identiteit stelen, hun bedrijfsmodel kopiëren of propriëtaire software illegaal downloaden.
U kunt hackpogingen voorkomen
Hackers gebruiken een aantal manieren om potentiële slachtoffers te vinden. Sommige hiervan zijn passief en ongecompliceerd, terwijl andere actief en verfijnd zijn. Maar geen paniek. Veilige online praktijken en het beperken van de informatie die u online deelt, kunnen voorkomen dat u een doelwit wordt. Ook kunnen best practices en tools op het gebied van cyberbeveiliging, zoals VPN's en antimalware, u tegen aanvallen beschermen.