Ransomware is specifieke malware die cybercriminelen op een apparaat van een organisatie installeren op verschillende manieren, zoals het downloaden van een virus of via een phishingaanval waarbij het slachtoffer op een kwaadaardige link klikt of een geïnfecteerde bijlage opent. Na een geslaagde installatie versleutelt de ransomware informatie en/of informatiesystemen om zo elke toegang van de organisatie te blokkeren. Vervolgens wordt er een bepaald bedrag geëist om die toegang terug te geven. De organisatie verliest op die manier alle macht over haar computers en kan dus niets meer doen. Naast het onbeschikbaar maken van de informatie kunnen cybercriminelen de organisatie ook bedreigen met het openbaar maken van alle gegevens die ze hebben bemachtigd. Dit vormt een ernstig probleem, vooral voor bedrijven die met gevoelige informatie te maken hebben.

Het doel van cybercriminelen die ransomware op een apparaat installeren, is iets in ruil te krijgen, meestal geld. Ze zullen dan ook laten blijken dat ze de controle hebben overgenomen en iets in ruil willen, vaak via een duidelijke boodschap op het scherm van het geïnfecteerde apparaat.

1.    Update je apparaten en software zo snel mogelijk

Aangezien cybercriminelen slechts één kwetsbaarheid in een systeem, applicatie of apparaat nodig hebben om schade te veroorzaken en toegang te krijgen tot informatie, is het van cruciaal belang om updates te installeren zodra deze beschikbaar zijn. Dit zorgt voor een sterke cyberdefensie en garandeert dat de gebruikte systeemversie nog steeds door de leverancier wordt ondersteund.

2.    Beveilig de toegang tot je accounts

Accounts vormen een toegangspoort tot de hele omgeving van een organisatie. Ze moeten dus worden beschermd met sterke wachtwoorden die voor elk account anders zijn. Een sterk wachtwoord bestaat uit ten minste 12 tekens en heeft een combinatie van hoofdletters en kleine letters, cijfers en symbolen. In combinatie met een sterk wachtwoord moet waar mogelijk ook multifactorauthenticatie worden ingeschakeld. Bij multifactorauthenticatie moet een gebruiker ten minste twee verschillende methoden hanteren (bv. wachtwoord en pincode, pincode en een via sms ontvangen toegangscode) om zijn identiteit te verifiëren en toegang te krijgen tot de bron die hij probeert te bereiken.  

3.    Stel een antivirusprogramma en lokale firewalls in op je apparaten

Er zijn verschillende manieren waarop een apparaat door een virus kan worden geïnfecteerd: het openen van een bijlage, het klikken op een link, het aansluiten van een USB-stick of gewoon surfen op een website. Een virus is kwaadaardige software die tot doel heeft informatie te beschadigen, bestanden te verwijderen, prestaties te vertragen of vertrouwelijke informatie te stelen. Als een virus eenmaal op de computer zit, kost het tijd, moeite en financiële middelen om het te verwijderen. Daarom is het beter om alle apparaten die verbinding kunnen maken met het netwerk van de organisatie vooraf te beschermen met een antivirussoftware.

Daarnaast moet een firewall worden gebruikt om de toegangsverzoeken tot het bedrijfsnetwerk te bewaken en te filteren op basis van vooraf vastgestelde beveiligingsregels. De firewall fungeert als een muur tussen het bedrijfsnetwerk en een niet-vertrouwd netwerk (bv. thuisnetwerk, internet). De organisatie kan hiermee de externe toegang beperken tot de bevoegde personen.

4.    Informeer je medewerkers over oplichting gericht op het stelen van vertrouwelijke informatie

De medewerkers van een organisatie vormen haar eerste verdedigingslinie. Ze moeten weten hoe ze oplichting en valse berichten kunnen herkennen, zodat ze de juiste reflexen kunnen aanleren.

Cybercriminelen proberen op verschillende manieren de gegevens van medewerkers te stelen om toegang te krijgen tot de systemen van een organisatie. Een veel voorkomende manier is het gebruik van een phishing e-mail, waarmee cybercriminelen hun slachtoffer proberen te overtuigen om wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig infosessies te organiseren om de medewerkers te leren niet te veel te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst te analyseren waar het vandaan komt.

5.    Gebruik alleen officiële websites en platforms om toepassingen en software te downloaden

Gepirateerde toepassingen en software zijn meestal besmet met malware, dus zorg ervoor dat je alleen officiële toepassingen installeert en downloadt, via de officiële platforms en websites van de leveranciers.

6.    Beperk de acties die kunnen worden uitgevoerd met een beheerdersaccount

Beperk het aantal beheerders- of bevoorrechte accounts tot het absolute minimum. Niemand mag beheerdersrechten hebben voor dagelijkse taken. Met de privileges die aan beheerdersaccounts verbonden zijn, wordt het voor cybercriminelen gemakkelijker om het apparaat over te nemen of een ransomware te installeren.

7.    Maak regelmatig een back-up van je kritieke gegevens

Maak een back-up van alle systemen, toepassingen, servers en gegevens om ervoor te zorgen dat, zelfs als zich een incident voordoet, alle belangrijke informatie kan worden hersteld. Het is belangrijk om die back-ups regelmatig te testen om te checken of ze daadwerkelijk kunnen worden gebruikt als dat nodig is, na een incident.

