In deze serie kijkt onze pentester Kasper naar de trends en ontwikkelingen die hem dit jaar zijn opgevallen. De eerste editie staat in het teken van de aanvallende kant. Wie zijn die aanvallers tegenwoordig in 2025? Hoe gaan ze te werk? Hoe verandert hun aanpak door AI? En met welk doel?
Welke technieken gebruiken aanvallers?
Om maar gelijk met de deur in huis te vallen: phishing en social engineering zijn onverminderd populair. Daar begint het altijd mee. Kasper: “Je ziet dat de menselijke factor heel erg belangrijk is geworden. Vroeger kon je phishing-mails nog wel herkennen aan de spelfouten. Nou, knap als je die tegenwoordig met AI nog tegenkomt. Denk daarnaast ook aan 06-nummers die bellen met een nepstem. Dat is iets wat ik sinds begin dit jaar duidelijk heb zien toenemen.”
“Denk je de hele tijd te mailen met je leverancier, blijkt het een hacker te zijn.”
Bovendien gaan die phishing en social engineering-pogingen ook een stuk verder dan mailtjes of een telefoontje. “We zien 9 van de 10 keer dat ze dan gebruik maken van namaak-domeinen. Zo hebben we wel eens gezien dat er een recruitment-pagina van een bedrijf helemaal was nagebouwd, en dat er vervolgens ook mailverkeer op was. Ze bouwen facturen en mails na, en gaan tussen de communicatie zitten. We hebben aanvallen gezien waar maanden van communicatie in zit. Denk jij de hele tijd te mailen met je leverancier, blijkt het een hacker te zijn.”
Van opportunistisch naar gericht
Het is dus niet langer zo dat criminelen puur opportunistisch zijn, een phishing-mail rondsturen aan duizenden mensen, en dan hopen dat er iemand op klikt. Kasper: “Vroeger zag je inderdaad veel dat er een soort sleepnet werd uitgegooid met de gedachte ‘we zien wel wat we vangen’. Dat gaat nu anders. Gerichte aanvallen zie je tegenwoordig vaker, mede doordat AI het coderen vereenvoudigt. Er zijn meer APTs (Advanced Persistent Threats) die langere tijd op één organisatie focussen.”
“Ze scrapen dus informatie van de website van het bedrijf en van bijvoorbeeld LinkedIn. Het meeste gaat nu nog via traditionele phishing-mails die ze specifiek op een organisatie afstemmen. Een opkomende trend daarbinnen waar ik me wel zorgen over maak, is dat je ziet dat aanvallers zich steeds meer op specifieke individuen binnen een organisatie richten.”
En dat hoeft echt niet altijd via één van je eigen collega’s te gaan, vertelt Kasper. “Dat komt ook vaak doordat er eerst een breach is bij een ander bedrijf in de keten. Dat gaat allemaal via die namaak-domeinen: jij denkt dat je met je leverancier communiceert, terwijl een aanvaller die communicatie heeft overgenomen.
En wat doen die criminelen dan als ze eindelijk binnen zijn? Kasper: “Ze willen veel doen met weinig mensen. Ik grap wel eens dat de meeste ransomware-groepen volgens mij ook gewoon personeelstekort hebben. Om die reden zie je steeds vaker dat cybercriminelen snel overgaan tot het exfiltreren van je data. Ze passen dan meteen zogeheten triple extortion toe: een drievoudige dreiging. Ze eisen losgeld voor zowel de gestolen als versleutelde data, dreigen deze online te lekken én zeggen de gestolen gegevens zelf te zullen misbruiken.
Wie zijn “ze” dan?
Maar wie zijn de criminele groepen die organisaties aanvallen en personen geld aftroggelen nu écht? Kasper: “We zien enerzijds dat het aantal ransomware-groepen nog steeds groeit en de criminelen steeds jonger zijn. Ik denk serieus dat er nog een hoop geld mee te verdienen valt. En dat het makkelijker is geworden door AI.”
“Anderzijds zie je dat er landen zijn zoals bijvoorbeeld China, Noord-Korea en Rusland, die baat hebben bij verstoring en data-diefstal. Zeker wanneer daar langdurige hersteloperaties bij komen kijken. Zoals ik al noemde, is de doorlooptijd van een aanval van zulke APT’s langer en beter voorbereid. Dat zie ik groeien en ik denk echt dat we meer met zulke groepen, die door overheden gesteund worden, te maken gaan krijgen,” waarschuwt Kasper.
Begin met inzicht
Het gevaar is dus divers én specifiek. En een standaard security-oplossing met een standaard-configuratie in huis halen is een beetje hetzelfde als een ziekenhuis dat elke patiënt hetzelfde medicijn geeft. Soms zal het helpen, maar veel vaker niet. Gelukkig zijn er tools die inzichtelijk maken waar jouw persoonlijke risico zit, zodat je weet hoe je je tegen de ransomwaregroepen of de statelijke actoren moet verdedigen.
Ben je benieuwd hoe jouw beveiliging ervoor staat? We vertellen je graag meer over de mogelijkheden. Er zijn diverse gratis manieren om inzicht te krijgen, maar ook betaalbare opties die meer diepgang bieden. Stuur een mailtje naar Mark of bel 085-018 5761.
De volgende keer, in deel 2 van deze serie, hebben we het met Kasper over de ontwikkelingen aan de verdedigende kant. Het blijft een kat-en-muisspel; Waar de aanvallers nieuwe ontwikkelingen doormaken, doen de verdedigers dat ook. Stay tuned!
Meer weten?
Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl