Grote evenementen, zoals de Super Bowl van zondag 12 februari 2024, vormen een broedplaats voor dreigingsactoren. Ze trekken veel publiek en bieden een schat aan waardevolle data voor hackers. Denk aan gegevens van creditcards en gebruikers die toegang bieden tot het netwerk van een organisatie. Ook zijn er veel high-profile doelwitten zoals beroemdheden, mediapersoonlijkheden, bekende politici en professionele atleten.
Toch lokken niet alleen de hoeveelheid doelwitten en beschikbare gegevens dreigingsactoren naar grote live evenementen. Deze gebeurtenissen leiden ook een gevoel van urgentie, een van de grootste voordelen voor hackers. Als een dreigingsactor kritieke systemen compromitteert, zoals ticketinvoer, of on-premise Point-of-Sale (PoS), biedt dat de locatie, organisatie en verkopers een goede reden tot het betalen van losgeld. Want hoe sneller je betaalt, hoe sneller de systemen herstellen.
‘For-ransom’-dreigingen zijn steeds relevanter. Bedrijven moeten daarom extra waakzaam zijn in aanloop naar grote evenementen. Ransomware is een van de meest bekende dreigingen. Toch vormen andere dreigingen, aanhoudende Distributed Denial-of-Service (DDoS)-aanvallen en het exfiltreren van gevoelige of gênante data ook een groot risico, met als doel het lospeuteren van geld. De dreigingsactor zet deze gegevens in als chantagemiddel, mits de betaling wordt voldaan.
Ken de tegenstander
Zoals bij iedere sportwedstrijd, geldt ook hier het mantra ‘ken de tegenstander’, want een aanval kan vanuit verschillende hoeken komen. De volgende vier punten motiveren cybercriminelen:
- Financieel gewin is de voornaamste drijfveer van cybercriminelen. Ze realiseren exploits snel en vallen in grote aantallen aan. Cybercriminelen behoren tot de meest voorkomende dreigingen en beginnen ruim voor een groot evenement met social engineering-aanvallen en phishingcampagnes met referenties verzamelen als doel. Op de dag van het evenement gaan ze zelfs nog een stap verder: meer destructieve acties, zoals het lanceren van aanvallen voor het lospeuteren van geld en de inzet van malware voor het stelen van informatie voor het overhevelen van creditcardgegevens die in PoS-systemen staan.
- Ideologie motiveert hacktivisten. Het beschadigen van websites voor het overbrengen van een boodschap is hun favoriete methode. Er is geen beter moment dan een groot, populair sportevenement dat veel bekijks trekt.
- Doelbewuste disruptors gebruiken meestal DDoS-, of destructieve malware-aanvallen voor het verstoren van een evenement. Zoals activiteiten rondom het lospeuteren van geld, desinformatie- en misinformatiecampagnes. Dit vindt vaak plaats met behulp van social media en potentiële deepfake-technologieën. Het doel hiervan is het publiek op (meestal snode) wijze afbrengen of overtuigen van iets.
- Nationale veiligheid, geopolitieke positionering en concurrentievoordeel zijn de drijfveren van dreigingsactoren van nationale staten of aan een staat gelieerde actoren. Het VIP-publiek dat naar grote evenementen gaat en het soort inlichtingen dat zij verzamelen, trekken verfijnde cyberaanvallers aan tot grote evenementen.
Onderschat het thuisvoordeel niet
Het monitoren van buitenlandse cybercriminelen is gebruikelijker, maar verlies ook de lokale dreigingsactoren niet uit het oog. Dit is cruciaal, omdat:
- Werknemers met toegang tot bedrijfsmiddelen kunnen, door fouten en misbruik van toegangsprivileges, aanzienlijke (meestal onbedoelde) schade veroorzaken.
- Tijdelijk personeel – dat ondersteunt bij de stijgende vraag naar personeel – beschikt waarschijnlijk over vergelijkbare toegangsrechten als vast personeel. Deze rechten worden vaak minder nauwkeurig gecontroleerd of beveiligd.
- Leveranciers en partners met een fysieke of logische toegang tot belangrijke bronnen vormen een schakelpunt voor dreigingsactoren via aanvallen op de supply chain. De leveranciers en partners zelf zijn vaak het belangrijkste doelwit voor de aanvallers.
