De grote lockdown: hoe COVID-19 van invloed is geweest op cybersecurity

Er is een jaar verstreken sinds de eerste lockdowns werden opgelegd. We kijken naar de pandemie en de gevolgen ervan vanuit het oogpunt van IT-dreigingen.

In maart 2020 had de uitbraak van COVID-19 al meer dan 100 landen getroffen en werd het officieel tot een pandemie verklaard. De wereld gaat nu al een heel jaar lang de strijd aan met dit ongekende virus. Naast de duidelijke effecten op de gezondheid van mensen en economieën van hele landen, heeft de verspreiding van de ziekte ook voor plotse en radicale veranderingen gezorgd in het dagelijks leven van miljoenen mensen. Werk en studie moet opeens vanuit eigen huis, en videoconferenties vervingen zowel sociale als zakelijke bijeenkomsten. De massale verschuiving naar de online wereld heeft de zorgen wat betreft cybersecurity alleen maar aangewakkerd.

Cybersecurity-dreigingen in het thuiskantoor

De belangrijkste verandering in het werkproces is waarschijnlijk de gedwongen overstap geweest om thuis te gaan werken. Ons globale onderzoek van april 2020 liet zien dat bijna de helft van de 6000 respondenten nog nooit eerder vanuit huis had gewerkt. Desondanks organiseerden werkgevers in 73% van de gevallen geen speciale trainingen over veilige interactie met bedrijfsmiddelen over het internet, wat het aantal incidenten dat werd veroorzaakt door de menselijke factor had kunnen beperken. Het verminderde toezicht van IT-afdelingen op apparaten, software en gebruikershandelingen leidde ook tot extra risico’s.

Apparaten in huis

Veel bedrijven verstrekten geen bedrijfsapparatuur aan hun werknemers. In plaats daarvan lieten ze hun personeel vanaf hun thuisapparaten verbinding maken met de IT-infrastructuur van het kantoor, en dat waren in veel gevallen niet goed beveiligde apparaten. Volgens ons onderzoek werkte 68% van de werknemers vanuit huis met gebruik van hun persoonlijke computers. In de herfst deden we een ander onderzoek en vonden we nog meer mensen in deze situatie. Ongeveer 80% van de mensen die werden ondervraagd gebruikte hun thuiscomputers voor werk, hoewel meer dan de helft (51%) van de respondenten wel de benodigde apparaten van hun werkgevers had gekregen.

Thuiswerkers gebruikten hun eigen apparaten ook voor entertainment, om online games te spelen (31%) en films te kijken (34%). Maar er waren ook tal van mensen die hun bedrijfslaptops en -smartphones gebruikten voor doeleinden die niet aan werk waren gerelateerd. Zo gaf bijvoorbeeld 18% van de respondenten aan dat ze die gebruikten om naar volwassen content te kijken. Cybercriminelen hebben actief gebruikgemaakt van de groeiende interesse in online entertainment door te proberen gebruikers naar nepsites te lokken en ze over te halen om malware te downloaden die vermomd was als een film of installatiebestand. Een totaal van 61% van de in de herfst ondervraagde gebruikers gaf toe dat ze software van torrent-sites hadden gedownload; 65% gebruikte dit soort sites voor muziek en 66% voor films. Onze telemetrische gegevens identificeerden de populairste doelwitten in de lente van 2020 als Minecraft en de televisieserie Stranger Things.

Onbeveiligde kanalen voor werken op afstand

Op kantoor dragen de IT-beheerders zorg voor het beveiligen van het internetkanaal. Maar als werknemers thuiswerken, stellen ze ook hun eigen routers en netwerken in, en dit is een praktijk die voor verhoogde beveiligingsrisico’s zorgt.

Mede hierdoor is het aantal aanvallen van maart tot en met april 2020 op onbeveiligde RDP-poorten — het populairste protocol voor verbindingen op afstand op computers die op Windows draaien — vertienvoudigd in Rusland en verzevenvoudigd in de Verenigde Staten.

Kwetsbaarheden in samenwerkingstools

Op kantoor kunnen werknemers documenten bewerken en vergaderingen persoonlijk bijwonen. In de wereld van het thuiswerken is de vraag naar software voor videoconferenties en samenwerkingstools enorm toegenomen. Deze toenemende heeft de interesse gewekt van cybercriminelen.

Er werden ook beveiligingslekken ontdekt in legitieme videoconferentie-software. Een jaar geleden werd er bijvoorbeeld een kwetsbaarheid ontdekt en geëlimineerd in de zakelijke berichtendienst Microsoft Teams. Door deze kwetsbaarheid kon een aanvaller toegang krijgen tot alle accounts binnen een organisatie. Rond dezelfde tijd losten de ontwikkelaars van Zoom voor macOS bugs op die buitenstaanders in staat stelden om de controle van een gebruikersapparaat over te nemen.

Werknemers hebben regelmatig persoonlijke accounts op gratis diensten gebruikt, zoals bijvoorbeeld Google Docs, om samen aan documenten te werken en bestanden uit te wisselen. Bij deze diensten ontbreekt het vaak aan een gecentraliseerd beheer van rechten waardoor er vertrouwelijke gegevens gelekt kunnen worden.

Het vizier op de zorg gericht

Tijdens de pandemie kreeg de zorgsector natuurlijk te maken met een kolossale werkdruk, en cybercriminelen probeerden tegelijkertijd ook nog eens zorginstanties, ziekenhuizen en zelfs rechtstreeks dokters aan te vallen.