8.    Controleer software-installatie op bedrijfsapparaten door een lijst op te stellen van toegestane software

Een medewerker die op zoek is naar specifieke software en weinig tot geen kennis heeft van cyberbeveiliging, is minder geneigd om de aanbiedingen die hij op het internet vindt, in twijfel te trekken. Het is dus belangrijk ervoor te zorgen dat alle gedownloade software door de IT-verantwoordelijke wordt goedgekeurd vanuit het oogpunt van veiligheid en prestaties. Daarnaast kan de IT-verantwoordelijke een "witte lijst" opstellen: een lijst van software die medewerkers op hun bedrijfsapparaten mogen installeren.

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke.
2. Isoleer de geïnfecteerde systemen van het netwerk om te voorkomen dat de ransomware zich verder verspreidt.
3. Betaal geen losgeld.
4. Zet een gescheiden communicatiekanaal op.
5. Richt een crisismanagementteam op.
6. Meld het incident onmiddellijk bij de lokale politie.
7. Verzamel alle nodige informatie: het type drager van de gegevens, het besturingssysteem, de infectiemethode, de naam van de ransomware, het betaalmiddel, en indien mogelijk screenshots van de geïnfecteerde systemen.
8. Wijzig alle gegeven wachtwoorden (indien van toepassing) op alle gebruikte accounts.
9. Scan je apparaten met een antivirus.
10. Identify all the vulnerabilities that were used to get access and remediate them as soon as possible.
11. Identificeer alle kwetsbaarheden die werden gebruikt om toegang te krijgen en pak ze zo spoedig mogelijk aan.
12. Probeer de versleutelde bestanden te decrypteren als er een oplossing bestaat (de website Accueil | The No More Ransom Project geeft decrypteringsoplossingen die nuttig kunnen zijn).
13. Neem zo nodig contact op met officiële (externe) beveiligingsspecialisten die je kunnen helpen je informatie terug te krijgen door middel van decryptie.

Cybercriminelen gebruiken valse e-mails of telefoontjes om bedrijfsinformatie, persoonlijke gegevens of inloggegevens te verzamelen waarmee ze zich zonder toestemming toegang kunnen verschaffen tot computers of applicaties. Als ze eenmaal binnen zijn, proberen ze vertrouwelijke informatie te bemachtigen, de inloggegevens en/of gevoelige informatie te verkopen of winst te maken - bijvoorbeeld via ransomware.

Om informatie los te krijgen of om het slachtoffer ervan te overtuigen iets in hun voordeel te doen, zullen cybercriminelen op iets inspelen waarin het slachtoffer gelooft of zich voordoen als een vertrouwenspersoon. Ze maken daarbij gebruik van hun zogenaamde autoriteit, een gevoel van urgentie of van het menselijk instinct om anderen te helpen.

E-mail phishing

De klassieke vorm van phishing gebeurt via e-mail. Cybercriminelen sturen een e-mail die er echt uitziet en vragen het slachtoffer een bijlage te openen of op een link te klikken. Via de bijlage wordt meestal malware gedownload en geïnstalleerd op de computer of mobiele telefoon van het slachtoffer. De link leidt om naar een website die op het eerste gezicht onschadelijk lijkt, maar in werkelijkheid probeert gevoelige informatie te stelen, zoals gegevens en wachtwoorden om toegang te krijgen tot de accounts van een organisatie of van haar medewerkers, of tot sociale en persoonlijke accounts en/of bankrekeningen. Het klikken op een link kan ook leiden tot een automatische download van kwaadaardige software (malware) naar het apparaat.

Phone phishing (en smishing)

Een andere vorm van phishing die tegenwoordig ook wordt gebruikt, is phishing via de telefoon. Het uiteindelijke doel blijft hetzelfde: cybercriminelen proberen toegang te krijgen tot informatie van een organisatie en/of tot persoonlijke accounts van medewerkers en deze te misbruiken. Via een tekstbericht kunnen ze een link sturen en het slachtoffer ertoe verleiden erop te klikken en zijn gegevens en wachtwoord in te voeren. Via een oproep kunnen ze proberen het slachtoffer te manipuleren om persoonlijke informatie te verkrijgen en deze later te gebruiken om toegang te krijgen tot zijn professionele en sociale media-accounts en bankrekeningen of andere persoonlijke informatie.

Cybercriminelen gebruiken verschillende technieken om ervoor te zorgen dat hun slachtoffer een valse bijlage opent of op een valse link klikt. In dit artikel staan enkele tips om te voorkomen dat je wordt opgelicht via phishing. De belangrijkste vragen die medewerkers zich moeten stellen zijn de volgende:

• Is het onverwacht?

Krijg je zonder reden een bericht van deze afzender: je kocht niets, had lang geen contact, enz. Controleer zeker verder.

• Is het dringend?

Hou je hoofd koel: kreeg je echt een eerste aanmaning tot betaling? Ken je die 'vriend in nood' wel?

• Ken je de afzender?

Controleer het e-mailadres, ook op spellingsfouten. Maar let op: een legitiem e-mailadres is geen garantie.

• Vind je de vraag vreemd?

Een officiële instantie zal je nooit via e-mail, sms of telefoon vragen om je wachtwoord, bankgegevens of persoonlijke gegevens.

• Naar waar leidt de link waar je moet op klikken?

Zweef met je muis over de link. Is de domeinnaam, het woord voor .be, .com, .eu, .org, … en voor de allereerste slash “/”, ook echt de naam van de organisatie?

Een voorbeeld:

• Bij de link www.safeonweb.be/tips is het domein safeonweb.
• Bij de link www.safeonweb.tips.be/safeonweb is ‘tips’ het domein en word je naar een andere website geleid.
• Staat er een QR-code in het bericht?

Als er een QR-code wordt getoond, moet je goed nakijken naar welke website die doorverwijst. Als je de code scant, krijg je de URL te zien. Controleer het domein zoals hierboven beschreven.

• Word je persoonlijk aangesproken?

Berichten met algemene en vage aanspreektitels, of je e-mailadres als aanspreking, die wantrouw je beter.

• Bevat het bericht veel taalfouten?

Ook al zorgen doorgewinterde cybercriminelen voor correcte taal, taalfouten of een vreemde taal kunnen wijzen op een verdacht bericht.

• Zit het bericht in je Spam/Junk folder?

Indien ja, wees extra voorzichtig. Je kan ook zelf verdachte berichten markeren als Spam of Junk en zo anderen waarschuwen.

• Probeert iemand je nieuwsgierig te maken?

Iedereen zou nieuwsgierig worden bij berichten met een link als "Kijk wat ik over jou las ..." of "Ben jij dit op deze foto?", maar laat je niet vangen.

• Wordt er gevraagd om een betaling uit te voeren?

Als er gevraagd wordt om een betaling uit te voeren die je niet verwacht, moet je altijd voorzichtig zijn. Is het rekeningnummer hetzelfde nummer als je gewoonlijk gebruikt om die organisatie of persoon te betalen? Als dat niet het geval is, voer de betaling dan niet uit. Vaak worden in phishingmails buitenlandse rekeningnummers gebruikt of wordt gevraagd om betalingen te doen via een cryptowallet. Dit is verdacht.

Als je twijfelt over een betaling, informeer je dan eerst bij je bank, of bij de instelling die de betaling opeist. Doe dit niet via de contactgegevens in de e-mail, maar ga rechtstreeks naar de website van de organisatie zelf.

1.    Antwoord er niet op, open geen enkele bijlage en klik niet op de links.

Het belangrijkste wat je moet doen als je een phishing e-mail of sms krijgt, is er niet op ingaan.

2.    Neem rechtstreeks contact op met de afzender

Als je na alle gegeven tips nog steeds niet kunt zien of het een phishing-e-mail is of niet, check het dan rechtstreeks bij de betrokken persoon via een andere weg. Als de afzender van de e-mail een collega, een klant of een provider lijkt te zijn, bel die persoon dan om te zien of hij/zij echt je hulp nodig heeft. Als de e-mail afkomstig is van een andere organisatie, controleer dan hun officiële website door zelf het officiële adres in te voeren in de adresbalk.

3.    Deel nooit bankgegevens waar via sms of e-mail om wordt gevraagd

Vergeet niet dat geen enkele bank ooit een directe link zal geven om in te loggen op een bankrekening via sms of e-mail. Ze zullen ook nooit vragen om pincodes of geheime codes te geven, noch schriftelijk, noch telefonisch.

4.    Meld de poging tot phishing en verwijder de e-mail/tekst.

De phishing-e-mail of -tekst moet worden gemeld aan de IT-verantwoordelijke en aan de bevoegde nationale autoriteit (verdacht@safeonweb.be (NL/DE); suspect@safeonweb.be (FR); suspicious@safeonweb.be (EN)) en onmiddellijk worden verwijderd. Wanneer een bericht al in de Spam staat, mag je het zeker niet vertrouwen.

Wat als je bent opgelicht?

1. Meld het incident onmiddellijk aan je IT-verantwoordelijke
2. Waarschuw je medewerkers, klanten en leveranciers dat ze misschien een bericht gaan krijgen van iemand die zich voordoet als jou, en dat ze het niet moeten vertrouwen.
3. Wijzig alle gegeven wachtwoorden (indien van toepassing) op alle gebruikte accounts.
4. Als de oplichting bankgegevens betreft en je merkt dat er geld is gestolen van je eigen bankrekening, dien dan een klacht in bij de politie.
5. Bel onmiddellijk naar Card Stop op +32 78 170 170 en controleer zeker je rekeningafschriften. Als je verdachte activiteiten vaststelt, bel dan onmiddellijk je bank zodat zij je kunnen helpen.

“Defacing” is een specifieke cyberaanval, in die zin dat cybercriminelen over het algemeen niet proberen om informatie te stelen. Ze hebben als doel zo veel mogelijk wanorde te scheppen. Zo delen de hackers hun meningen of opvattingen op de gehackte website of tonen ze gewoon een witte of zwarte pagina en foto's of video's naar hun keuze. In beide gevallen kan de website zijn oorspronkelijke functie niet meer vervullen, of het nu gaat om informatieverstrekking of dienstverlening.

In het algemeen doen “hacktivisten” aan defacing. Ze proberen hun politieke opvattingen te verspreiden of een sociale verandering teweeg te brengen via hacking of andere computeraanvallen. De doelwitten zijn dus vaak de websites van overheids- of religieuze instanties. Gewone hackers, die niet per se specifieke ideologieën willen verspreiden, kunnen echter ook aan defacing doen, waarbij iedereen een doelwit kan zijn.

De aanvaller zoekt een of meer beveiligingslekken waardoor ze toegang krijgen tot de omgeving van een organisatie. Eens hij in de omgeving is, heeft hij als doel toegangsrechten te verkrijgen om toegang te krijgen tot een beheerdersaccount, te kunnen bewerken wat hij wil en te kunnen controleren wat bezoekers van de website kunnen zien. Zodra ze toegang hebben tot een beheerdersaccount, kunnen hackers bovendien toegang krijgen tot andere bronnen in de organisatie en andere soorten aanvallen of storingen in gang zetten.

Aangezien het hoofddoel van cybercriminelen is om zoveel mogelijk wanorde te scheppen, zullen de wijzigingen op de beoogde website duidelijk zichtbaar zijn. Dat is het belangrijkste teken van een aanval via defacing. Er kunnen echter detectiemiddelen worden ingezet om na te gaan of er sprake is of is geweest van een indringing. Het bewaken van alle kritieke systemen die de werking van een organisatie garanderen, is essentieel voor het waarborgen van een goed beschermingsniveau tegen een aanval via defacing. Als er een aanval plaatsvindt, kunnen de IT-verantwoordelijke en zijn team ingelicht worden door vooraf geplande waarschuwingen. Daarnaast bestaan er verschillende websitemanagementtools die kunnen helpen bij het opsporen van wijzigingen in de inhoud en andere wijzigingen op een website (een hacker probeert de site te koppelen aan nieuwe domeinen etc.).

Wanneer een organisatie overweegt om websitemanagementtools in te zetten, moet ze de kosten afwegen tegen de voordelen. Meestal kunnen deze tools drie aspecten monitoren: de beschikbaarheid, de snelheid en de inhoud. Bij defacing zal de nadruk liggen op de inhoud. Er bestaat echter geen universele oplossing. De totale kosten zijn afhankelijk van de mate waarin en de regelmaat waarmee een organisatie de inhoud van haar website wil monitoren. Ze zullen dus voor elke organisatie verschillend zijn, afhankelijk van de behoeften en vereisten van de organisatie: als de website een sleutelrol speelt bij de dagelijkse activiteiten of dienstverlening aan klanten, kan er best worden geïnvesteerd in monitoringtools voor de website.

1.    Maak je medewerkers bewust van het risico op defacing

Je medewerkers kunnen niet correct reageren op verdachte gebeurtenissen als ze zich niet bewust zijn van de gevaren die gepaard gaan met het gebruik van informatie- en communicatietechnologieën. Elke organisatie moet alle huidige cyberrisico's analyseren, beslissen hoe ze kunnen worden beperkt en een reeks beleidslijnen uitstippelen om de juiste gedragscode te communiceren. Al deze maatregelen zijn echter nutteloos als ze niet correct aan de medewerkers worden meegedeeld en zij deze maatregelen bijgevolg niet begrijpen. Daarom is het belangrijk ervoor te zorgen dat iedereen weet hoe defacing moet worden geïdentificeerd en welke interne processen nodig zijn om een incident te melden en op te lossen.

2.    Maak de medewerkers bewust van oplichting met als doel hun inloggegevens te stelen

De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Ze kunnen echter niet de juiste reflexen op cyberaanvallen aannemen als ze die niet kennen.

Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie  te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

3.    Schakel een Web Application Firewall (WAF) in en configureer die

Een Web Application Firewall bewaakt het inkomende en uitgaande netwerkverkeer om communicatie toe te staan of te weigeren op basis van gedefinieerde beveiligingsregels. Hij fungeert als een controller tussen de server en de klant en analyseert gebruikersverzoeken om netwerktoegang door het verkeer te ontsleutelen. Als hij dus een activiteit detecteert die verdacht is volgens de configuratieregels, kan hij waarschuwingen genereren en deze doorsturen naar de IT-verantwoordelijke en zijn team, zodat die kunnen beslissen welke actie moet worden ondernomen.

4.    Update alle software, besturingssystemen en webbrowsers

Cybercriminelen zijn altijd op zoek naar kwetsbaarheden om misbruik van te maken. Het is daarom belangrijk dat alle systemen up-to-date blijven om ervoor te zorgen dat de nieuwste en veiligste versie wordt gebruikt.

5.    Hou alle onderdelen van de webserver up-to-date

Net als bij alle informatie- en technologiesystemen is het van cruciaal belang om de onderdelen van de website te updaten  om ervoor te zorgen dat bekende kwetsbaarheden worden gecorrigeerd en dat hackers geen kans hebben om er misbruik van te maken.

Typische onderdelen van een internetserver zijn onder andere:

• de BIOS/firmware van de hardware waarop de server van de organisatie draait;
• het besturingssysteem van de server;
• de gebruikte webdienst (Apache, Nginx, IIS etc.);
• het contentbeheersysteem (Drupal, Joomla, WordPress etc.);
• optioneel de virtualisatielaag.

Er zijn maar weinig organisaties die hun website volledig zelf maken. In de meeste gevallen doen ze een beroep op derden die veel plugins en thema's aanbieden. Zorg ervoor dat je ook die up-to-date houdt Ontwikkelaars van derden zoeken voortdurend naar nieuwe kwetsbaarheden. Het is daarom van cruciaal belang dat de updates worden uitgevoerd om de minst kwetsbare versie van de gebruikte onderdelen te verkrijgen.

6.    Beveilig de toegang tot het contentbeheersysteem (CMS) en hou het up-to-date

Zoals hierboven is uiteengezet, is het up-to-date houden van een contentbeheersysteem en de bijbehorende plug-ins een belangrijke stap voor de beveiliging ervan. Cybercriminelen zijn altijd op zoek naar nieuwe kwetsbaarheden, en er worden beveiligingspatches ontwikkeld om deze kwetsbaarheden aan te pakken. Het is dus belangrijk om de updates te installeren zodra deze beschikbaar zijn.

