Skip to main content
Tag

ransomware

Twee beschermengelen voor je domeinnaam

By Blog

Een eigen domeinnaam mijnbedrijf.be is de basis van je online bedrijfsidentiteit: je koppelt er heel eenvoudig je website en je e-mailadressen aan, en ook andere online services. Maar de woorden online, identiteit en eenvoudig in één zin trekken ook de interesse van cybercriminelen. Om te phishen, ransomware te vragen of op andere wijze deze technologie te misbruiken. Er bestaat geen twijfel over dat ze dat zullen proberen. Daarom lees je hier hoe je je domein met cybersecurity kunt beschermen en wat je dan precies moet doen.

Je eigen domeinnaam voor meer zichtbaarheid

 

De meeste ondernemingen beschikken over een eigen domein zoals mijnbedrijf.com of een be/nl/… variant daarop. Af en toe zie je nog wel eens kleinere kmo’s die een e-mailadres gebruiken met het domein van hun provider zoals mijnbedrijf@telenet.be. Het registreren van een eigen domein en daar een gepersonaliseerd e-mailadres van maken is echter niet zo duur en eenvoudig te realiseren, dus waarom zou je dit als ondernemer niet doen?
Het geeft je bedrijf extra zichtbaarheid.

Maar hoe meer e-mailadressen en andere toepassingen van je domeinnaam afhangen, hoe groter het risico op misbruik…

Risico op phishing, vervalste facturen en betaalopdrachten

 

Heel populair is bijvoorbeeld het misbruik van een nagemaakt e-mailadres met bijbehorend domein om phishing mails te sturen. Cybercriminelen maken dan gebruik van domeinen die sterk op het jouwe lijken, zoals mijn-bedrijf.com, mijn8edrijf.com of mijnbedrijf.xxx.com. Die misleiden je medewerkers, klanten en leveranciers.

Heb je je eigen duidelijke domeinnaam, wijs je contacten daar dan op. En wijs hen ook op het risico dat ze kunnen lopen als ze zonder controle reageren op een e-mail die lijkt op die van jou. Een alerte ontvanger stelt namelijk vrij eenvoudig vast dat de afzender niet overeenkomt met de juiste domeinnaam.

Het wordt heel wat lastiger als online criminelen effectief jouw domein gaan gebruiken. Dat is veel minder direct zichtbaar. Het misbruik van je echte domeinnaam is een succesvolle techniek om bijvoorbeeld vervalste fakturen of betalingsopdrachten te sturen uit jouw naam. Dat zijn maar enkele vormen van fraude die cybercriminelen kunnen plegen als ze toegang hebben tot jouw domeinnaam.

Cybersecurity schiet te hulp

 

Gelukkig is er beveiligingstechnologie die je ondersteunt in het bestrijden van dit soort praktijken. SSL en SPF-DKIM-DMARC zijn de meest toegankelijke en meest efficiënte in hun soort.

E-mails beschermen met SPF-DKIM-DMARC

Deze standaard beschermt tegen het misbruik door cybercriminelen van e-mailadressen met jouw domeinnaam, maar ook tegen het verzenden van spamberichten uit jouw naam.

 

De vier grote voordelen van deze standaard zijn

 

  • Veiligheid – Je domein is niet meer zo aantrekkelijk om te gebruiken in phishing attacks die meestal gevolgd worden door fraude of ransomware.

  • Zichtbaarheid – Je hebt zicht op alle e-mailgebruik van je domein: op al het legitieme maar ook al wat frauduleus zou kunnen zijn. Op deze manier handhaaf je de controle.

  • Aflevering – Je domein krijgt op termijn een betere reputatie. Dat verzekert de aflevering van je e-mails en worden ze niet (meer) tegengehouden door firewalls of spamsystemen. Ook marketing e-mails – reclame – worden beter doorgelaten.

  • Identiteit – Je toont met een unieke digitale handtekening in je emailheader dat je wel degelijk de juiste verzender bent.

Een betalend SSL-certificaat voor je website

 

Om online te bewijzen dat je website werkelijk de jouwe is, is het gebruik van een SSL-certificaat alvast een goede zaak. Dat certificaat heeft 2 doelen:

  • Versleuteling van de verbinding tussen bezoeker en je website,

    Het dataverkeer tussen de twee is gecodeerd en dus onleesbaar voor derden;

  • Identiteitsbewijs,

    Elk website-adres waar een slotje en ‘https’ voor staat is een correct adres – en geen valse lookalike.

 

Lees meer over waaraan je SSL precies herkent in deze blog: Veilig surfen doe je zo’

 

Dikwijls zien we op websites gratis SSL-certificaten met een beperkte geldigheidsduur die telkens vernieuwd wordt. Dat is prima voor de eerste toepassing, namelijk de veilige verbinding tussen bezoeker en website.