Zo richten cyberaanvallers schade aan
Het draaiboek van cyberaanvallers bevat meerdere tactieken, technieken en procedures (TTP’s), zoals:
- De infrastructuur van de evenementlocatie, regionale en landelijke overheid en derden (lokale ondernemingen, sponsoren, en horecaleveranciers). Dit verslechtert of schakelt diensten uit, vaak met het oog op financieel gewin door middel van ransomware of DDoS-aanvallen.
- Toename van social engineering-campagnes die het evenement of aanverwante onderwerpen als lokmiddel inzetten voor het benaderen van slachtoffers en hen tot het delen van informatie aanzetten, zoals logingegevens, of klikken op koppelingen die malware activeren.
- Verspreiding van mis- en desinformatie vanwege ideologische redenen, (geo)politieke motieven of concurrentievoordeel.
- Exfiltratie van gevoelige data, met als doel het in diskrediet brengen van slachtoffers, omkoperij, aftroggelen van geld of het dwingen – vaak met een losgeldeis – tot een betaling in cryptocurrency.
Versterk de menselijke factor
Cybercriminelen gebruiken vaak social engineering-tactieken voor het aanvallen en oplichten van evenementbezoekers. Deze groep is kwetsbaar, omdat zij buiten hun reguliere routine wellicht moeilijker onderscheid kunnen maken tussen legitieme en verdachte communicatie, waardoor ze extra aantrekkelijk zijn voor cybercriminelen.
Mensen zijn de grootste kwetsbaarheid
Grote bedrijven beschikken doorgaans over een cybersecuritybudget van miljoenen. Toch zijn ook deze bedrijven niet bestand tegen social engineering-aanvallen, omdat deze zelfs de meest geavanceerde securitysystemen omzeilen. Ze richten zich namelijk op de grootste kwetsbaarheid: mensen.
Herinner medewerkers aan de best practices op het gebied van cybersecurity. Social engineering-aanvallen richten zich op willekeurige mensen. Een goed opgeleid personeel beperkt het risico.
Medewerkers die weten hoe ze de meest voorkomende social engineering-tactieken herkennen (phishing, smishing, pretexting), ondersteunen bij het verkleinen van de toegangspunten. Herinner hen aan het regelmatig veranderen van wachtwoorden, en dat zij voor verschillende systemen en websites andere gegevens gebruiken. Want als het wachtwoord van een medewerker bij een ander datalek gecompromitteerd is, gebruiken ze dat om toegang tot het bedrijf te krijgen.
Zorg ook voor incident response plannen, zodat medewerkers weten hoe ze moeten reageren wanneer een verdachte situatie plaatsvindt. Een plan voorkomt een inbreuk op brede schaal. Het isoleren van incidenten is net zo belangrijk als het voorkomen.
Overweeg partners verstandig
Aanvallers omzeilen geavanceerde cybersecuritysystemen door zich te richten op externe leveranciers. Veel grote inbreuken zijn herleidbaar naar kwetsbaarheden bij leveranciers met waardevolle data van grote bedrijven. Dit is een reden tot zorg voor organisatoren van grote evenementen die met een groot aantal externe leveranciers werken. Evalueer de blootstelling van derden, contacteer de leveranciers en neem de juiste voorzorgsmaatregelen.
Verwijder zwakke schakels
De cybersecurity van een organisatie is zo sterk als de zwakste schakels. Sterke cybersecurity hangt niet alleen af van technologische oplossingen, maar ook van gedrag en cultuur. Het is een uiting van discipline. Een organisatie kan nog zoveel regels hebben ter voorkoming van een cyberincident, de systemen blijven kwetsbaar als de toepassing niet strikt en uniform verloopt. Het is onwaarschijnlijk dat dreigingsactoren hun tactieken veranderen zolang ze effectief blijven. Maar maak het hen niet te makkelijk. Implementeer systemen, stel protocollen op, maak plannen en volg deze.
Door Kris Philipsen, Senior Managing Director Cyber Security Consulting bij Verizon Business
Foto: Allegiant Stadium,
bron: Kirby Lee via Alamy Stock Photo.