Een andere manier om het CMS te beschermen is door nooit de standaardconfiguratie van accounts en wachtwoorden te gebruiken, maar door je eigen beheerdersaccount aan te maken met een voldoende sterk wachtwoord en met gebruik van multifactorauthenticatie (MFA).  Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

Tot slot moet het toegangsbeheerproces een regelmatige evaluatie van de gebruikerslijst omvatten. Dit geldt niet alleen voor gebruikers die toegang hebben tot het contentbeheersysteem, maar ook voor alle andere gebruikers van de organisatie in het algemeen. Met deze controle kan de organisatie zich ervan verzekeren dat er geen testgebruikers meer actief zijn en dat er geen gebruikers zijn toegevoegd die er niet horen te zijn.

7.    Implementeer het https-protocol

Het https-protocol wordt op internet gebruikt om de communicatie en de gegevensoverdracht op een computernetwerk te beveiligen. Dit is de beveiligde versie van het http-protocol. Net als http wordt https gebruikt om gegevens te verzenden tussen een browser en een webserver. Het verschil is dat https de gegevens versleutelt om de beveiliging van de gegevensoverdracht te verbeteren. Door alle communicatie tussen een browser en een webserver te versleutelen, zorgt het https-protocol ervoor dat niemand van buitenaf de communicatie kan afluisteren. Zelfs als een hacker de gegevens kan onderscheppen, kan hij ze niet begrijpen of gebruiken omdat ze versleuteld zijn.

8.    Versleutel, back-up en controleer de toegang tot de database

Gegevens zijn een van de meest waardevolle bezittingen van een organisatie. Ze moeten dan ook correct worden beschermd. Het is belangrijk dat gegevens in rusttoestand (d.w.z. wanneer ze in de database zijn opgeslagen en niet worden gebruikt) worden versleuteld en dat de toegang tot die database strikt wordt gecontroleerd.

Bovendien moet een back-up van deze databases worden gemaakt om ervoor te zorgen dat zelfs bij een incident alle belangrijke gegevens kunnen worden hersteld. Test deze back-ups regelmatig om er zeker van te zijn dat ze altijd kunnen worden gebruikt wanneer dat nodig is, na een incident. Update niet alleen de databases maar ook de website en de configuratie ervan. Test deze back-ups ook zodat je zeker bent dat ze kunnen worden hersteld indien nodig.

9.    Schakel bladeren door de directory's uit

Door te bladeren door de directory's krijgen websitebezoekers toegang tot de inhoud van de directory, dat wil zeggen tot alle bestanden en mappen.

Bladeren door de directory's moet worden uitgeschakeld, zodat hackers de gegevens van een organisatie niet zomaar met behulp van zoekmachines kunnen vinden. Bovendien mogen de bestanden niet worden opgeslagen op standaard- of openbaar toegankelijke locaties.

Je kan verschillende stappen volgen wanneer je geconfronteerd wordt met een aanval via defacing:

•    Meld het incident aan de IT-verantwoordelijke van de organisatie

Je moet de IT-verantwoordelijke van de organisatie onmiddellijk op de hoogte brengen van eventuele wijzigingen op de website, zodat hij de onderstaande stappen kan uitvoeren.

•    Koppel de gecompromitteerde toestellen af van het internet en van het organisatienetwerk

Om te voorkomen dat de aanval en de schade erdoor uitbreidt naar het hele netwerk van de organisatie, moeten alle geïnfecteerde toestellen worden losgekoppeld van het internet. Dit kan door de ethernetkabel los te koppelen of door de wifi rechtstreeks op de toestellen uit te schakelen.

•    Verzamel al het benodigde bewijsmateriaal

De defacing van een website is een cybermisdaad die aan de politie moet worden gemeld. Er kunnen verschillende elementen worden samengevoegd om het dossier te vervolledigen met het oog op het indienen van een klacht: screenshots van de aangevallen website, screenshots van alle ongebruikelijke inhoud die op toestellen wordt weergegeven en opgeslagen firewall- en servergeschiedenis.

•    Meld het incident aan de politie en dien een klacht in

Een aanval via defacing van een website is strafbaar en moet aan de autoriteiten worden gemeld, zodat zij een onderzoek kunnen instellen naar de verantwoordelijken en zo nog meer aanvallen kunnen voorkomen.

•    Maak een kopie van alle gecompromitteerde toestellen

Indien mogelijk moeten alle geïnfecteerde toestellen op een fysieke drager worden gekopieerd om het onderzoek te vergemakkelijken.

•    Inventariseer alle gevoelige informatie die werd geraadpleegd of gestolen

Dit helpt om de omvang van de aanval in te schatten en te voorspellen wat de hacker in de toekomst zou kunnen gebruiken om nieuwe aanvallen uit te voeren.

•    Identificeer alle kwetsbaarheden die zijn gebruikt om toegang te verkrijgen en deze te verhelpen.

Door precies te bepalen hoe de aanvaller toegang kreeg tot een bron, kunnen de nodige corrigerende maatregelen genomen worden om ervoor te zorgen dat deze kwetsbaarheid niet meer kan gebruikt worden voor andere aanvallen. Bijvoorbeeld: installeer een beveiligingspatch of wijzig een gecompromitteerd wachtwoord.

•    Informeer de websiteprovider

De meeste organisaties ontwikkelen hun websites niet intern. Wanneer de organisatie een beroep heeft gedaan op een externe leverancier, moet deze worden gecontacteerd en op de hoogte worden gebracht van het incident, zodat hij ook de nodige maatregelen kan nemen om het incident te verhelpen.

•    Neem indien nodig contact op met officiële externe beveiligingsdeskundigen

Niet alle organisaties beschikken over voldoende middelen om cyberincidenten doeltreffend te verhelpen. Er kunnen meerdere beveiligingsexperts worden ingeschakeld om je te helpen het probleem op te lossen. Deze specialisten mogen uitsluitend voor officiële organisaties werken, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter in dienst wordt genomen.

Als een cybercrimineel een website hackt, is zijn voornaamste doel het verkrijgen van ongeoorloofde toegang tot de configuratie en gegevens van de site. Daarna gebruikt hij dezelfde gegevens voor kwaadaardige doeleinden om er munt uit te slaan. Doordat websites de klok rond beschikbaar zijn, vormen ze een populair doelwit voor cybercriminelen. Er zijn verschillende redenen waarom cybercriminelen toegang willen tot een website en er de controle over willen krijgen:

• De website gebruiken als startpunt voor andere aanvallen (de toestellen van websitebezoekers besmetten etc.)
• Toegang krijgen tot gevoelige gegevens uit winkelwagentjes, indieningsformulieren, aanmeldingspagina's etc.
• De bandbreedte van de website (d.w.z. de server) gebruiken voor criminele activiteiten (zoals het verspreiden van illegale producten)
• Illegale inhoud publiceren (bijvoorbeeld haatdragende taal)
• De volgorde waarin een website in een zoekmachine verschijnt wijzigen door de website aan specifieke trefwoorden te koppelen
• Phishingpogingen uitvoeren door bezoekers door te verwijzen naar een phishingsite om hun inloggegevens te stelen.

Hackers zoeken een of meer beveiligingslekken waardoor ze toegang  krijgen tot de omgeving van een organisatie. Zodra ze in deze omgeving zijn binnengedrongen, proberen ze toegangsrechten tot een beheerdersaccount te krijgen om zaken te kunnen wijzigen en zo te controleren wat bezoekers van de website te zien krijgen. Bovendien hebben ze, wanneer ze over een beheerdersaccount beschikken, veel rechten en kunnen ze toegang krijgen tot andere bronnen in de organisatie en andere soorten aanvallen plegen of verstoringen veroorzaken.

Een van de eerste dingen die je moet doen is als externe gebruiker op je eigen website surfen. Als je verdachte wijzigingen ziet of merkt dat de webpagina volledig is veranderd en deze aanpassingen niet door je marketing- of webontwikkelingsteam werden uitgevoerd, is dit een eerste aanwijzing dat de website gehackt is.

Bovendien kan je opsporingsmiddelen installeren om na te gaan of er een indringing aan de gang is of reeds heeft plaatsgevonden. Het monitoren van alle kritieke systemen die de werking van een organisatie mogelijk maken, is van essentieel belang om een hoog niveau van bescherming tegen websitehacking te waarborgen. In geval van een inbreuk kunnen de IT-verantwoordelijke en zijn team gewaarschuwd worden via alerts die ze vooraf hebben ingevoerd. Daarnaast zijn er verschillende websitemanagementtools die kunnen helpen bij het opsporen van wijzigingen in de inhoud en andere wijzigingen op een website, bijvoorbeeld wanneer een hacker probeert de site te koppelen aan nieuwe domeinen.

Wanneer een organisatie overweegt om een website te monitoren, moet ze de kosten afwegen tegen de voordelen. Meestal kunnen deze tools drie aspecten monitoren: de beschikbaarheid, de snelheid en de inhoud. Er bestaat echter geen universele oplossing. De totale kosten zijn afhankelijk van de mate waarin en de regelmaat waarmee een organisatie de inhoud van haar website wil monitoren. Ze zullen dus voor elke organisatie verschillend zijn, afhankelijk van de behoeften en vereisten van de organisatie: als de website een sleutelrol speelt bij de dagelijkse activiteiten of dienstverlening aan klanten, is het beter om te investeren in monitoringtools voor de website.

1.    Maak de medewerkers bewust van het risico op website defacing

Je medewerkers kunnen niet correct reageren op verdachte gebeurtenissen als ze zich niet bewust zijn van de gevaren die gepaard gaan met het gebruik van informatie- en communicatietechnologieën. Het is belangrijk dat elke organisatie alle moderne cyberrisico's analyseert, nagaat hoe deze kunnen worden beperkt en een aantal regels voor goede praktijken opstelt. Al deze maatregelen zijn echter nutteloos als ze niet correct aan de medewerkers worden meegedeeld en zij deze begrijpen. Daarom is het van cruciaal belang dat iedereen weet hoe een hacking-aanval op een website kan worden geïdentificeerd en hoe de interne procedures voor het melden en verhelpen van een incident verlopen.

2.    Maak de medewerkers bewust van oplichting met als doel hun inloggegevens te stelen

De medewerkers van een organisatie vormen de eerste verdedigingslinie. Als ze echter te maken krijgen met cyberoplichting, kunnen ze niet de juiste reflexen aannemen als ze die niet kennen.
Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.

3.    Beveilig de hostserver

Via een "Defense in depth"-benadering kan de website worden beschermd door onafhankelijke methoden in te voeren om de software en hardware van de server en de hostinfrastructuur te beveiligen. Voorbeelden van dergelijke methoden zijn een firewall, een applicatiefirewall, een antivirus etc., die samen de server beschermen tegen frequente cyberbedreigingen (malware, DDoS etc.). Bij een externe hostwebsite moet je ervoor zorgen dat de provider voldoende beveiligingscontroles uitvoert om de hostwebsite te beschermen.

