De impact van hacken, trollen en misleidende informatie op cyberbeveiliging

De Dark Triad (het 'Duistere Drietal', een term uit de persoonlijkheidspsychologie) brengt drie soorten online cyberaanvallen samen: hacken, trollen en misleidende informatie verspreiden. Deze aanvallen kunnen onafhankelijk van elkaar plaatsvinden, maar meestal gaat het om een combinatie van deze drie en dat maakt dit soort aanvallen bijzonder gevaarlijk.

De Dark Triad brengt drie soorten online cyberaanvallen samen: hacken, trollen en misleidende informatie verspreiden. Deze aanvallen kunnen onafhankelijk van elkaar plaatsvinden, maar meestal gaat het om een combinatie van deze drie en dat maakt dit soort aanvallen bijzonder gevaarlijk.

Recent waarschuwde de burgemeester van New York, Bill de Blasio, de inwoners van zijn stad voor allerlei Twitter- en SMS-berichten waarin onterecht beweerd werd dat er een quarantainemaatregel was afgekondigd voor Manhattan. Rond dezelfde tijd waarschuwden de Amerikaanse openbaar aanklager William Barr en hoofdofficieren van justitie van diverse Amerikaanse staten burgers ook tegen spearphishing e-mails, nepwebsites, telefoontjes met vervalste nummerweergave en SMS-berichten waarin allerlei valse beweringen werden gedaan.

Bij sommige aanvallen werden gratis COVID-19 tracking-apps aangeboden die malware bevatten; bij andere aanvallen ging het om vervalste websites, zoals die van Johns Hopkins University, waarop onjuiste informatie stond. En in sommige gevallen kregen mensen telefoontjes of berichten waarin o.a. gratis iPhones, boodschappen, behandelingen of remedies werden aangeboden, in een poging een slaatje te slaan uit onze collectieve gevoelens van angst en onzekerheid tijdens deze pandemie. En dit gebeurde niet alleen in de Verenigde Staten: vergelijkbare aanvallen werden gemeld in Australië en de Europese Unie.

Wat is nu precies de Dark Triad van cyberaanvallen?
De rode draad van deze drie aanvallen is dat ze stuk voor stuk deel uitmaken van de Dark Triad. Je kunt de Dark Triad zien als een driehoek waarbij elke type kwetsbaarheid in de beveiliging zich aan een bepaalde hoek of zijde bevindt. Bij cyberaanvallen gaat het om het volgende: het verspreiden van misleidende informatie, hacken of trollen. Veelal zal een hacker een van deze vormen gebruiken, maar vaak is er sprake van een combinatie van alle drie. Het is niet mijn bedoeling om angst in te boezemen, maar juist om mensen bewust te maken van de manieren waarop cybercriminelen hun doel proberen te bereiken.

We zagen de Dark Triad aan het werk tijdens de laatste presidentsverkiezingen in de V.S., toen de Russen het Democratic National Committee (DNC) wisten te hacken. Ze gebruikten de gestolen gegevens om onjuiste informatie te verspreiden via websites en organiseerden een trolcampagne om de Democraten te reframen (ook wel herkaderen genoemd). De onjuiste informatie werd ook stelselmatig geretweet en verspreid over de hele V.S. Hoewel je dit soort aanvallen kunt zien als op zichzelf staande methodes, is het beter om ze als delen van een geheel te beschouwen. Dan begrijp je wat de impact ervan is en kun je je ertegen wapenen.
Sociale media helpen cybercriminelen

De Triad maakt gebruik van nepprofielen op sociale media, vervalste telefoonnummers en e-mailadressen. Bijvoorbeeld: in Erie County (in de staat New York) heeft iemand zich voorgedaan als het officiële Twitter-account van een lokaal TV-station en nepnieuws verspreid over het virus. Dergelijke aanvallen zijn niet moeilijk uit te voeren, aangezien iedereen toegang heeft tot sociale media en VoIP-diensten.
We hebben de verantwoordelijkheid voor het screenen van content en profielen overgelaten aan afzonderlijke mediaorganisaties; vrijwel allemaal gebruiken ze hier interne processen voor. Dergelijke processen worden gedeeltelijk automatisch uitgevoerd, maar gezien de subtiele en soms dubieuze inhoud vertrouwt men toch voornamelijk op mensen om dit werk te doen.

Maar ook onder normale omstandigheden bleken deze processen al tekort te schieten. Veel van deze zogeheten 'content curators' zitten thuis en de meesten van hen mogen hun werk niet eens doen vanwege de aanstootgevende, vertrouwelijke en expliciete aard van de content die ze moeten beoordelen. Dit betekent dat online content uiterst kwetsbaar is voor misbruik, uitgerekend in een periode waarin sociale media zo veel betekenen voor gebruikers.

We hebben een centrale opslagplaats nodig
In plaats van afzonderlijke zuilen te creëren waarbij de informatie in handen is van allerlei verschillende organisaties, moeten deze organisaties hun inspanningen coördineren. Mediaorganisaties dienen een centrale opslagplaats (een 'repository') te maken waarin ze alle profielgegevens en content bewaren. Deze database dient toegankelijk te zijn voor onderzoekers en andere mediaorganisaties, vooral voor regionale en lokale mediabedrijven die niet beschikken over de technische middelen of het personeel om alle aanvallen bij te houden.
We zouden een centrale opslagplaats moeten hebben waarin alle profielgegevens en content bewaard worden. Deze database dient toegankelijk te zijn voor onderzoekers en andere mediaorganisaties, vooral voor regionale en lokale mediabedrijven die niet beschikken over de technische middelen of het personeel om alle aanvallen bij te houden. Een centrale opslagplaats voor nepprofielen en vervalste telefoonnummers maakt het mogelijk om aanvallen te ontdekken voordat ze verder verspreid raken en om lokale instanties en burgers hierover te informeren.

