Hacken gebeurt steeds vaker via de leveranciersingang

Hackers die azen op de klantgegevens van banken, creditcardmaatschappijen of grote winkelketens komen steeds vaker binnen door de leveranciersingang. In een derde van de gerichte aanvallen op grote ondernemingen vorig jaar richten criminelen zich op de computersystemen van een van hun onderaannemers en leveranciers.

Beeld thinkstock

Dat heeft de Amerikaanse computerbeveiliger Symantec onthuld op een bijeenkomst over cybercrime in Dublin.

In sommige gevallen braken hackers in op de systemen waarmee bijvoorbeeld de leverancier van printers in de gaten houdt of er storingen zijn. In een specifiek geval kraakten criminelen de website van een Chinees restaurant waar veel werknemers van een bedrijf eten bestelden, om 'spionnetjes' op hun bedrijfscomputers te verbergen.

Beeld De Volkskrant / bron: DatalossDB

Elektronische kassa's
De sluiproute via een leverancier is volgens onbevestigde berichten toegepast bij een van de grootste datalekken van 2013. Daarbij werden de gegevens van 110 miljoen klanten onderschept via de elektronische kassa's van de Amerikaanse winkelketen Target. In 40 miljoen gevallen ging het om de data over betaalpassen van klanten.

Volgens de onafhankelijke beveiligingsexpert Brian Krebs hebben hackers kwaadaardige software geïnstalleerd op de kassa's van Target, waarmee de gegevens op de kaarten is gekopieerd. De malware zou naar de kassa's zijn gestuurd via het computersystemen van Fazio Mechanical, dat de airconditioning- en cv-installaties van Target beheert. Daarvoor zou de leverancier inloggen op de computers van Target.

Onderzoeker Candid Wüest van Symantec denkt dat cybercriminelen niet per ongeluk stuiten op fouten in de beveiliging bij leveranciers, maar er actief naar op zoek gaan. 'Het is niet zo vreselijk ingewikkeld om erachter te komen wie spullen aan het bedrijf verkoopt waar je wilt inbreken. Soms kun je gewoon rondkijken en zien welk merken printers er staan.'Als die kwetsbare plekken hebben in de beveiliging, kunnen hackers daarmee een weg in de belangrijkere computersystemen proberen te vinden.

Saaie instructiebijeenkomst
Sociale media zijn ook een goede bron, aldus Wüest. Als iemand twittert dat-ie bij een saaie instructiebijeenkomst zit voor een beveiligingsproduct, weet je wat voor software ze gebruiken.' Ook via LinkedIn is eenvoudig achter de namen van leveranciers te komen, net als via persberichten over contracten. 'Dat is de reden waarom regeringen en grote bedrijven soms niet willen dat er publiciteit wordt gegeven aan sommige orders.'

Aan de aanvallen zoals die bij Target gaan maanden van voorbereidingen vooraf. 'Hackers doen hun huiswerk', zegt Wüest. Ze steken meer werk in een enkel bedrijf, omdat de beloning hoger is als hun opzet slaagt. 'Deze cybercriminelen gaan niet meer voor het laaghangende fruit, de beveiligingsproblemen die makkelijk te misbruiken zijn, maar weinig geld of gegevens opleveren.'

Jaar van de 'mega-datalekken'
In een analyse van cybercrime die gisteren in Dublin werd bekendgemaakt, komt Symantec tot de conclusies dat 2013 het jaar was van de 'mega-datalekken'. Bij acht grote aanvallen werden de gegevens van meer dan 10 miljoen klanten achterhaald, in sommige gevallen inclusief creditcardnummers en -codes. Van meer dan een half miljard klanten en internetters kwamen vorig jaar privacygevoelige gegevens op straat te liggen, van telefoonnummers tot medische dossiers. Vermoedelijk is dat aantal hoger, omdat niet alle computerinbraken en -lekken worden gemeld. In 2013 ging het om 98 miljoen gevallen.

Volgens een onderzoek van RAND Corporation is de handel in digitale breekijzers (software om computers te kraken) en gestolen data winstgevender dan de drugshandel. Er zijn minder mensen nodig om een misdrijf te plegen en de pakkans is ettelijke malen kleiner.

Beeld Symantec
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden