Verslag FERM Port Cyber Café 10 januari: cyberspionage en IT-kwetsbaarheden

Daarnaast was er aan het begin van de bijeenkomst ook even aandacht voor een onderdeel uit de laatste bijeenkomst van 2018, namelijk de presentatie van de NSCS Cybersecurityradar en de destijds ingevulde radar voor het Havengebied Rotterdam. De Cybersecurityradar is een expertproduct dat kijkt naar trends en verwachtingen die van invloed zijn op de digitale veiligheid van Nederland in de komende twee jaar en verder. Door periodiek te putten uit de Cybersecurityradar kunnen informatiebeveiligers zoals security officers en CISO’s anticiperen op waargenomen en verwachte ontwikkelingen.

Het gezelschap werd tijdens het Cyber Café in november in drie teams opgedeeld om een blanco cybersecurityradar in te vullen op basis van havenspecifieke ontwikkelingen binnen de vier categorieën: maatregelen, kwetsbaarheden, ICT-afhankelijkheden en dreigingsmiddelen, waarbinnen huidige en verwachte trends een rol krijgen, ingedeeld op jaar (2019, 2020 of later) en naar relevantie (laag, gemiddeld, hoog). Op basis van die input is er nu een cybersecurityradar beschikbaar voor het Havengebied Rotterdam. Chris liet in zijn Powerpoint een eerste indruk zien, op korte termijn mag je de gehele radar mét tekst en uitleg hier op de website verwachten. Wordt vervolgd dus!

Zoals beloofd op de laatste editie van 2018 mochten we de eerste bijeenkomst van het nieuwe jaar rekenen op een presentatie van het Ministerie van Binnenlandse Zaken. Om privacyredenen kunnen we dat deel van de middag niet delen.

In het tweede gedeelte van de samenkomst werd het woord gegeven aan Martijn Nijkamp van Tosch Security BV, vanmiddag aanwezig om ons mee te nemen in zijn verhaal over informatieveiligheidsbewustzijn en wat we – als organisaties – kunnen doen aan preventie, detectie en reactie. Ook is er aandacht voor de samenwerking tussen de Gemeente Rotterdam, Tosch Security, Ondernemersontbijt Rotterdam en Deltalinqs, want erg interessant voor de aanwezigen én onze lezers hier op de website is dat MKB’ers in Rotterdam de mogelijkheid wordt geboden om zich beter te beschermen op het gebied van digitale veiligheid aan de hand van een workshop, die na de inleiding in een ingekorte versie werd behandeld.

In die inleiding kijken we eerst naar security awareness en training in digitale zelfverdediging. Want waarom security awareness? ‘Een keer raak is voldoende’, legt Martijn uit. Immers, iedereen die met IT te maken heeft loopt risico’s, van virussen via software tot het overnemen van e-mailaccounts en het digitaal inbreken via Internet of Things-apparatuur. Hoe simpel dat kan zijn, laat Martijn zien door van twee mensen in het gezelschap de mobiele telefoonnummers te vragen om vervolgens een van hen te bellen. Wat blijkt? In het oproepvenster van kandidaat A duikt het nummer van kandidaat B op, terwijl niet kandidaat B maar Martijn zelf de beller is. Met andere woorden, het is kinderlijk eenvoudig om te doen voorkomen alsof je vanuit een bepaald telefoonnummer belt. En waarschuwde de Consumentenbond vorige week ook niet hoe gemakkelijk gezichtsherkenning op een groot aantal mobiele telefoons te omzeilen is met een foto van de eigenaar…?

Een vergelijkbare variant is e-mailspoofing, waarbij niet de beller maar de afzender van een mailtje zich als een ander voordoet. Bijvoorbeeld om bij de financiële afdeling een ongewenste overboeking voor elkaar te krijgen. Een klein rondje handen opsteken maakt al snel duidelijk hoeveel van de vanmiddag aanwezigen daar -helaas- al ervaring mee hebben. Met een willekeur aan voorbeelden met tools en websites laat Martijn vervolgens zien wat er zoal nog meer mogelijk is en, vooral, hoe laagdrempelig het is om mensen digitaal of ouderwets analoog om de tuin te leiden, waarbij niet alleen individuele slachtoffers gemaakt worden, maar ook complete systemen gehackt kunnen worden – met alle gevolgen van dien. Je wil bovendien niet weten hoe vaak Martijn tegen het hardnekkige gebruik van veel te eenvoudige wachtwoorden aanloopt.