Openbaar aanklager Barr heeft de Amerikaanse bevolking opgeroepen om cyberaanvallen met betrekking tot COVID-19 te melden bij het National Center for Disaster Fraud (via telefoonnummer 1-866-720-5721 of per e-mail: disaster@leo.gov). Maar er zijn al heel veel andere overheidsorganisaties, zowel op staats- als districtsniveau, die vergelijkbare meldingen verzamelen. Zoals de FTC en het speciale meldingsportal van de FBI, IC3, om een paar voorbeelden te geven.

Als gebruikers meldingen registreren op allerlei portals, levert dit niet alleen veel dubbel werk op, maar is dit ook erg verwarrend voor de burgers. De inspanningen op dit terrein moeten dus eveneens gecoördineerd worden. Profielen op sociale media en telefoonnummers worden vaak opnieuw gebruikt en dat geldt ook voor spearphishing e-mailaccounts, inclusief de oplichtingstrucs en malware die ze bevatten.
Door een centraal meldpunt in te stellen en een op consumenten gericht informatieportal te ontwikkelen, kunnen we aanvallen traceren en de meest gevaarlijke en hardnekkige eruit pikken. Op die manier kunnen we hulp bieden aan thuiswerkende mensen die het zonder de ondersteuning van een professioneel IT-team moeten stellen.
Maar afgezien daarvan, wat kunnen IT-afdelingen en beveiligingsteams doen om eindgebruikers proactief te beschermen?

Stappen die IT- en beveiligingsteams kunnen nemen
Het is belangrijk om in te zien dat de persoonlijke beveiliging van de werknemers van een bedrijf in deze tijden een cruciale impact heeft op de veiligheid van de IT-infrastructuur. Bijvoorbeeld: als werknemers privé het slachtoffer worden van een phishingaanval, dan is de kans groot dat hun bedrijf eveneens gevaar loopt als ze aan het werk zijn. Een veel voorkomend probleem is dat gebruikers het wachtwoord voor hun privéaccount ook gebruiken voor hun zakelijke account. Als het wachtwoord van het ene account gestolen is, dan is meteen ook het andere account in gevaar.

De beste aanpak hiervoor is niet om mensen die deze fouten maken belachelijk te maken, maar juist ervoor zorgen dat degenen die eerder in dergelijke oplichterspraktijken trappen extra training op dit gebied krijgen. U kunt dit doen door testen op te zetten. Door bijvoorbeeld gebruik te maken van diensten als KnowBe4 krijgt u inzicht in de manier waarop medewerkers omgaan met onjuiste informatie, trollen en phishingaanvallen via e-mail. Het is niet onverstandig om ook persoonlijke e-mails van medewerkers in dit soort programma's op te nemen, zodat u kunt zien of ze wellicht minder alert zijn op dit soort gevaren als ze niet aan het werk zijn.

Daarnaast moet u natuurlijk uw bedrijfsdiensten en applicaties robuuster maken, nu uw medewerkers vanwege de huidige crisis thuiswerken. Multi-Factor Authenticatie (MFA) en Single Sign-On (SSO) zijn erg goede methodes om ervoor te zorgen dat het verificatieproces voor werknemers die toegang zoeken tot vertrouwelijke bedrijfsgegevens en tot de infrastructuur robuuster wordt, zodat de beveiliging niet alleen maar afhangt van wachtwoorden. Schaduw-IT zo veel mogelijk proberen te elimineren, is een andere manier om ervoor te zorgen dat uw bedrijf beschermd is. Werknemers die vanuit huis werken, zijn veelal geneigd om hun eigen hardware en software te gebruiken, maar dit leidt tot minder zichtbaarheid en controle voor IT- en beveiligingsteams. Daarnaast levert dit een probleem op ten aanzien van gegevenscompliantie. Implementeer tools die effectieve en veilige samenwerking stimuleren, zodat de bedrijfscontinuïteit gewaarborgd blijft.

Conclusie
Tot slot: in deze ongewisse tijden wenden mensen zich tot anderen voor informatie en steun. Het is dan ook onze verantwoordelijkheid om ervoor te zorgen dat het verspreiden van misleidende informatie een halt toegeroepen wordt – zo kunnen we de angel uit de Dark Triad halen.
Daarom moeten we erg voorzichtig zijn met de informatie die we tegenkomen op allerlei mediakanalen. We moeten de bronnen controleren van de informatie die we binnenkrijgen en online zoeken naar ander ondersteunend bewijs of informatie. Daarnaast moeten we kwaadaardige activiteiten melden en zelf op een verantwoordelijke manier content screenen binnen onze eigen invloedssfeer.

Dankzij onze gezamenlijke inspanningen zullen we deze crisis overwinnen. Het is onze verantwoordelijkheid om ervoor te zorgen dat het coronavirus noch de Dark Triad de overhand krijgt.