Vandaag ben je veilig, morgen te laat

De hackers van Universiteit van Maastricht waren meer dan 2 maanden in het netwerk aanwezig, ongezien! Zelfs na een melding van de anti-virus, duurde het nog meer dan een maand tot zij werden gedetecteerd door de systeembeheerders.

Kostbare tijd waarin veel data kan worden gelekt en schade kan worden toegericht! Zo hebben we dit niet alleen bij de Universiteit van Maastricht gezien, maar ook bij andere incidenten (groot en klein).

Zo blijkt dat het hebben van enkel preventieve maatregelen niet voldoende is. De hackers hebben toegang gekregen door een phishingaanval en servers met verouderde software.

MORGEN BEN JE TE LAAT

Het nemen van preventieve maatregelen, het opzetten van awareness-sessies en het doorvoeren van updates is erg belangrijk en voorkomt een hoop ellende. De realiteit is echter dat dit niet altijd goed of volledig wordt uitgevoerd. Ben je vandaag up-to-date/”veilig”? Morgen kan het opeens heel anders zijn. 

Dit zagen we ook met Citrix-incident. Een kritiek lek werd gevonden in de software en na enige tijd werden hier patches voor uitgebracht. Systeembeheerders dachten veilig te zijn met deze patches, maar ook die bleken niet voldoende te zijn.

EEN UI

Om je goed te beveiligen. zorg je dat je securitymaatregelen uit meerdere lagen bestaat. Veel mensen vergelijken dit met de lagen van een ui. Je moet door veel verschillende lagen heen om bij de kern te komen. Op elke laag is een maatregel om te worden tegengehouden. Dat betekent dat je een firewall nodig hebt, een anti-virus, je awareness-sessies bijwoont, updates doorvoert, maar zo ook een maatregel hebt voor wanneer iemand door de lagen heen is: een Honeypot.

Een Honeypot is als het ware een lokdoos voor hackers. Wanneer je maatregelen hebben gefaald, is de honeypot daar om je te waarschuwen dat iemand binnen is gekomen en op zoek is naar kwetsbare systemen. Zo heb je meer tijd om te reageren en kan je verspreiding van ransomware en virussen voorkomen. Hierdoor heb je geen (gemiddeld) 6 maanden nodig, of 2 maanden in dit voorbeeld, om een hacker te ontdekken, doordat al je systemen offline zijn.

VANDAAG BEN JE VEILIG

De Honeypot van SecurityHive is eenvoudig om te installeren en beheren. Het is een eenvoudige en effectieve oplossing om hackers te detecteren en schade te beperken, voor alle bedrijven. Ook voor IT-dienstverleners is het interessant om met deze oplossing klanten beter te beveiligen en meer maatregelen te kunnen treffen. Lees meer over de Honeypot van SecurityHive: https://www.securityhive.io/nl/producten/honeypot

Citrix omgevingen zijn kwetsbaar ondanks maatregelen

Misschien heeft u de afgelopen dagen gelezen over de kwetsbaarheden die zijn gevonden in Citrix (Citrix ADC en Citrix Gateway, ook wel bekend als Citrix Netscaler). Hierdoor kan een aanvaller toegang krijgen tot het netwerk en de online werkplek. De kwetsbaarheid wordt ingeschat op 9,8/10 qua ernst. Het is daarom belangrijk dat u snel actie onderneemt, als u Citrix gebruikt.

Er zijn nog geen updates/patches beschikbaar om dit lek te dichten. U bent dus kwetsbaar als u geen mitigerende maatregelen neemt. Zojuist is bekend geworden dat u ook kwetsbaar bent, als u reeds de door Citrix aanbevolen maatregelen heeft getroffen en versie 12.1 (builds voor 51.16/51.19 en 50.31) gebruikt.

Een serieuze overweging kan daarom zijn om uw Citrix servers uit te schakelen, tot een oplossing beschikbaar is. Bepaalde overheidsinstellingen, gemeenten en bedrijven hebben reeds hun Citrix servers uitgetroffen, met veel ongemak tot gevolg. Dit is een drastische maatregel, maar kan nodig zijn, rekeninghoudende met de ernst en invloed van de kwetsbaarheid. Er zijn inmiddels zelfs exploits beschikbaar om de kwetsbaarheid te misbruiken.

Een andere oplossing kan het reguleren van het dataverkeer zijn. U kan hierbij bepaalde IP-adressen of IP-ranges toestaan en al het andere netwerkverkeer blokkeren. Hierbij kan u uw medewerkers door laten werken, terwijl zij gebruik maken van bijvoorbeeld een VPN-verbinding. Belangrijk hierbij is dat de kwetsbaarheid alsnog misbruikt kan worden, als het apparaat van uw medewerker besmet is.

Het NCSC volgt de ontwikkelingen op de voet. Meer hierover kan u lezen op de volgende pagina: https://www.ncsc.nl/actueel/nieuws/2020/januari/16/door-citrix-geadviseerde-mitigerende-maatregelen-niet-altijd-effectief

Wilt u meer weten hoe SecurityHive u hierbij van dienst kan zijn, of hoe de Honeypot in deze situatie kan helpen? Neem dan contact met ons op.

Phishing 101: Phishing voorbeelden voor meer awareness

U kent het waarschijnlijk wel, er komt een mailtje binnen van een Creditcardmaatschappij waar u in uw leven nog niets mee te maken heeft gehad. Dit mailtje laat u weten dat u zo snel mogelijk moet inloggen op uw account via de bijgevoegde link. U vindt het bericht vreemd en gooit het weg omdat u zeker weet dat dit niets met u te maken heeft. Helaas zijn er genoeg mensen die deze Creditcardmaatschappij wél kennen. Geschrokken klikken ze op de link en denken ze in te loggen op hun account om te achterhalen wat er aan de hand is. Hier gaat het mis, het slachtoffer heeft zojuist zijn of haar gegevens aan de oplichters gegeven door nietsvermoedend op een kopie van de originele website in te loggen. De achtergelaten gegevens worden misbruikt en zo krijgen we er wéér een phishing-slachtoffer bij.

In dit tweede artikel uit de serie Phishing 101 tonen wij enkele voorbeelden van phishing om u zo bewuster te maken van de kenmerken van phishing. Binnenkort zullen wij ook een podcast publiceren met meer informatie over E-mail security om phishing technisch tegen te gaan.

Voorbeeld 1 – Phishing (ING)

Internetfraude in de vorm van een waarschuwing voor internetfraude. Een interessant voorbeeld van de creativiteit van oplichters. Onderstaande mail kon onder andere herkend worden als phishing vanwege de afzender, de login knop en de pagina waar de knop naartoe linkte.

Bron: ING Bank

Voorbeeld 2 – Smishing (ING)

Een SMS-phishing of Smishing bericht namens de ING waarbij gevraagd wordt om een applicatie te downloaden van een website die niet van de ING is. 

Bron: ING Bank

Voorbeeld 3 – Phishing (UPC/Ziggo)

Ook bij onderstaand voorbeeld is de phishing mail onder andere te herkennen aan het vreemde e-mailadres en het gevoel van urgentie dat gecreëerd wordt. De ontvanger wordt overgehaald om op de link te klikken en daar zijn/haar gegevens in te vullen. Blijf goed opletten waar de mails vandaan komen en waar u naartoe wordt gestuurd! 

Bron: Ziggo

Voorbeeld 4 – Phishing (Ziggo)

Nog een voorbeeld waarbij een oplichter zich voordoet als Ziggo om zo de gegevens van nietsvermoedende slachtoffers te achterhalen. De oplichter probeert hier de ontvanger er van te overtuigen dat er een poging is gedaan zijn/haar account te hacken. Het slachtoffer zou zichzelf moeten verifiëren om bepaalde functionaliteiten weer te activeren. Ook hier is duidelijk te zien dat de sites en mailadressen niet kloppen.

Bron: Ziggo

Voorbeeld 5 – Phishing (Intrum)

In onderstaand voorbeeld probeert de oplichter het slachtoffer er van te overtuigen dat er een incasso openstaat wegens het plegen van fraude. Bij vragen kan er gemailed worden naar een gmail adres, dit moet de alarmbellen doen rinkelen. 

Bron: Intrum

Bonus voorbeeld – Vishing

In onderstaand filmpje laat een hacker zien hoe makkelijk het soms kan zijn om met behulp van social engineering en vishing een bedrijf/persoon op te lichten. Let op het filmpje is in het engels.

TOT SLOT

Deze voorbeelden hadden vaak duidelijke signalen waaruit opgemaakt kon worden dat het om phishing ging. Toch is het niet altijd even duidelijk, vraag jezelf altijd af of de mail in de lijn der verwachting ligt, of het van een betrouwbare bron komt en naar een betrouwbare bron toe gaat en neem bij twijfel contact op met het betreffende bedrijf (let daarbij op dat de juiste gegevens gebruikt worden en niet de gegevens uit de potentiele phishing mail).

Phishing 101: Het grote Phishing woordenboek voor doelwitten

In de serie Phishing 101 gaan wij dieper in op het phishing probleem waar steeds meer mensen mee te maken krijgen. Aanvallers worden steeds creatiever en beter in het misleiden van nietsvermoedende slachtoffers en bedrijven. In deze serie proberen wij u meer inzicht te geven in de werkwijze van de oplichters en zo (hopelijk) te zorgen voor minder slachtoffers!

In dit eerste artikel uit de reeks zullen we u bekend maken met het idee achter phishing en de verschillende manieren waarop dit voorkomt. Stap één naar een betere beveiliging is namelijk bewustwording.

Wat is phishing?

Phishing is een vorm van internetoplichting en fraude. Het woord phishing komt van het Engelse woord Fishing (vissen) en doelt op het hengelen van oplichters naar privégegevens en geldzaken. Bij generieke phishing mails wordt er een mailtje opgesteld namens bijvoorbeeld een bank. In deze mailtjes wordt een poging gedaan om de ontvanger in te laten loggen op hun persoonlijke account via de bijgevoegde link. De website waar de ontvanger dan op terecht komt is vaak een nagemaakte variant van de originele website (soms nauwelijks te onderscheiden). Door op de nep-site gegevens achter te laten krijgt de oplichter de login/creditcard gegevens in handen, met alle gevolgen van dien.

De terminologie van phishing-land

Er zijn verschillende soorten phishing aanvallen en termen waar u mee in aanraking kunt komen. In het onderstaande lijstje leggen wij u de belangrijkste termen verder uit.

1. (STANDAARD) PHISHING

Het eerdere voorbeeld met de nepmails namens een bank kan beschouwd worden als “standaard” phishing. Deze mailtjes worden vaak naar veel mensen tegelijk verstuurd in de hoop dat er een paar slachtoffers aan de haak geslagen worden. 

2. SMISHING 

Smishing of SMS-phishing is een vorm van Phishing waarbij de oplichter persoonlijke informatie probeert te verkrijgen via SMS-berichten met misleidende informatie.

3. VISHING

Bij Vishing of Voice Phishing creëert de oplichter een automatisch system van spraakberichten om via telefoontjes naar de persoonlijke gegevens van gebruikers te vragen. Tegenwoordig worden Vishing aanvallen steeds moderner. Technologische ontwikkelingen zorgen ervoor dat oplichters stemmen kunnen nabootsen van bijvoorbeeld CEO’s om zo bedrijven op te lichten. 

4. SPEAR PHISHING

Spear phishing is een vorm van phishing waarbij de oplichter het gemunt heeft op een specifieke individu of organisatie. Bij spear phishing wordt gebruik gemaakt van de informatie die de oplichter reeds beschikbaar heeft om zich voor te doen als een vertrouwelijke bron. Bijvoorbeeld door zich voor te doen als een belangrijke klant of manager.