 

MAAR: weet dat dit gratis certificaat ook gratis is voor cybercriminelen. Ook zij maken dankbaar gebruik van https en SSL. Zo kunnen ze op een vals domein dat erg op het jouwe lijkt evengoed een gratis certificaat activeren en denkt de nietsvermoedende bezoeker dat het wel in orde is want de link begint met https://.

 

Wil je dus zeker zijn, voorzie dan altijd een betalend certificaat op je website of online diensten. Hoewel dat niet echt duur is, blijkt het wél een extra drempel voor mensen die misbruik willen maken van je goede naam. Een betalend certificaat is geldig voor minstens 12 maanden en vermeldt duidelijk de naam van je bedrijf. Even controleren bij twijfel kan nooit kwaad.

Wil je graag weten hoe gevoelig jouw onderneming is voor deze praktijken? Contacteer ons voor een gratis check-up en advies.

Netcure Domein Check-up

Probeer ons eens: deze check-up en het advies erbij zijn gratis.

Trust us, we are crazy about cybersecurity!

Waargebeurd: verslag van een cyberaanval op een Belgische kmo

By Blog

Cybercriminaliteit is voor veel ondernemers een ver-van-mijn-bedshow. Misschien zie ook jij niet meteen het nut in van een expert die de beveiliging binnen je onderneming optimaliseert. Toch loont dat wel degelijk de moeite! We illustreren onze tip met het waargebeurde verhaal van een kleine kmo die door een cyberaanval niet alleen veel geld kwijtraakte, maar ook zware reputatieschade leed bij klanten en leveranciers.

 

Losgeld voor bestanden: een veel voorkomende eis

Cybercriminelen waren aan de haal gegaan met bestanden van de kmo, en maakten duidelijk aan welke eisen het bedrijf moest voldoen om ze terug te krijgen:

“You have only 48 hours for payment, after that decryption cost will be doubled.”

Zo luidt meestal de eerste lijn uit een e-mail van cybercriminelen, nadat je contact opneemt om je bestanden weer vrij te krijgen. Klinkt onheilspellend? Dat was het ook. Volg even mee, voor een verslag van dag tot dag.

 

Dag 1: de schade komt aan het licht

Op een maandagochtend willen de werknemers van de kmo aan de slag gaan, maar niemand slaagt erin om in te loggen op het IT-systeem.

 

Versleutelde bestanden

Na een telefoontje naar de helpdesk van haar IT-partner, ontdekt de kmo dat ze het slachtoffer is geworden van een cyberaanval en dat alle bestanden op de server versleuteld zijn met zogenaamde ransomware. Het enige leesbare bestand is een tekstdocument met de melding dat de kmo gehackt is en contact moet opnemen met een bepaald e-mailadres als ze de bestanden terug willen.

 

Poging om een back-up te herstellen

In een eerste reflex wil de IT-partner een back-up terugzetten, zodat de kmo weer naar de situatie van vóór de aanval kan. De partner schat dat dit al snel een dag in beslag kan nemen. Dit betekent minstens een dag zonder inkomsten en drie medewerkers die urenlang technisch werkloos zijn.

Tegen de middag wordt het echter duidelijk dat een groot aantal back-ups mee versleuteld zitten, waardoor ze onbruikbaar zijn. De aanval blijkt al gestart te zijn op vrijdagavond, wat de back-ups van het weekend ook waardeloos maakt. Wat nu gedaan? Nadat er verwijten heen en weer gaan – de zaakvoerder verwijt de IT-partner een gebrek aan maatregelen tegen dit soort aanvallen, terwijl de IT-partner de zaakvoerder verwijt geen budget te hebben uitgetrokken en externe beveiliging niet serieus genomen te hebben – gaat de IT-partner uiteindelijk te rade bij Netcure.

 

Contact opnemen met de criminelen

We raden de kmo aan om een klacht neer te leggen. We assisteren de zaakvoerder met het opmaken van een dossier voor de politie en verzamelen de nodige gegevens. Vanaf nu worden ook alle verdere stappen gedocumenteerd en toegevoegd aan het dossier.

Na een snelle analyse blijkt de enige oplossing: de criminelen contacteren om de bestanden terug te krijgen. Het is daarbij belangrijk om zo weinig mogelijk gegevens vrij te geven die jou (het slachtoffer) kunnen identificeren. Je gebruikt dus beter niet je vertrouwde e-mailsysteem. Algemene diensten zoals Gmail en Outlook zijn meestal evenmin voldoende om je volledig af te schermen.

Netcure legt het eerste contact; daarna is het wachten op antwoord. De kmo is intussen een volledige dag kwijt en heeft geen toegang tot haar historiek. Ze kan met andere woorden niet aan haar facturatiegegevens, boekhouding, voorraadlijsten, magazijnbeheer of e-mail. En dan zijn er nóg gevolgen:

de kmo moet aan alle klanten die inbellen, melden dat de systemen onbereikbaar zijn en dat het team technisch werkloos is

de kmo kan geen leveringen verwerken

er kan ook niet aan klanten geleverd worden, want niemand heeft zicht op de openstaande bestellingen.

De transportfirma waarmee de kmo samenwerkt voor leveringen moet haar planning aanpassen en rekent hiervoor extra kosten aan.

 

Dag 2: antwoord van de hackers

Na ongeveer 15 uur – wat ons doet vermoeden dat de criminelen in een andere tijdzone zitten – krijgen we antwoord. De cybercriminelen vragen om twee versleutelde bestanden door te sturen. Aan de hand van deze bestanden kunnen ze identificeren met welk proces deze aanval gebeurd is en zelfs mogelijk de locatie van het doelwit bepalen.

 

Dag 3: de problemen duren voort

Het duurt nog eens 20 uur vooraleer we de tekst ontvangen die we hierboven hebben afgebeeld. Het losgeld wordt bepaald op 10.000 USD.

Ondertussen zijn we drie dagen later, en de kmo kan nog altijd niemand verder helpen en geen openstaande orders opvolgen. Klanten zijn al wat minder begripvol, en enkelen onder hen gaan op zoek naar een alternatieve leverancier. Andere klanten beginnen zich af te vragen of hun gegevens gekend zijn bij de criminelen en of er data gelekt of gestolen zijn. Ook partijen zoals de transportfirma hebben weinig begrip voor het plotse inkomstenverlies.

 

Dag 4: onderhandelingen over losgeld

De kosten beginnen hoog op te lopen en de zaakvoerder wil eventueel wel losgeld betalen, maar heeft de 10.000 USD niet zomaar onmiddellijk ter beschikking. Niemand is bereid om bij te springen, en de kmo krijgt vervelende vragen over haar (toekomstige) kredietwaardigheid.

Intussen proberen we door onderhandeling het losgeldbedrag naar beneden te halen. De criminelen zijn hier in eerste instantie niet toe bereid. Het kan hen uiteraard niets schelen dat een kleine onderneming in België overkop zou gaan.

 

Dag 7: de knoop doorhakken

We zijn een week verder en de situatie is onveranderd. Tot het, na dagen onderhandelen, eindelijk tot een akkoord komt. We zijn erin geslaagd om het losgeldbedrag aanzienlijk naar beneden te krijgen, en de kmo wil overgaan tot betaling. Ze moet nog altijd een grote som ophoesten en heeft geen enkele garantie dat de bestanden terug beschikbaar zullen zijn na de betaling. Een alternatief is er echter niet.

 

Dag 10: de betaling is in orde

Het betalingsproces duurt nog eens drie dagen. Op de tiende dag wordt het bedrag overgemaakt naar de Bitcoin-rekening van de criminelen.

 

Dag 11: eindelijk terug toegang

Op dag 11 krijgt de kmo eindelijk een tool aangereikt waarmee haar bestanden terug beschikbaar worden. Eind goed, al goed? Helaas niet.

De slotsom: enorme schade

De kmo heeft zwaar te lijden gehad onder de cyberaanval.

Minstens zeven werkdagen volledig inkomstenverlies, technische werkloosheid van de werknemers en een enorme achterstand door complete inactiviteit.

Zware reputatieschade bij klanten en leveranciers.

Aangetaste kredietwaardigheid bij leveranciers en financiële instellingen.

Vertrouwensbreuk tussen de kmo en haar IT-partner.

Kosten van het losgeld.

Kosten voor consultancy-assistentie tijdens het onderhandelingsproces.

Hoe de kmo dit had kunnen vermijden

Dit verhaal klinkt behoorlijk dramatisch, en het wordt helemaal jammer als je weet dat het echt niet zo ver had moeten komen. In dit specifieke geval had men de ramp kunnen vermijden door de firewall correct te configureren en de beschermingsmaatregelen regelmatig te analyseren. De middelen om een cyberaanval te stoppen waren beschikbaar, maar werden gewoon niet optimaal toegepast.

Wat zou een gelijkaardig scenario betekenen voor jouw onderneming? Vergis je niet: zelfs als je onmiddellijk beslist om over te gaan tot betaling, duurt het altijd minstens een paar dagen vooraleer de situatie hersteld is. Gelukkig kunnen enkele eenvoudige maatregelen het risico op een cyberaanval serieus beperken. Laat je bijstaan door een expert om je onderneming hier beter tegen te wapenen.

Trust us, we are crazy about cybersecurity!

Contacteer ons