Patrick de Brouwer is ethical hacker bij het Nederlandse IT-Security bedrijf Northwave. Hij vertelt tijdens het Tech Savvy Assistant Event op 6 juni 2019 over ethisch hacken en geeft je hieronder alvast tips om veilig te werken als secretaresse.
Secretaresses zijn vaak het aanspreekpunt voor een organisatie. Als initieel contactpunt of als doorgeefluik van berichten naar derden waaronder HR-afdelingen en zelfs C-level. Precies daarom zijn secretaresses een perfect doelwit bij een cyberaanval. Kwaadwillenden gebruiken je als een zogenaamde stepping-stone om verdere toegang te verkrijgen tot een organisatie bij een cyberaanval.
Hacken uit voorzorg
Tijdens zijn werk als ethical hacker voert Patrick regelmatig ‘Red Team’ opdrachten uit.
“Dat gaat een stap verder dan een gebruikelijke penetratietest, waarin we gaan kijken welke kwetsbaarheden er te vinden zijn bij een website of netwerk”, vertelt hij.
Bij een Red Team aanval zijn er nagenoeg geen restricties of regels waar de tester zich aan moet houden. Tijdens zo’n opdracht wordt er gebruik gemaakt van technieken die door criminelen ook worden gebruikt en gaat het niet meer om kwetsbaarheden zoeken, maar om een weg naar binnen te vinden. Vervolgens wordt gekeken of ze bij de kroonjuwelen van een organisatie kunnen komen.
De meest gebruikte ingangen
Vaak maken hackers gebruik van openstaande vacatures, of andere zaken die zich voordoen waarop ze kunnen inspelen. Ze sturen dan een e-mail met een malicieuze bijlage of verwijzen naar een externe link op het internet.
“De truc is om zo min mogelijk argwaan te creëren en de ontvanger zo ver te krijgen dat ze het bestand gaan openen. Het is een techniek die vaak wordt onderschat, want ‘niemand trapt daar nog in’, maar zeker wel effectief”, stelt Patrick.
Eenmaal binnen…
Wanneer er eenmaal toegang is verschaft tot de computer van de ontvanger, is het belangrijk om zo geruisloos mogelijk door het systeem en over het netwerk te bewegen.
“De eerste toegang is enorm belangrijk, omdat je vanuit daar verder probeert te gaan in het netwerk. Raak je die toegang kwijt, moet je weer vanaf nul beginnen”.
Patrick vertelt dat het ook wel eens is voorgekomen dat een dergelijke bijlage door drie verschillende personen was geopend in de organisatie, maar ze daarna het verzoek kregen om het bestand in een ander formaat toe te zenden.
“Ze gaven aan dat ze de bijlage niet konden openen, maar inmiddels hadden we toegang tot drie verschillende systemen, terwijl ze zelf nog niets doorhadden.”, vertelt hij.
Tips voor secretaresses om er niet in te trappen!
Patrick geeft een aantal tips om bewuster om te gaan met e-mailberichten.
“Een secretaresse kan in zo’n geval ook de hele opdracht laten falen, als ze er niet in trappen. Dat is dan voor ons wat minder, maar geweldig voor een organisatie als onze aanval zou falen.”
- Controleer de afzender van het e-mailbericht
Kijk altijd goed naar het e-mailadres en de naam waar het bericht van afkomstig is. Als het een bekende naam is, maar een onbekend e-mailadres kan het verdacht zijn. - Wordt het bericht verwacht?
Ga altijd na of een e-mail met een bijlage (bijvoorbeeld factuur of sollicitatiebrief) wordt verwacht. Is er een campagne? Is er iets besteld? - Neem zelf contact op met de verzender
Vertrouw je een bericht niet helemaal? Neem dan zelf contact op met de verzender via gegevens die al bekend zijn, bijvoorbeeld een organisatie of persoon en vraag of hij/zij deze e-mail heeft verstuurd. - Betrek (systeem)beheerders erbij
Schaam je niet om te vaak aan de bel te trekken, liever te vaak alert dan een keer te weinig. Laat beheerders uitzoeken of de e-mail legitiem is.
Samenwerken met agile en werken in de cloud
Het is wel duidelijk: technologie dringt jouw vak binnen. Er zijn andere manieren van denken en samenwerken nodig binnen iedere organisatie.
Met de 2-daagse cursus Tech-savvy assistant bereid je je voor en laat je je niet inhalen door kunstmatige intelligentie, apps en tools. Je laat deze technologieën voor jou werken.
Lees meer over de cursus Tech-savvy assistant