In maart 2020 kregen de servers van het US Department of Health and Human Services (HHS) bijvoorbeeld te maken met een grootschalige DDoS-aanval. In dezelfde maand trof een cyberaanval databases van het Universitair Ziekenhuis in Brno, een van de grootste centra voor COVID-19-bloedtesten in de Tsjechische Republiek. Het resultaat daarvan was dat dokters geen coronatests konden verweken en zelfs een aantal chirurgische operaties moesten annuleren.

Geavanceerde cybercriminelen hebben zich ook gericht op organisaties die de strijd aangingen met COVID-19. Er is bewijs dat in september 2020 leden van de Lazarus Group een farmaceutisch bedrijf aanvielen dat bezig was met de ontwikkeling van een coronavaccin. Een maand later stapten ze over op een gerelateerd ministerie van gezondheid.

Beide medische organisaties en hun individuele werknemers werden doelwitten. In het Verenigd Koninkrijk ontfutselden scammers de e-mailadressen en wachtwoorden van werknemers door aan te bieden ze te registeren voor een niet-bestaand congres over “het dodelijke COVID-19-virus”.

Het werk van het zorgsysteem werd ook gehinderd door mensen die de dreiging eigenlijk hadden moeten begrijpen: werknemers van zorgbedrijven zelf. Zo was er in de lente van vorig jaar bijvoorbeeld een man die was ontslagen van zijn positie als vicepresident van het Amerikaanse bedrijf Stradis Healthcare die de levering van persoonlijke beschermingsmiddelen voor dokters gedurende meerdere maanden verstoorde uit wraak voor zijn ontslag. Volgens informatie van de FBI had hij een geheim account behouden waarmee hij het werk van zijn voormalige collega’s saboteerde. In januari 2021 werd gemeld dat hij tot een gevangenisstraf van een jaar was veroordeeld.

Phishing met COVID-thema’s

Terwijl overheden over de hele wereld COVID-19 bestrijden en maatregelen ontwikkelen om bedrijven en burgers te ondersteunen, hebben cybercriminelen geprobeerd om te profiteren van de angst voor het virus en de behoefte aan hulp van mensen. Volgens ons onderzoek heeft een kwart van de gebruikers schadelijke e-mails ontvangen over aan COVID-19 gerelateerde onderwerpen.

Nepcorrespondentie van klanten en overheidsinstanties

Zo waren er bijvoorbeeld scammers die nepmails verzonden waarin ze zich voordeden als US Centers for Disease Control and Prevention (CDC). Slachtoffers werden gevraagd om een overzicht in te vullen met recente gevallen van het coronavirus onder hun buurtgenoten, en daarbij moesten ze op een link klikken en hun e-mailadres en wachtwoord invullen. Hun accountgegevens kwamen vervolgens in handen van de cybercriminelen.

Tijdens de golf aan lockdowns groeide het aantal e-mails met zogenaamde klantenverzoeken voor productleveringen. Om ze geloofwaardiger te laten lijken klaagden aanvallers over “logistieke problemen vanwege COVID-19” of eisten ze versnelde levering en vermeldden ze problemen met Chinese tegenpartijen. Deze berichten bevatten gewoonlijk een bijlage met een trojan of achterdeurtjes die de criminelen toegang zouden bieden tot geïnfecteerde apparaten.

Neppe COVID-19-betalingen

Volgens onze gegevens verstuurden scammers vijf keer meer schadelijke e-mails over uitkeringen in 2020 dan in het jaar ervoor. Deze berichten leken opnieuw van overheidsinstanties, het Internationaal Monetair Fonds en zelfs de Wereldgezondheidsorganisatie te komen.

De klassieke truc werd op een nieuw manier gepresenteerd: het slachtoffer werd compensatie beloofd in ruil voor een kleine commissie om het geld te kunnen ontvangen.

Cybercriminelen profiteerden ook van het echte nieuws dat Facebook subsidies uitdeelden aan kleine bedrijven. Ze citeerden het verhaal en kondigden aan dat de betalingen voor alle gebruikers van het populaire sociale netwerk golden. Hiervoor moesten slachtoffers hun gebruikersnaam, wachtwoord, Burgerservicenummer en een foto van een identiteitsbewijs verstrekken. Zo’n pakket met gegevens levert een aardige duit op op de zwarte markt.

Hoe beschermt u zichzelf?

Cybercriminelen hebben geen fundamenteel nieuwe trucs bedacht tijdens het jaar van de pandemie, maar ze maakten wel actief gebruik van het onderwerp COVID-19. En aangezien het werk voor veel mensen online plaatsvond, nam het aantal online aanvallen logischerwijs ook toe.

Om te voorkomen dat u hier slachtoffer van wordt, raden we aan om onze selectie van artikelen te lezen over hoe u zichzelf beschermt als u vanuit huis werkt. En ten slotte hebben we nog een paar universele tips:

  • Klik niet op links van vreemden en download geen bestanden van e-mails als u niet zeker weet of u de verzender kunt vertrouwen;
  • Gebruik bedrijfsapparaten en door het bedrijf goedgekeurde software voor uw werk, en configureer programma’s en apparaten op de juiste wijze.
  • Vraag uw werknemer om betrouwbare bescherming op bedrijfsapparaten te installeren en versterk de beveiliging van uw eigen persoonlijke computer en smartphone.

Tips