4.    Schakel een Web Application Firewall in en configureer deze

Een specifieke beschermingsmethode die in de in depth-benadering moet worden opgenomen, is de implementatie van een WAF. Deze firewall monitort het inkomende en uitgaande netwerkverkeer om communicatie toe te staan of te weigeren op basis van vooraf bepaalde veiligheidsregels. De WAF fungeert als een controller tussen de server en de klant en analyseert gebruikersverzoeken om netwerktoegang door het verkeer te ontsleutelen. Als hij dus een activiteit detecteert die verdacht is volgens de configuratieregels, kan hij waarschuwingen genereren en deze doorsturen naar de IT-verantwoordelijke en zijn team, die vervolgens beslissen welke actie moet worden ondernomen.

5.    Configureer en beveilig de server naargelang je behoeften

Configureer alleen de nodige diensten voor de server en verbied al het andere om ongebruikte en potentieel gevaarlijke toegangspunten te vermijden. Er kunnen ook specifieke regels worden ingesteld, zoals het filteren van IP-adressen of het verbieden van bepaalde bestandsformaten. Ten slotte moeten alle ongebruikte diensten en functies worden uitgeschakeld of beperkt om het risico op hacking te beperken.

6.    Update  alle software, besturingssystemen en webbrowsers.

Cybercriminelen zijn voortdurend op zoek naar kwetsbaarheden, dus het is belangrijk dat je alle systemen up-to-date houdt. Zo ben je zeker dat je de laatste en veiligste versie gebruikt.

7.    Hou alle onderdelen van de webserver up-to-date

Net als bij alle informatie- en technologiesystemen is het van cruciaal belang om de onderdelen van de webserver te updaten om ervoor te zorgen dat bekende kwetsbaarheden worden gecorrigeerd en dat internetcriminelen geen kans hebben om ze uit te buiten.

Typische onderdelen van een internetserver zijn onder andere:

• de BIOS/firmware van de hardware waarop de server draait;
• het besturingssysteem van de server;
• de gebruikte webdienst (Apache, Nginx, IIS etc.);
• het contentbeheersysteem (Drupal, Joomla, WordPress etc.);
• optioneel de virtualisatielaag.

Er zijn maar weinig organisaties die hun website volledig zelf maken. In de meeste gevallen doen ze een beroep op derden die veel plugins en thema's aanbieden. Zorg ervoor dat je ook die up-to-date houdt. De ontwikkelaars van deze derde partijen zijn voortdurend op zoek naar nieuwe kwetsbaarheden. Daarom is het van cruciaal belang om de updates uit te voeren om over de minst kwetsbare versie van de gebruikte onderdelen te beschikken.

8.    Versleutel, back-up en controleer de toegang tot de database

Gegevens zijn een van de meest waardevolle bezittingen van een organisatie. Ze moeten dan ook correct worden beschermd. Het is belangrijk dat gegevens in rusttoestand (d.w.z. wanneer ze in de database zijn opgeslagen) worden versleuteld en dat de toegang tot de database strikt wordt gecontroleerd.

Bovendien moet een back-up van deze databases worden gemaakt om ervoor te zorgen dat zelfs bij een incident alle belangrijke gegevens kunnen worden hersteld. Test deze back-ups regelmatig om er zeker van te zijn dat ze altijd kunnen worden gebruikt wanneer dat nodig is, na een incident. Update niet alleen de databases maar ook de website en de configuratie ervan. Test deze back-ups ook zodat je zeker bent dat ze kunnen worden hersteld indien nodig.   

9.    Implementeer het https-protocol

Het https-protocol wordt op internet gebruikt om de communicatie en de gegevensoverdracht op een computernetwerk te beveiligen. Dit is de beveiligde versie van het http-protocol.  Net als http wordt https gebruikt om gegevens te verzenden tussen een browser en een webserver. Het verschil is dat https de gegevens versleutelt om de beveiliging van de gegevensoverdracht te verbeteren. Door alle communicatie tussen een browser en een webserver te versleutelen, zorgt het https-protocol ervoor dat niemand van buitenaf de communicatie kan afluisteren. Zelfs als een hacker de gegevens kan onderscheppen, kan hij ze niet begrijpen of gebruiken omdat ze versleuteld zijn.

10.    Beveilig de toegang tot het contentbeheersysteem en hou het up-to-date

Zoals hierboven reeds is gezegd, is het voor de beveiliging van het contentbeheersysteem van groot belang dat het systeem zelf en de plug-ins up-to-date worden gehouden. Cybercriminelen zijn steeds op zoek naar nieuwe kwetsbaarheden die ze kunnen uitbuiten, maar er zijn patches die deze kwetsbaarheden kunnen verhelpen. Het is dus belangrijk om de updates te installeren zodra deze beschikbaar zijn.

Een andere manier om het contentbeheersysteem te beschermen is door nooit de standaardconfiguratie van accounts en wachtwoorden te gebruiken, maar door je eigen beheerdersaccount aan te maken met een voldoende sterk wachtwoord en met gebruik van multifactorauthenticatie (MFA).  Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.

Tot slot moet het toegangsbeheerproces een regelmatige evaluatie van de gebruikerslijst omvatten. Dit geldt zowel voor gebruikers die toegang hebben tot het CMS als voor andere gebruikers binnen de organisatie. Met deze controle kan de organisatie zich ervan verzekeren dat er geen testgebruikers meer actief zijn en dat er geen gebruikers zijn toegevoegd die er niet horen te zijn.

