Hoe malware je computer infiltreert
De eerste computervirussen werden met behulp van floppydisks verspreid en waren veelal terug te vinden in universiteiten. De kwaadaardige software was voornamelijk bedoeld om mensen te ergeren en werd vaak geschreven door studenten om hun computerkennis aan de wereld te tonen. In de jaren 90 kwam hier stilletjes aan verandering in. De malware dook steeds vaker op binnen bedrijven en werd voortaan via netwerken verspreid. Het duurde echter nog tot het begin van deze eeuw alvorens cybercriminelen zich voornamelijk richten op geld verdienen aan hun malware. Met phishing probeerden hackers mensen zo ver te krijgen om hun kredietkaartgegevens prijs te geven en met SQL-injecties wisten cybercriminelen de websites van onder andere Ikea offline te halen. Tegenwoordig is ransomware één van de meest geduchte vijanden van internetbezoekers. Hoe geraakt deze kwaadaardige software op je computer?
USB-stick
De oudste methode om geïnfecteerd te geraken met malware is met behulp van een extern opslagmedium. Vroeger werden virussen voornamelijk verspreid via besmette floppydisks. Aangezien het medium in onbruik is geraakt, hebben cybercriminelen hun zinnen gezet op andere toestellen om je mee in de val te lokken. Een usb-stick of een cd kan een hoop duistere software bevatten en biedt criminelen een eenvoudige methode om op het netwerk van bedrijven te geraken. Eén omgekochte medewerker die een usb-stick in een bedrijfscomputer stopt, is voldoende om de beveiliging van een netwerk op zijn knieën te krijgen.
Social engineering
Een bedrijfsmedewerker hoeft echter niet omgekocht te worden om het netwerk van zijn firma in gevaar te brengen. Cybercriminelen zijn er door de jaren heen erg goed in geworden om mensen in mails op de juiste manier aan te spreken om hen zo ver te krijgen een mail te openen en een bijlage te downloaden. Waar de berichten vroeger nog vol schrijffouten stonden en niet in het Nederlands werden gemaakt, kan je nu phishingmails ontvangen die grammaticaal volledig in orde zijn. Met berichten over facturen, beveiliging of een nieuw beoordelingssysteem worden medewerkers in de val gelokt. Eenmaal een medewerker de bijlage van een dergelijke mail opent, zal de malware op zijn systeem worden geïnstalleerd. Via de geïnfecteerde computer kunnen cybercriminelen hun weg zoeken naar andere delen van het bedrijfsnetwerk.
De social engineeringstechnieken van cybercriminelen beperken zich bovendien niet tot valse e-mails. Gratis software is iets waar maar weinig mensen aan kunnen weerstaan en biedt hierdoor voor hackers een uitgelezen kans om slachtoffers te maken. Veel gratis applicaties vragen tijdens de installatie om een ander programma mee te installeren. Veelal gaat het om gratis zoekbalken voor je browser, waarvan de installatie standaard aangevinkt staat. Behalve het feit dat je deze zoekbalken niet nodig hebt, vertragen ze je computer en kunnen ze spionagesoftware en adware bevatten.
Kwaadaardige websites
Zelfs wanneer je niet ingaat op phishingmails en andere social engineeringpraktijken loop je het risico besmet te geraken met malware. Moderne infectiemethodes zijn gesofisticeerd genoeg om je te besmetten zonder dat enige interactie van jouw kant vereist is. Indien je de pech hebt om op een verkeerde website te belanden, kan het zijn dat je zonder het te weten kwaadaardige code hebt binnengehaald. Deze website hoeft bovendien niet op zichzelf kwaadaardig te zijn. Legitieme sites, zoals The New York Times, zijn in het verleden al ten prooi gevallen aan cybercriminelen. Hackers waren erin geslaagd de juiste html-tag toe te voegen aan de pagina, waardoor ze via de website op zoek konden gaan naar slachtoffers. Het besmettingsproces gebeurt op de achtergrond, waardoor gebruikers zelden merken dat ze gevaar lopen.
Exploit kits
De infectiemethode die in voorgaande paragraaf werd besproken, wordt een ‘drive-by download’ genoemd. Je gaat naar een willekeurige website, waar er automatisch een ‘exploit kit’ aan het werk gaat. Deze kit zal op zoek gaan naar kwetsbaarheden in programma’s die op je computer draaien. Hierbij kan het gaan om zeroday-lekken: lekken waarvan cybercriminelen op de hoogte zijn, maar die nog niet gekend zijn bij de aanbieder van de software. Ook gaan exploit kits op zoek naar oudere lekken. Deze lekken kunnen nog steeds schadelijk zijn indien de fabrikant nog geen oplossing voor het probleem heeft gevonden, of wanneer je de software op je computer nog niet hebt geüpdatet. Met name bij Android blijven oude lekken lange tijd open. Google voorziet wel regelmatig updates om deze lekken te dichten, maar het duurt vaak enige tijd tot de fabrikant van je toestel zijn versie van de update naar je uitrolt. Door deze vertraging hebben cybercriminelen meer marge om hun weg naar je toestel te vinden.
Je kan een exploit kit tegen het lijf lopen wanneer je bijvoorbeeld op Google op zoek gaat naar informatie. Je klikt op een link in de zoekmachine, maar wordt omgeleid naar een kwaadaardige website waarop een exploit kit draait. De kit zal op zoek gaan naar beveiligingsgaten op je computer. Stel dat je niet de laatste Java-updates hebt geïnstalleerd en een Java-plugin in je browser gebruikt, dan kan de exploit kit dit lek gebruiken om op je systeem te geraken. De exploit kit zal malware downloaden naar je computer via het gevonden lek.
Zwarte markt
Dat een bepaalde groep cybercriminelen gebruik maakt van een exploit kit om malware op de computers van slachtoffers te krijgen, wil niet zeggen dat ze zelf de exploit kit hebben ontworpen. Op het deep web worden verschillende programma’s aangeboden waarmee je zelf aan de slag kan gaan. Voor 500 tot 10.000 dollar per maand krijg je de rechten om gebruik te maken van een exploit kit. Met behulp van het controlepaneel van de software kan je statistieken bijhouden over het aantal slachtoffers dat je hebt gemaakt en kan je op eenvoudige wijze eigen websitebestanden maken waarin de exploit kit verstopt zit. Deze html-pagina kan je uploaden naar eender welke website waar je toegang toe hebt, waarna de exploit kit op zoek zal gaan naar lekken in de computers van bezoekers.
De verschillende exploit kits die op de zwarte markt worden aangeboden, hebben ruwweg twee constanten. Op de eerste plaats gaan ze op zoek naar verschillende exploits. Een hacker kan een lek in bijvoorbeeld Adobe Flash op het spoor zijn gekomen dat niemand anders kent, waarna hij informatie over de kwetsbaarheid exclusief verkoopt aan een maker van een exploit kit. Een andere exploit kit kan daarentegen gespecialiseerd zijn in het zoeken naar Microsoft Word-lekken, of onvolmaaktheden in Google Chrome. Naar gelang voor welke exploit kit je betaalt, zal je een ander doelpubliek kunnen lastigvallen.
In de tweede plaats hebben de exploit kits verschillende manieren om zichzelf te verstoppen voor antivirussen. Om aan het werk te kunnen blijven, moeten de exploit kits continu worden geüpdatet. Hun bestandsnamen moeten regelmatig worden gewijzigd en de malware moet continu op zoek gaan naar nieuwe exploits om beveiligingsspecialisten een stapje voor te blijven.