Websitehacking

Als een cybercrimineel een website hackt, is zijn voornaamste doel het verkrijgen van ongeoorloofde toegang tot de configuratie en gegevens van de site. Daarna gebruikt hij dezelfde gegevens voor kwaadaardige doeleinden om er munt uit te slaan. Doordat websites de klok rond beschikbaar zijn, vormen ze een populair doelwit voor cybercriminelen. Er zijn verschillende redenen waarom cybercriminelen toegang willen tot een website en er de controle over willen krijgen:

• De website gebruiken als startpunt voor andere aanvallen (de toestellen van websitebezoekers besmetten etc.)
• Toegang krijgen tot gevoelige gegevens uit winkelwagentjes, indieningsformulieren, aanmeldingspagina's etc.
• De bandbreedte van de website (d.w.z. de server) gebruiken voor criminele activiteiten (zoals het verspreiden van illegale producten)
• Illegale inhoud publiceren (bijvoorbeeld haatdragende taal)
• De volgorde waarin een website in een zoekmachine verschijnt wijzigen door de website aan specifieke trefwoorden te koppelen
• Phishingpogingen uitvoeren door bezoekers door te verwijzen naar een phishingsite om hun inloggegevens te stelen.

Hackers zoeken een of meer beveiligingslekken waardoor ze toegang  krijgen tot de omgeving van een organisatie. Zodra ze in deze omgeving zijn binnengedrongen, proberen ze toegangsrechten tot een beheerdersaccount te krijgen om zaken te kunnen wijzigen en zo te controleren wat bezoekers van de website te zien krijgen. Bovendien hebben ze, wanneer ze over een beheerdersaccount beschikken, veel rechten en kunnen ze toegang krijgen tot andere bronnen in de organisatie en andere soorten aanvallen plegen of verstoringen veroorzaken.

Een van de eerste dingen die je moet doen is als externe gebruiker op je eigen website surfen. Als je verdachte wijzigingen ziet of merkt dat de webpagina volledig is veranderd en deze aanpassingen niet door je marketing- of webontwikkelingsteam werden uitgevoerd, is dit een eerste aanwijzing dat de website gehackt is.

Bovendien kan je opsporingsmiddelen installeren om na te gaan of er een indringing aan de gang is of reeds heeft plaatsgevonden. Het monitoren van alle kritieke systemen die de werking van een organisatie mogelijk maken, is van essentieel belang om een hoog niveau van bescherming tegen websitehacking te waarborgen. In geval van een inbreuk kunnen de IT-verantwoordelijke en zijn team gewaarschuwd worden via alerts die ze vooraf hebben ingevoerd. Daarnaast zijn er verschillende websitemanagementtools die kunnen helpen bij het opsporen van wijzigingen in de inhoud en andere wijzigingen op een website, bijvoorbeeld wanneer een hacker probeert de site te koppelen aan nieuwe domeinen.

Wanneer een organisatie overweegt om een website te monitoren, moet ze de kosten afwegen tegen de voordelen. Meestal kunnen deze tools drie aspecten monitoren: de beschikbaarheid, de snelheid en de inhoud. Er bestaat echter geen universele oplossing. De totale kosten zijn afhankelijk van de mate waarin en de regelmaat waarmee een organisatie de inhoud van haar website wil monitoren. Ze zullen dus voor elke organisatie verschillend zijn, afhankelijk van de behoeften en vereisten van de organisatie: als de website een sleutelrol speelt bij de dagelijkse activiteiten of dienstverlening aan klanten, is het beter om te investeren in monitoringtools voor de website.

1.    Maak de medewerkers bewust van het risico op website defacing

Je medewerkers kunnen niet correct reageren op verdachte gebeurtenissen als ze zich niet bewust zijn van de gevaren die gepaard gaan met het gebruik van informatie- en communicatietechnologieën. Het is belangrijk dat elke organisatie alle moderne cyberrisico's analyseert, nagaat hoe deze kunnen worden beperkt en een aantal regels voor goede praktijken opstelt. Al deze maatregelen zijn echter nutteloos als ze niet correct aan de medewerkers worden meegedeeld en zij deze begrijpen. Daarom is het van cruciaal belang dat iedereen weet hoe een hacking-aanval op een website kan worden geïdentificeerd en hoe de interne procedures voor het melden en verhelpen van een incident verlopen.

2.    Maak de medewerkers bewust van oplichting met als doel hun inloggegevens te stelen

De medewerkers van een organisatie vormen de eerste verdedigingslinie. Als ze echter te maken krijgen met cyberoplichting, kunnen ze niet de juiste reflexen aannemen als ze die niet kennen.
Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

3.    Beveilig de hostserver

Via een "Defense in depth"-benadering kan de website worden beschermd door onafhankelijke methoden in te voeren om de software en hardware van de server en de hostinfrastructuur te beveiligen. Voorbeelden van dergelijke methoden zijn een firewall, een applicatiefirewall, een antivirus etc., die samen de server beschermen tegen frequente cyberbedreigingen (malware, DDoS etc.). Bij een externe hostwebsite moet je ervoor zorgen dat de provider voldoende beveiligingscontroles uitvoert om de hostwebsite te beschermen.

4.    Schakel een Web Application Firewall in en configureer deze

Een specifieke beschermingsmethode die in de in depth-benadering moet worden opgenomen, is de implementatie van een WAF. Deze firewall monitort het inkomende en uitgaande netwerkverkeer om communicatie toe te staan of te weigeren op basis van vooraf bepaalde veiligheidsregels. De WAF fungeert als een controller tussen de server en de klant en analyseert gebruikersverzoeken om netwerktoegang door het verkeer te ontsleutelen. Als hij dus een activiteit detecteert die verdacht is volgens de configuratieregels, kan hij waarschuwingen genereren en deze doorsturen naar de IT-verantwoordelijke en zijn team, die vervolgens beslissen welke actie moet worden ondernomen.

5.    Configureer en beveilig de server naargelang je behoeften

Configureer alleen de nodige diensten voor de server en verbied al het andere om ongebruikte en potentieel gevaarlijke toegangspunten te vermijden. Er kunnen ook specifieke regels worden ingesteld, zoals het filteren van IP-adressen of het verbieden van bepaalde bestandsformaten. Ten slotte moeten alle ongebruikte diensten en functies worden uitgeschakeld of beperkt om het risico op hacking te beperken.

6.    Update  alle software, besturingssystemen en webbrowsers.

Cybercriminelen zijn voortdurend op zoek naar kwetsbaarheden, dus het is belangrijk dat je alle systemen up-to-date houdt. Zo ben je zeker dat je de laatste en veiligste versie gebruikt.

7.    Hou alle onderdelen van de webserver up-to-date

Net als bij alle informatie- en technologiesystemen is het van cruciaal belang om de onderdelen van de webserver te updaten om ervoor te zorgen dat bekende kwetsbaarheden worden gecorrigeerd en dat internetcriminelen geen kans hebben om ze uit te buiten.

Typische onderdelen van een internetserver zijn onder andere:

• de BIOS/firmware van de hardware waarop de server draait;
• het besturingssysteem van de server;
• de gebruikte webdienst (Apache, Nginx, IIS etc.);
• het contentbeheersysteem (Drupal, Joomla, WordPress etc.);
• optioneel de virtualisatielaag.

Er zijn maar weinig organisaties die hun website volledig zelf maken. In de meeste gevallen doen ze een beroep op derden die veel plugins en thema's aanbieden. Zorg ervoor dat je ook die up-to-date houdt. De ontwikkelaars van deze derde partijen zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Daarom is het van cruciaal belang om de updates uit te voeren om over de minst kwetsbare versie van de gebruikte onderdelen te beschikken.

8.    Versleutel, back-up en controleer de toegang tot de database

Gegevens zijn een van de meest waardevolle bezittingen van een organisatie. Ze moeten dan ook correct worden beschermd. Het is belangrijk dat gegevens in rusttoestand (d.w.z. wanneer ze in de database zijn opgeslagen) worden versleuteld en dat de toegang tot de database strikt wordt gecontroleerd.

Bovendien moet een back-up van deze databases worden gemaakt om ervoor te zorgen dat zelfs bij een incident alle belangrijke gegevens kunnen worden hersteld. Test deze back-ups regelmatig om er zeker van te zijn dat ze altijd kunnen worden gebruikt wanneer dat nodig is, na een incident. Update niet alleen de databases maar ook de website en de configuratie ervan. Test deze back-ups ook zodat je zeker bent dat ze kunnen worden hersteld indien nodig.   

9.    Implementeer het https-protocol

Het https-protocol wordt op internet gebruikt om de communicatie en de gegevensoverdracht op een computernetwerk te beveiligen. Dit is de beveiligde versie van het http-protocol.  Net als http wordt https gebruikt om gegevens te verzenden tussen een browser en een webserver. Het verschil is dat https de gegevens versleutelt om de beveiliging van de gegevensoverdracht te verbeteren. Door alle communicatie tussen een browser en een webserver te versleutelen, zorgt het https-protocol ervoor dat niemand van buitenaf de communicatie kan afluisteren. Zelfs als een hacker de gegevens kan onderscheppen, kan hij ze niet begrijpen of gebruiken omdat ze versleuteld zijn.

10.    Beveilig de toegang tot het contentbeheersysteem en hou het up-to-date

Zoals hierboven reeds is gezegd, is het voor de beveiliging van het contentbeheersysteem van groot belang dat het systeem zelf en de plug-ins up-to-date worden gehouden. Cybercriminelen zijn steeds op zoek naar nieuwe kwetsbaarheden die ze kunnen uitbuiten, maar er zijn patches die deze kwetsbaarheden kunnen verhelpen. Het is dus belangrijk om de updates te installeren zodra deze beschikbaar zijn.

Een andere manier om het contentbeheersysteem te beschermen is door nooit de standaardconfiguratie van accounts en wachtwoorden te gebruiken, maar door je eigen beheerdersaccount aan te maken met een voldoende sterk wachtwoord en met gebruik van multifactorauthenticatie (MFA).  Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

Tot slot moet het toegangsbeheerproces een regelmatige evaluatie van de gebruikerslijst omvatten. Dit geldt zowel voor gebruikers die toegang hebben tot het CMS als voor andere gebruikers binnen de organisatie. Met deze controle kan de organisatie zich ervan verzekeren dat er geen testgebruikers meer actief zijn en dat er geen gebruikers zijn toegevoegd die er niet horen te zijn.

11.    Schakel bladeren door de directory's uit

Door te bladeren door de directory's krijgen websitebezoekers toegang tot de inhoud van de directory, dat wil zeggen tot alle bestanden en mappen. Bladeren door de directory's moet worden uitgeschakeld, zodat hackers de gegevens niet zomaar met behulp van zoekmachines kunnen vinden. Bovendien mogen de bestanden niet worden opgeslagen op standaard- of openbaar toegankelijke locaties.

12.    Implementeer processen voor toegangscontrolebeheer en gebruikersprovisioning

Cybercriminelen gebruiken vaak een bestaand account om toegang te krijgen tot de bronnen van een organisatie. De toegangscontrole moet correct worden beheerd en goed zijn verankerd in de organisatie. Pas de “least privilege”- en “need-to-know”-basisprincipes toe: gebruikers mogen alleen over de toegangen beschikken die ze nodig hebben voor hun werk.  Ze moeten altijd over de minimale toegang beschikken en niet over extra toegangen "voor het geval dat”.

Bovendien moet er een proces voor de provisioning van de gebruikerstoegangen worden geïmplementeerd. In dit proces wordt de procedure beschreven voor het verwijderen of wijzigen van toegang voor werknemers die van functie veranderen of de organisatie verlaten. Geen enkele organisatie is veilig voor een aanval van insiders, ook al zijn de voormalige medewerkers altijd loyaal geweest. Ze kunnen anders tegenover de organisatie gaan staan als ze niet vrijwillig zijn vertrokken.