5. BUSINESS EMAIL COMPROMISE (BEC)

Bij business email compromise is de oplichter in staat om zich voor te doen als bijvoorbeeld de CEO of een manager door zijn/haar emailadres over te nemen of na te bootsen. Bij verkeerde mail instellingen kan het soms al heel makkelijk zijn om bijvoorbeeld mail te sturen via ceo@bedrijf-x.nl zonder dat het bij bedrijf-x in de spam terecht komt.

6. WHALING

Een vorm van phishing waarbij de oplichter zich specifiek focust op high-profile doelwitten. Hierbij kan gedacht worden aan de CEO of CFO van een bedrijf. Vaak is het doel van whaling om het doelwit een grote transactie goed te laten keuren. Daarnaast hebben de mensen met een hoge positie binnen een bedrijf vaak ook meer toegang hebben tot gevoelige informatie. Een oplichter steekt meestal meer tijd in een whaling aanval ten opzichte van een doorsnee phishing aanval. Hierdoor wordt het soms moeilijker om de aanval te herkennen.

7. CLONE PHISHING

Een clone phishing aanval is een vorm van phishing waarbij er een eerder verstuurde en legitieme mail door een oplichter wordt gebruikt om een nieuwe mail te versturen. In de mail worden bijvoorbeeld bijlagen veranderd naar geïnfecteerde bestanden en wordt er gedaan alsof het een update/bijgewerkte versie is. Over het algemeen is de ontvanger bij deze aanval al een keer eerder gehacked waardoor de oplichter toegang had tot de oorspronkelijke mail. 

8. CEO-FRAUDE

Een van de door de FBI vastgestelde vormen van Business Email Compromise is de CEO-fraude. Een oplichter doet zich voor als de CEO van een bedrijf en verstuurt uit zijn naam een mail naar de financiële afdeling met de vraag of ze een bepaald bedrag willen overmaken naar een (vaak) buitenlandse rekening. Er wordt door de oplichter vaak een gevoel van urgentie opgewekt door middel van het taalgebruik en de toon van de mail. Soms volgen er zelfs telefoontjes om het urgentiegevoel verder te verhogen.

In de komende artikelen zullen we verder in gaan op het herkennen en tegenhouden van phishing aanvallen. Door bekend te raken met bovenstaande termen en bewust met mails om te gaan kunnen er al een hoop problemen worden voorkomen. Heb je vragen of mis je zaken in dit artikel? Laat het gerust even weten via onze social media kanalen!

Welke cyberbeveiligingstrends moeten organisaties in 2019 aannemen?

Cybercriminaliteit groeit in een rap tempo. Organisaties moeten in 2019 extra aandacht besteden aan cyberbeveiligingstrends zoals verhoogde cloudbeveiliging, kwetsbare Internet of Things-netwerken en phishingpraktijken.

Een recent rapport over cybercriminaliteit schatte dat hackers in 2018 maar liefst €45 miljard met hun illegale activiteiten hadden kunnen verdienen. Het verbluffende aantal is weer een nieuwe wake-up call voor organisaties wereldwijd om hun cyberbeveiligingsmaatregelen serieus te nemen met de focus op de drie belangrijkste trends van 2019.

Dit zijn de cyberbeveiligingstrends die dit jaar voor elke organisatie onmisbaar zijn.

MEER AANVALLEN OP CLOUD GEBASEERDE SYSTEMEN

De opkomst van cloud computing als een go-to-netwerkinfrastructuuroplossing bij een toenemend aantal bedrijven is nauwelijks nieuws, maar organisaties die de cloud gebruiken, besteden nog steeds onvoldoende aandacht aan de veiligheid van hun gegevens.