11.    Schakel bladeren door de directory's uit

Door te bladeren door de directory's krijgen websitebezoekers toegang tot de inhoud van de directory, dat wil zeggen tot alle bestanden en mappen. Bladeren door de directory's moet worden uitgeschakeld, zodat hackers de gegevens niet zomaar met behulp van zoekmachines kunnen vinden. Bovendien mogen de bestanden niet worden opgeslagen op standaard- of openbaar toegankelijke locaties.

12.    Implementeer processen voor toegangscontrolebeheer en gebruikersprovisioning

Cybercriminelen gebruiken vaak een bestaand account om toegang te krijgen tot de bronnen van een organisatie. De toegangscontrole moet correct worden beheerd en goed zijn verankerd in de organisatie. Pas de “least privilege”- en “need-to-know”-basisprincipes toe: gebruikers mogen alleen over de toegangen beschikken die ze nodig hebben voor hun werk.  Ze moeten altijd over de minimale toegang beschikken en niet over extra toegangen "voor het geval dat”.

Bovendien moet er een proces voor de provisioning van de gebruikerstoegangen worden geïmplementeerd. In dit proces wordt de procedure beschreven voor het verwijderen of wijzigen van toegang voor werknemers die van functie veranderen of de organisatie verlaten. Geen enkele organisatie is veilig voor een aanval van insiders, ook al zijn de voormalige medewerkers altijd loyaal geweest. Ze kunnen anders tegenover de organisatie gaan staan als ze niet vrijwillig zijn vertrokken.

13.    Check de website op zoek naar de meest voorkomende kwetsbaarheden

Het testen van een website op zoek naar de meest voorkomende kwetsbaarheden is een uitstekende manier om te bepalen of de website veilig online kan worden gezet. Door de resterende kwetsbaarheden in kaart te brengen, kan je ze verhelpen zonder schade te veroorzaken en voordat een cybercrimineel ze gebruikt en ernstige schade aanricht. Beveiligingsexperts kunnen je helpen door bijvoorbeeld penetratietests en -audits uit te voeren om het beveiligingsniveau van de website te beoordelen.

14.    Gebruik sterke wachtwoorden en multifactorauthenticatie

Gebruikers kiezen doorgaans een zwak wachtwoord dat gemakkelijk te onthouden is. Maar een wachtwoord dat je gemakkelijk kan onthouden, is ook gemakkelijk te hacken. Daarom is het belangrijk dat je alleen sterke wachtwoorden toestaat, die bestaan uit een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Bovendien voeg je met multifactorauthenticatie een extra beveiligingslaag toe aan je accounts.

Wanneer een website is gehackt, zijn er verschillende stappen die je moet volgen:

1.    Meld het incident aan de IT-verantwoordelijke van de organisatie

Zodra je een ongewone wijziging op de website vaststelt, meld je deze onmiddellijk aan de IT-verantwoordelijke van de organisatie, zodat hij de nodige corrigerende maatregelen kan nemen.

2.    Koppel de gecompromitteerde toestellen af van het internet en van het organisatienetwerk

Om de aanval in te dammen en te voorkomen dat heel het netwerk van de organisatie wordt aangetast, moeten alle geïnfecteerde toestellen van het internet worden losgekoppeld. Dat kan je doen door de Ethernet-kabel uit te trekken of de wifi rechtstreeks op de toestellen uit te schakelen.

3.    Verzamel al het benodigde bewijsmateriaal

Het hacken van een website is een cybermisdaad die aan de politie moet worden gemeld. Voordat er een klacht wordt ingediend, moeten er een aantal zaken worden verzameld om het dossier te vervolledigen: screenshots van de aangevallen website, screenshots van ongebruikelijke activiteiten op de toestellen en de logs van de firewalls en servers.

4.    Meld het incident aan de politie en dien een klacht in

Het hacken van een website is strafbaar en moet aan de autoriteiten worden gemeld, zodat zij een onderzoek kunnen instellen naar de verantwoordelijken en kunnen voorkomen dat ze nog meer aanvallen uitvoeren.

5.    Maak een kopie van alle gecompromitteerde toestellen

Indien mogelijk moeten alle geïnfecteerde toestellen op een fysieke drager worden gekopieerd om het onderzoek te vergemakkelijken.

6.    Inventariseer alle gevoelige informatie die werd geraadpleegd of gestolen

Dit helpt om de omvang van de aanval in te schatten en te voorspellen wat de hacker in de toekomst zou kunnen gebruiken om nieuwe aanvallen uit te voeren.

7.    Identificeer en corrigeer alle kwetsbaarheden die werden gebruikt om toegang te krijgen

Door exact te bepalen hoe de hacker toegang had tot een IT-middel, kunnen de nodige corrigerende maatregelen worden genomen om ervoor te zorgen dat deze kwetsbaarheid niet meer wordt gebruikt voor andere aanvallen. Denk hierbij bijvoorbeeld aan de installatie van een beveiligingspatch of de wijziging van een gecompromitteerd wachtwoord.

8.    Informeer de websiteprovider

De meeste organisaties ontwikkelen hun websites niet intern. Wanneer een externe provider betrokken is, moet hij gecontacteerd worden en op de hoogte gebracht worden van het incident zodat hij ook de nodige maatregelen kan nemen om de situatie te verhelpen.  

9.    Neem indien nodig contact op met officiële externe beveiligingsdeskundigen

Niet alle organisaties beschikken over voldoende middelen om cyberincidenten doeltreffend te verhelpen. Er kunnen meerdere beveiligingsexperts worden ingeschakeld om je te helpen het probleem op te lossen. Deze specialisten mogen uitsluitend voor officiële organisaties werken, zoals bekende adviesbureaus, om te voorkomen dat er een oplichter in dienst wordt genomen.