13.    Check de website op zoek naar de meest voorkomende kwetsbaarheden

Het testen van een website op zoek naar de meest voorkomende kwetsbaarheden is een uitstekende manier om te bepalen of de website veilig online kan worden gezet. Door de resterende kwetsbaarheden in kaart te brengen, kan je ze verhelpen zonder schade te veroorzaken en voordat een cybercrimineel ze gebruikt en ernstige schade aanricht. Beveiligingsexperts kunnen je helpen door bijvoorbeeld penetratietests en -audits uit te voeren om het beveiligingsniveau van de website te beoordelen.

14.    Gebruik sterke wachtwoorden en multifactorauthenticatie

Gebruikers kiezen doorgaans een zwak wachtwoord dat gemakkelijk te onthouden is. Maar een wachtwoord dat je gemakkelijk kan onthouden, is ook gemakkelijk te hacken. Daarom is het belangrijk dat je alleen sterke wachtwoorden toestaat, die bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Bovendien voeg je met multifactorauthenticatie een extra beveiligingslaag toe aan je accounts.

Wanneer een website is gehackt, zijn er verschillende stappen die je moet volgen:

1.    Meld het incident aan de IT-verantwoordelijke van de organisatie

Zodra je een ongewone wijziging op de website vaststelt, meld je deze onmiddellijk aan de IT-verantwoordelijke van de organisatie, zodat hij de nodige corrigerende maatregelen kan nemen.

2.    Koppel de gecompromitteerde toestellen af van het internet en van het organisatienetwerk

Om de aanval in te dammen en te voorkomen dat heel het netwerk van de organisatie wordt aangetast, moeten alle geïnfecteerde toestellen van het internet worden losgekoppeld. Dat kan je doen door de Ethernet-kabel uit te trekken of de wifi rechtstreeks op de toestellen uit te schakelen.

3.    Verzamel al het benodigde bewijsmateriaal

Het hacken van een website is een cybermisdaad die aan de politie moet worden gemeld. Voordat er een klacht wordt ingediend, moeten er een aantal zaken worden verzameld om het dossier te vervolledigen: screenshots van de aangevallen website, screenshots van ongebruikelijke activiteiten op de toestellen en de logs van de firewalls en servers.

4.    Meld het incident aan de politie en dien een klacht in

Het hacken van een website is strafbaar en moet aan de autoriteiten worden gemeld, zodat zij een onderzoek kunnen instellen naar de verantwoordelijken en kunnen voorkomen dat ze nog meer aanvallen uitvoeren.

5.    Maak een kopie van alle gecompromitteerde toestellen

Indien mogelijk moeten alle geïnfecteerde toestellen op een fysieke drager worden gekopieerd om het onderzoek te vergemakkelijken.

6.    Inventariseer alle gevoelige informatie die werd geraadpleegd of gestolen

Dit helpt om de omvang van de aanval in te schatten en te voorspellen wat de hacker in de toekomst zou kunnen gebruiken om nieuwe aanvallen uit te voeren.

7.    Identificeer en corrigeer alle kwetsbaarheden die werden gebruikt om toegang te krijgen

Door exact te bepalen hoe de hacker toegang had tot een IT-middel, kunnen de nodige corrigerende maatregelen worden genomen om ervoor te zorgen dat deze kwetsbaarheid niet meer wordt gebruikt voor andere aanvallen. Denk hierbij bijvoorbeeld aan de installatie van een beveiligingspatch of de wijziging van een gecompromitteerd wachtwoord.

8.    Informeer de websiteprovider

De meeste organisaties ontwikkelen hun websites niet intern. Wanneer een externe provider betrokken is, moet hij gecontacteerd worden en op de hoogte gebracht worden van het incident zodat hij ook de nodige maatregelen kan nemen om de situatie te verhelpen.  

9.    Neem indien nodig contact op met officiële externe beveiligingsdeskundigen

Niet alle organisaties beschikken over voldoende middelen om cyberincidenten doeltreffend te verhelpen. Er kunnen meerdere beveiligingsexperts worden ingeschakeld om je te helpen het probleem op te lossen. Deze specialisten mogen uitsluitend voor officiële organisaties werken, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter in dienst wordt genomen.