KWETSBAARHEID VAN IOT-NETWERKEN

Een andere IT-industrie die gestaag groeit, is het Internet of Things (IoT), dat naar verwachting tegen 2021 zal verdubbelen en 520 miljard IoT-apparaten zal bereiken. Natuurlijk leidt de groei van deze omvang tot een groeiend aantal incidenten als gevolg van een toenemend aantal slecht beveiligde IoT-apparaten. Blijkbaar zijn niet alleen de apparaten zelf het slachtoffer van kwaadwillende activiteiten, de netwerken waarmee apparaten worden verbonden lopen ook steeds meer gevaar.

GEVAREN VAN PHISHING

Algemeen genomen blijven phishing-aanvallen één van de meest voorkomende bedreigingen voor de gegevensveiligheid in 2019. Zoals in het rapport van Verizon over schattingen van datalekken te lezen valt, hield 32% van alle datalekken in 2018 verband phishing. Wat vooral uitdagend is aan phishing, is dat het niet alleen om cybersecurityoplossingen aan de systeemkant gaat. Een groot deel van het succes van phishing is te wijten aan menselijke fouten.

Omdat cybercriminaliteit zo’n lucratieve niche is voor criminelen wereldwijd, zijn deze trends slechts enkele van de vele die ondernemingen in gevaar kunnen brengen. Ongeacht hoe de cyberdreigingen in de toekomst zullen evolueren, moeten bedrijven in extra middelen investeren om hun gegevens te beschermen.

WIST U DAT?

SecurityHive een Honeypot oplossing beschikbaar heeft die u direct op de hoogte kan brengen als er een hacker of kwaadwillend netwerkverkeer uw netwerken bereikt? Met onze Honeypots kunt u valideren of uw huidige beveiligingsmaatregelen afdoende hun functie vervullen of dat er toch nog waten gaten te vullen zijn. Meer weten? Lees hier dan verder over onze Honeypot oplossing of neem direct contact met ons op.

Nederlanders gebruiken geen wachtwoordmanager

Afgelopen week was het nog uitgebreid in het nieuws… Ruim 1,2 miljoen slachtoffers van digitale criminaliteit. Een schokkend getal.

Wat ons daarbij niet verbaast is dat uit onderzoek van het CBS, gehouden onder 38.000 Nederlanders boven de twaalf, is gebleken dat de meeste Nederlanders geen gebruik maken van een wachtwoordmanager. 

De deelnemers van het onderzoek is uitgebreid gevraagd over wat men doet om hun persoonlijke informatie op het internet te beschermen. Een van deze vragen ging ook in op de vraag of de deelnemer gebruik maakt van een wachtwoordmanager. 67% van de deelnemers aan het onderzoek gaven aan dat ze hier geen gebruik van maken. 9% van de deelnemers van dit onderzoek gaven aan dat ze hetzelfde wachtwoord gebruiken voor meerdere online accounts. Hiernaast gaf 47% aan dat ze nooit hun wachtwoord wijzigen. Wat misschien nog wel het meest schokkende is, is dat 10% van de deelnemers hun apparaat helemaal niet heeft beveiligd met een wachtwoord. Dit terwijl het aantal online accounts van mensen de laatste jaren sterk is toegenomen.

Het is van groot belang dat deze online accounts en apparaten goed worden beveiligd met een sterk wachtwoord en dat deze uniek zijn voor ieder account. De eenvoudigste manier om dit allemaal te onthouden, is door het gebruik van een wachtwoordmanager. 

SecurityHive raadt u dan ook ten zeerste aan gebruik te maken van een wachtwoordmanager. Dit zorgt ervoor dat u voor iedere dienst en/of apparaat een sterk wachtwoord in kunt stellen, zonder dat u deze allemaal hoeft te onthouden. Sommige wachtwoordmanagers geven zelfs aan wanneer het tijd is om uw wachtwoord voor een bepaalde dienst weer eens te wijzigen. Door het gebruik van een wachtwoordmanager bent u dus een stuk veiliger bezig online.

