Recent kwamen we er na een tip achter dat een hacker met een gerichte cybersecurity-aanval misbruik heeft gemaakt van onze bedrijfsidentiteit. Op een domein dat qua naam sterk leek op de URL van Ictivity was de volledige Ictivity-website gekloond. De hacker probeerde via geavanceerde phishing-mails verschillende organisaties te benaderen en zo mensen te verleiden tot het installeren van (vermoedelijk) malware. Dankzij de tips die we kregen, snel handelen en een adequaat Incident Respons Plan hebben we schade kunnen voorkomen én de dreiging binnen 24 uur onschadelijk gemaakt. Algemeen directeur Wilbert van Beek en compliancy & security officer Olaf Adams vertellen hoe het incident is afgehandeld en wat andere organisaties hiervan kunnen leren.
Hacker nam Ictivity-identiteit aan
Het begon met een belletje naar Ictivity. Adams: “Een manager van een organisatie die geen klant is bij ons, vertelde dat zijn medewerkers e-mails van ons hadden ontvangen over een vermeend technisch probleem, met daarbij het verzoek het scherm over te nemen om het op te lossen. Alle alarmbellen begonnen te rinkelen, aangezien wij geen support leveren bij deze organisatie. Wat bleek: de mails zijn verzonden vanuit het domein lctivity.nl, waarbij de hoofdletter ‘i’ is vervangen door een kleine ‘l’. Een hele slimme en gerichte actie. Onze website was volledig gekloond op dit domein. De hacker had verschillende e-mailadressen aangemaakt op basis van namen van onze medewerkers.”
Geavanceerde phishing-mails
Uiteindelijk hebben drie organisaties zich bij ons gemeld met eenzelfde verhaal. De phishing-mails waren bijzonder vernuftig, legt Van Beek uit. “De hacker had interne mails van de drie organisaties nagemaakt met de strekking ‘ik heb contact gehad met een collega van Ictivity, hij heeft mij uit de brand geholpen en moet ook een probleem met jouw werkplek oplossen’. Daaronder zag je dan een zogenaamd geforwarde mail van een Ictivity-medewerker.”
Deze mail was nauwelijks van echt te onderscheiden en bevatte zelfs de officiële (weliswaar verouderde) e-mailhandtekening van Ictivity. Van Beek: “In die mail stond iets als: ‘Ik heb uw gegevens gekregen van een collega. Ik ga u helpen omdat er iets mis is met uw computer. Als u aangeeft wanneer u tijd heeft, kunnen we een afspraak met u maken om een keer mee te kijken via Teamviewer.’”
Malware installeren
Het vermoeden is dat – wanneer iemand daadwerkelijk een afspraak had gemaakt – zo’n Teamviewer-verbinding zou worden misbruikt om malware op de computer van het slachtoffer te installeren. Van Beek: “Voor zover wij weten, is er gelukkig geen schade aangericht. De bedrijven die zijn benaderd, zijn overigens allemaal geen klant bij ons ons.”
De mails zijn verstuurd op de avond voor Hemelvaart. Slimme timing, stelt Van Beek: “Hackers weten namelijk dat er op dat soort dagen een ‘lagere dijkbewaking’ is.”
Meteen actie ondernomen
De maandagochtend na Hemelvaart vernam Ictivity het nieuws. Volgens compliancy & security offer Adams werd het Incident Respons Plan direct in werking gezet. “In dit plan is opgenomen dat we meteen met een aantal personen en partijen schakelen, ongeacht de aard en omvang van het incident. Een klein team gaat dan meteen aan de slag. Welke mitigerende maatregelen kunnen we nemen? Hoe zorgen we dat dit risico zich niet verder verspreidt en er geen schade wordt aangericht?”
In dit concrete geval is meteen op verschillende vlakken actie ondernomen. De belangrijkste acties waren:
- Een scan op onze managed klantomgevingen: heeft één van onze klanten zo’n mail ontvangen? Dat moet je immers als eerste uitsluiten.
- Het domein afsluiten waar de mails vandaan werden gestuurd (lctivity.nl) voor onze beheerklanten.
- Alle klanten waar we zaken mee doen waarschuwen over dit incident. Via onze afdeling Communicatie hebben we een bericht uitgestuurd en een artikel op onze website laten plaatsen.
- Bij Stichting Internet Domeinregistratie Nederland zijn we een notice-and-take-down-procedure gestart om het domein lctivity.nl uit de lucht te halen, met als gevolg dat de website dinsdagochtend al op zwart ging.
Dader moeilijk te achterhalen
Los van bovenstaande maatregelen, heeft Ictivity abuse-rapporten ingediend bij de domeinnaam-, webhosting- en e-mailpartijen. Van Beek: “Dan ga je al snel de hele wereld over. Zo werd de mailserver gehost vanuit Zwitserland en de website vanuit de VS.” Adams: “We hebben onderzocht wat er precies is gedaan en wie erachter zou kunnen zitten, maar er zijn geen sporen achtergelaten. Als hacker kun je dit allemaal redelijk anoniem doen en kies je natuurlijk buitenlandse partijen uit die niet gemakkelijk informatie vrijgeven.”
Minimale gevolgen
Door de combinatie van een solide plan en snel handelen zijn de gevolgen minimaal gebleven. Verschillende partijen hebben wat overlast ervaren, maar daadwerkelijke schade is gelukkig uitgebleven. Door onderstaande takeaways te delen, hopen we andere bedrijven te helpen om snel en effectief te reageren bij het voordoen van een soortgelijk security-incident.
Aandachtspunten voor andere organisaties
Aan de hand van wat ons is overkomen, distilleren we vier belangrijke aandachtspunten voor andere organisaties.
#1 Onderschat nooit het niveau van phishing-technieken
De tijd van mailtjes die direct uit Google Translate komen en vergezeld gaan van pixelerige logo’s is echt voorbij. Deze phishing-poging is zó gewiekst dat zelfs mensen die goed bekend zijn met het fenomeen erin zouden kunnen trappen.
#2 Creëer bewustzijn binnen je organisatie
Hoe geavanceerder phishing-pogingen worden, hoe belangrijker het is dat iedere medewerker binnen je organisatie deze social engineering-praktijk op het netvlies heeft. Train én test daarom je medewerkers regelmatig.
#3 Stel Google-notificaties in
Security betekent continu leren. Zo zijn wij er nu achter gekomen dat je Google-zoekopdrachten kunt instellen die melden wanneer er nieuwe webpagina’s worden gepubliceerd waarin jouw bedrijfsnaam voorkomt. Ontvang je zo’n notificatie? Dan kun je razendsnel handelen.
#4 Een incidentresponsplan is het allerbelangrijkst
De laatste les is tevens de belangrijkste: zorg te allen tijde dat je een up-to-date incidentresponsplan (IRP) hebt klaarliggen. De eerste stap daarvan moet altijd zijn: analyseer wat er aan de hand is en wat de impact ervan is. Aan de hand daarvan kun je je resources gaan inzetten en je communicatie bepalen.
Incident Respons Plan: BHV-plan bij security-incidenten
Een IRP beschrijft hoe je als organisatie omgaat met security-incidenten en de gevolgen daarvan. Hoe zien de procedures eruit? En wie is er verantwoordelijk voor welke taken? Door dat allemaal vast te leggen, kan iedereen snel en op de juiste manier handelen.
Directeur Van Beek: “Zie het als een BHV-plan. Als je nog over een noodplan moet gaan nadenken op het moment dat het misgaat, verlies je kostbare tijd en loop je het risico kritieke stappen over te slaan.”
Compliancy & security offer Adams: “Veel organisaties vliegen security aan als een technisch onderwerp. Dat is onverstandig, het IRP moet heel breed zijn. Denk aan communicatie naar alle stakeholders, documentatie, rapportage en training. Maar ook nazorg: wat doe je na het incident en hoe zorg je ervoor dat het niet weer gebeurt? Een voorbeeld is zo’n artikel als dit publiceren, waarin je open en eerlijk je verhaal deelt. Zo hopen we zowel intern als extern meer awareness te creëren rondom de risico’s van zo’n incident en het belang van een goed plan.”