Zoals gezegd was er tijdens het laatste onderdeel van het Port Cyber Café ruimte voor de workshop in een wat aangepaste versie, waarbij Martijn liet zien wat de IT-risico’s en kwetsbaarheden in je organisatie (kunnen) zijn. De meeste lezers van de FERM website zullen inmiddels bekend zijn met de term social engineering: een aanval gericht op een persoon, niet op de techniek. Een vorm van (internet)fraude waarbij criminelen door middel van trucs en creatieve methodes – zoals de genoemde telefoontjes en namaak e-mails – proberen om je te verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.

Phishing en baiting zijn twee veelvoorkomende varianten die Martijn in zijn presentatie wat extra aandacht wil geven, want deze tactieken blijken niet alleen aanhoudend populair bij fraudeurs, maar worden ook steeds ingenieuzer. Denk maar aan het recente voorval bij Pathé, waarbij een serie e-mails met transactieverzoeken de bioscoopketen uiteindelijk ruim 19 miljoen euro kostte. Gedurende meerdere weken werden de algemeen directeur en de financieel directeur bestookt met verzoeken van een fraudeursbende die zich voordeed als de bestuurder van het Franse hoofdkantoor. Er moest steeds met de nodige urgentie geld overgeboekt worden voor ‘een geheime overname van een bedrijf in Dubai’. Eerst zo’n 8 ton om de onderhandelingen te bespoedigen, later grotere bedragen voor onder meer ‘Communication and development’. Uiteindelijk is er 19.244.304 euro overgeboekt voordat de directie in Frankrijk aan de bel trekt, maar dan is het geld al spoorloos.

In de categorie ‘Baiting’ laat Martijn zien wat een ‘gevonden’ usb-stick zoal voor ellende aan kan richten. Want wie zegt dat zo’n stickje daadwerkelijk verloren is, en niet door een fraudeur bewust achtergelaten? Wie dat apparaatje aantreft, kan zijn nieuwsgierigheid vaak niet bedwingen en gaat toch kijken wat er aan informatie op te vinden is. Zo’n ‘Rubber Duckie’ is een ‘keystroke injection’-apparaatje vermomd als usb-stick. Steek het apparaatje in een computer en die herkent hem als een extern toetsenbord, voorgeprogrammeerd om zo’n 1000 woorden per minuut aan toetsaanslagen te kunnen verwerken. Op deze wijze kan de computer via het internet worden overgenomen door de hacker, terwijl de stick niet van ieder ander model te onderscheiden is en virusscanners hem niet herkennen. Nog erger: je koopt hem voor een paar tientjes online.

Om de workshop af te sluiten, laat Martijn zien hoe eenvoudig hij bij een aantal aanwezigen ‘ingebroken’ heeft door met een simpel apparaat te checken welke telefoons er met het netwerk verbonden zijn en hoe hij in enkele eenvoudige stappen kan zien welke e-mailaccounts er op die toestellen staan, wat de wachtwoorden zijn(!) en hoe de recente zoekgeschiedenis in Google eruit ziet… Kortom, de presentatie vanuit Tosch levert meteen al veel tips & trucs op ter verbetering van je informatieveiligheid, maar er is ook de mogelijkheid je in te schrijven voor een kosteloze quick scan. Kijk voor meer informatie op tosch.nl/product/it-quickscan/.

FERM is onderdeel van het Port Cyber Resilience Programma. Doel van het programma is het stimuleren van samenwerking tussen bedrijven in de Rotterdamse haven en het bewustzijn bij bedrijven over cyberrisico’s te verhogen om zo de best digitaal beveiligde haven van de wereld te worden.

De Port Cyber Cafés zijn bedoeld om met experts uit het vak samen in een informele setting dieper in een actueel onderwerp rond cyber security in het Rotterdamse Havengebied te duiken.

Kijk op ferm-rotterdam.nl/port-cyber of klik op de link rechts bovenin de navigatie voor nieuws en verslagen en blijf ook in 2019 op de hoogte van de FERM Port Cyber Café’s. De volgende editie vindt plaats op donderdag 14 maart. Daarnaast kunnen we de resterende data voor heel 2019 alvast delen: de donderdagen 23 mei, 12 september en 21 november. Aanmelden kan te allen tijde via aanmelden@ferm-rotterdam.nl.

Chris van ’t Hof tref je overigens vanaf 12 februari ook weer bij de periodieke Hack Talks in Worm. Kijk voor meer informatie op hacktalk.nl en graag tot de volgende keer!