Een wachtwoordmanager is daarnaast niet alleen handig in prive omstandigheden maar tevens ook voor uw zakelijke accounts. Wachtwoordmanagers kunnen tegenwoordig steeds meer en kunnen ook in teamverband worden gebruikt. Zo is het dus ook mogelijk om wachtwoordkluizen aan te maken en deze te delen met de juiste personen binnen uw organisatie. 

Hebben wij uw interesse gewekt? Google dan snel even naar wachtwoordmanagers en kies de software die het beste bij u of uw organisatie past.

WIST U DAT?

Het met de SecurityHive honeypot mogelijk is om gelekte wachtwoorden uit uw organisatie te detecteren? Meer lezen hierover? Lees dan verder op de volgende pagina!

IoT-apparaat onveilig? Dan maken we hem onbruikbaar.

U zult de term vast wel gehoord hebben: “IoT”, oftewel Internet of Things. Kort gezegd wordt hiermee bedoeld: het verbinden van apparaten met het internet om gegevens uit te wisselen om zodoende slimmer te worden. Kijk bijvoorbeeld naar de slimme wasmachine. Of de slimme koelkast, die automatisch producten bestelt als ze op zijn.

Hedendaagse producten die we slim maken, zodat ze ons leven nog makkelijker maken. Ideaal toch!? Wat we echter vaak vergeten is het stukje “Internet” in Internet of Things. Dergelijke apparaten staan direct verbonden met het internet. Dat is natuurlijk niet alleen makkelijk voor jou maar ook voor hackers. Tel daarbij op dat de beveiliging vaak te wensen overlaat of door veel bedrijven over het hoofd wordt gezien. Voila, een perfecte samenstelling om te misbruiken.

Indien u ook gebruik maakt van slimme apparaten, dan kan het zomaar eens zijn dat zij binnenkort worden uitgezet. Akamai-onderzoeker Larry Cashdollar heeft namelijk een nieuwe BrickerBot malware gevonden, genaamd “Silexbot”. Deze malware schakelt slecht beveiligde IoT-apparaten uit.

Wat is een BrickerBot?

De naam BrickerBot stamt af van een gelijknamige malware die door Radware in april 2017 met een Honeypot is gedetecteerd. Waar de meeste ontwikkelaars van een malware opzoek zijn naar eigen gewin, was het doel van de BrickerBot malware om slecht beveiligde apparaten uit te schakelen en zodoende gebruikers bewust te maken van de slechte beveiliging. Volgens de ontwikkelaar van deze malware zijn naar schatting 10 miljoen apparaten permanent vernietigd.

Silexbot probeert net zoals de BrickerBot malware met veelvoorkomende gebruikersnamen en wachtwoorden via het Telnet protocol in te loggen, waarna de opslag wordt overschreven en firewallregels & netwerkconfiguratie wordt verwijderd.

WIST U DAT?

Honeypots worden gebruikt voor het vroegtijdig detecteren van dergelijke malware. Doordat u de Honeypot eenvoudig kunt laten voordoen als een IoT-apparaat, weet u tijdig of een dergelijke malware actief is in uw netwerk en op welk apparaat! Lees hier meer…

Samsung Smart TV? Controleer deze op malware!

Afgelopen week heeft het klantenservice account van Samsung een waarschuwings-Tweet geplaatst op Twitter. In deze Tweet was te lezen dat om aanvallen van kwaadwillende op uw Smart TV te voorkomen, u deze om de paar weken op virussen moet scannen. De Tweet bevatte zelfs een instructievideo om u hierbij te helpen. De tweet was echter van korte duur en is inmiddels van de pagina verwijderd. Toch willen wij hier even bij stilstaan.

In een tijd waarin de meeste mensen het nog nalaten hun laptops en mobiele telefoons te scannen, lijkt het vragen aan klanten om elke paar weken hun tv te scannen wat vreemd. Het is lastig om te denken dat onze Smart TV zo kwetsbaar zijn dat ze zulke frequente scans nodig hebben en dat Samsung die verantwoordelijkheid op gebruikers legt in plaats van automatische scans uit te voeren.

Toch is het zo dat de apparaten vaak verbonden zijn met het internet. Dit maakt uw smart-tv net zo kwetsbaar is als ieder ander apparaat dat kan communiceren met het internet. Natuurlijk zijn wij van mening dat Samsung haar beveiliging voor uw smart-tv op orde dient te hebben, echter leven we in een digitaal landschap waarin het enkel vertrouwen op de leverancier van uw product niet afdoende is. Wij raden het daarom ook zeker aan om uw smart-tv en andere apparaten die verbonden zijn met het internet regelmatig te controleren op malware.

WIST U DAT?

Virusscanners niet altijd effectief zijn in het vinden van potentiële malafide software op uw apparaten? SecurityHive heeft een oplossing beschikbaar gesteld die uw netwerk passief in de gaten houdt. De Honeypot. U kan dit zien als een lokdoos voor malafide netwerkverkeer. Wanneer iets of iemand verbinding maakt met de Honeypot, kan dit worden geclassificeerd als een bedreiging. U wordt direct op de hoogte gesteld van deze bedreiging, waarna u adequaat actie kan ondernemen om de bedreiging te verhelpen. Hierdoor hoeft u niet meer enkel te vertrouwen op bijvoorbeeld uw firewall of virusscanners. Lees hier meer!

Ruim 1 miljoen computers vatbaar voor RDP kwetsbaarheid

Er zijn nog bijna 1 miljoen Windows-systemen niet geüpdatet die een kritisch beveiligingslek bevatten. De systemen zijn kwetsbaar voor een recentelijk bekend, kritisch en extern beveiligingslek met betrekking tot code in het Windows Remote Desktop Protocol (RDP). Dit twee weken nadat Microsoft de beveiligingspatch heeft vrijgegeven.

Als het beveiligingslek wordt misbruikt, kan een aanvaller gemakkelijk over de hele wereld ravage aanrichten. Potentieel nog veel erger dan wat WannaCry en NotPetya voor chaos hebben veroorzaakt.

Het lek met de naam Dubbed BlueKeep wordt bijgehouden als CVE-2019-0708 en is van invloed op de volgende edities van Windows: Windows 2003; XP; Windows 7; Windows Server 2008; Windows Server 2008 R2; Wanneer besmet kan Dubbed BlueKeep zich makkelijk verspreiden naar niet beschermde systemen.

WELK RISICO NEEM DUBBED BLUEKEEP MET ZICH MEE?

Door het beveiligingslek kunnen niet geverifieerde, externe, kwaadwillenden gebruikers willekeurige code uitvoeren en zelf de besturing van een doelcomputer overnemen door speciale aanvragen via het RDP-protocol naar de Remote Desktop Service (RDS) van het apparaat te verzenden. Dit is mogelijk zonder tussenkomst van een gebruiker. Hierdoor is het mogelijk om malware te maken die dit lek gebruikt om binnen te komen op de doelcomputers. Wanneer dit gebeurt, is het mogelijk dat kwaadwillenden de volledige controle over de systemen overnemen.

De kwetsbaarheid Dubbed BlueKeep heeft zoveel potentieel om wereldwijd schade aan te brengen dat het Microsoft dwong om patches vrij te geven voor niet alleen de ondersteunde Windows-versies, maar ook Windows XP, Windows Vista en Windows Server 2003, die eigenlijk niet langer ondersteund worden. Dit benadrukt nogmaals de omvang en het risico van de kwetsbaarheid gezien er nog veel gebruikers zijn van deze verouderde software.

IK GEBRUIK DE RDP SERVICES IN MIJN ORGANISATIE, WAT MOET IK NU DOEN?

Als u de RDP-services gebruikt in uw organisatie en hier ook afhankelijk van bent, dan dient u zo snel mogelijk het beveiligingslek te dichten door de patch van Microsoft te installeren op uw Windows-systemen.

Als het oplossen van het beveiligingslek in uw organisatie op dit moment niet mogelijk is, of u niet afhankelijk bent van de RDP-services kunt u de volgende maatregelen treffen:

– Schakel RDP-services uit;
– Blokkeer poort 3389 met behulp van een firewall of maak deze alleen toegankelijk via een privé-VPN;
– Verificatie op netwerkniveau inschakelen (NLA), dit is een gedeeltelijke beperking om te voorkomen dat niet geverifieerde aanvallers dit beveiligingslek misbruiken;

WIST U DAT?

Door Honeypots in uw netwerk te plaatsen bent u in staat om te controleren of kwaadwillende verbindingen op proberen te zetten op de RDP-porten. Wanneer een aanvaller uw netwerk binnen probeert te dringen, zal hij eerst op onderzoek uitgaan. Vind hij de open RDP port? Dan zal de aanvaller hoogstwaarschijnlijk hier een verbinding mee willen maken om verder tot de systemen binnen te dringen. Sinds het hier gaat om een nepsysteem (Honeypot) bent hier dan direct van op de hoogte! Lees hier meer over de Honeypot oplossing van SecurityHive.

Zelf controleren of uw account gegevens zijn gelekt

Elk jaar lekken er miljarden inloggegevens van honderden websites door hackeraanvallen. Deze gestolen e-mailadressen en wachtwoorden worden vervolgens beschikbaar gesteld op het dark web of verkocht op de zwarte markt. Criminelen betalen hier om toegang te krijgen tot uw gelekte gevoelige gegevens. Bedrijven of organisaties waarmee u zaken doet, kunnen ook per ongeluk de gevoelige gegevens van hun gebruikers hebben gelekt.

Als criminelen één van uw accounts te pakken krijgt, kunnen ze zich mogelijk als u voordoen. Zo kunnen deze digitale criminelen bijvoorbeeld: berichten sturen naar uw contacten; toegang krijgen tot uw cloudopslag; uw geld stelen; gegevens verkrijgen over uw andere accounts;

HOE KAN IK CONTROLEREN OF MIJN ACCOUNTS ZIJN GELEKT?

Er zijn tegenwoordig gelukkig verschillende websites waar u aan de hand van uw emailadres kan controleren of uw gegevens zijn gelekt.

Deze websites houden databases bij met alle gelekte gegevens van hackaanvallen die zij hebben kunnen bemachtigen. Door te zoeken op uw emailadres, kunt u controleren of uw emailadres ook voorkomt in deze database. Mocht u hierin voorkomen, dan ziet u meteen bij welk datalek uw gegevens zijn gelekt. Het is dan verstandig om direct uw wachtwoord te wijzigen.

U kunt controleren of u slachtoffer bent geworden van een datalek op de volgende websites:

Have I Been Pwned
Politie
GhostProject (laat tevens de eerste 3 karakters van uw wachtwoord zien)

WAT KUNT U DOEN OM DE IMPACT VAN EEN LEK ZOVEEL MOGELIJK TE BEPERKEN?

Er zijn een aantal dingen die u kunt doen om de impact van een datalek zo klein mogelijk te houden:

– Gebruik een uniek wachtwoord voor elke dienst/website waar u een account heeft.
– Als de dienst of website dit aanbiedt, kunt u 2-factor authenticatie inschakelen. Met 2-factor authenticatie heeft u nog steeds een wachtwoord, maar is het daarnaast ook nodig om een tweede code in te vullen die u bijvoorbeeld ontvangt via sms of email. Hiermee zorgt u ervoor dat een kwaadwillend persoon onvoldoende heeft aan enkel uw wachtwoord.
– Verander regelmatig uw wachtwoorden, wij raden aan om dit zeker elke 6 maanden aan te passen.
– Controleer regelmatig of uw account gegevens zijn gelekt bij de websites uit dit blogartikel.