Slecht nieuws: er zijn ontzettend veel mensen die graag uw wachtwoorden in handen zouden krijgen. Wat ze ermee willen loopt uiteen, maar het is helaas nooit onschuldig. We zetten op een rij welke partijen er uit zijn op uw wachtwoorden en toegangsgegevens, waarom ze dit willen en hoe ze te werk gaan. En we leggen uit wat u kunt doen als een wachtwoord in verkeerde handen valt, om de gevolgen hiervan zo veel mogelijk te beperken.
Er zijn drie belangrijke groepen aanvallers: natiestaten, cybercriminelen en kwaadwillende insiders. De motivatie om wachtwoorden te stelen is verschillende voor iedere groep, maar het einddoel is hetzelfde: ze willen toegang tot gevoelige gegevens en/of systemen.
Natiestaten
Dit is de officiële term binnen de cyberbeveiliging (en binnen de politieke wetenschappen en internationale relaties) voor “overheden”. Ze willen wachtwoorden om toegang te krijgen tot systemen, informatie of allebei. Met die toegang willen ze bijvoorbeeld informatie stelen of de systemen permanent infiltreren. En in sommige gevallen willen ze ook gegevens vernietigen en/of systemen platleggen. Dat laatste doel kan vernietigende gevolgen hebben, vooral als de betroffen systemen en gegevens essentiële infrastructuur draaiende houden – denk maar aan een cyberaanval die de stroomvoorziening plat legt.
Cybercriminelen
De naam zegt het eigenlijk al. Bij cybercriminelen ligt de motivatie voor de hand: deze mensen zijn uit op geld. Met wachtwoorden kunnen ze op twee manieren geld verdienen. Ze kunnen de wachtwoorden direct verkopen (gemiddeld krijgen ze voor één set aanmeldingsgegevens 10 dollar het dark web), of ze kunnen ze gebruiken om toegang te verkrijgen tot accounts of systemen. Hier kan de aanpak vervolgens verschillen: ransomware, gegevensdiefstal gevolgd door afpersing, of bij financiële accounts simpelweg een directe overboeking.
Kwaadwillende insiders / infiltranten
Collega's die continu uw werk onderbreken, zijn vervelend. Maar collega's die de organisatie gericht infiltreren, zijn gevaarlijk. Dit zijn mensen die schade willen berokkenen aan een bedrijf, door misbruik te maken van hun toegang tot bepaalde netwerken en systemen. Soms willen ze uw wachtwoord om bepaalde acties uit te voeren onder uw naam, zodat het lijkt alsof u de dader bent. Dit maakt opsporing een stuk lastiger. Misschien willen ze uw wachtwoord omdat u toegang hebt tot andere systemen, zoals gevoelige financiële gegevens of industriële besturingssystemen, waarmee ze fysieke schade kunnen aanrichten.
Hoe krijgen deze partijen uw wachtwoorden in handen?
Natiestaten, internetcriminelen en infiltranten gebruiken verschillende methoden om uw wachtwoorden te verkrijgen. Er bestaat bijvoorbeeld kant-en-klare malware die ze online kunnen kopen. Soms staan er al gegevens van u te koop op het dark web van een ouder gegevenslek. De verschillende categorieën kwaadwillenden gebruiken over het algemeen net iets andere methoden om uw wachtwoorden te verkrijgen. Hieronder zetten we de verschillen op een rij.
Natiestaten hebben de meeste middelen (getrainde mensen en geld), en dus ook de meeste opties. Vaak ontwikkelen ze hun eigen specifieke malware, die misbruik maakt van nieuwe of niet gemelde kwetsbaarheden in software. Hiermee infiltreren ze apparaten of netwerken om wachtwoorden te stelen. Soms werken ze ook met “spearphishing”, phishing gericht op één specifieke persoon, die dan wordt misleid om wachtwoorden prijs te geven. Dienstverleners die hoger in de keten zitten, zijn ook een geliefd doelwit: met één geslaagde aanval op een provider van clouddiensten kan een natiestaat in een klap toegang verkrijgen tot een enorme hoeveelheid accounts en aanmeldingsgegevens.
Cybercriminelen gaan vaak meer te werk als ondernemers. Sommige groepen concentreren zich op wachtwoorddiefstal met zogeheten “infostealers” of phishingmails, om deze wachtwoorden daarna te verkopen op het dark web (zie
deze blogpost voor meer informatie over infostealers). Sommige cybercriminelen maken gebruik van malware die is geschreven door andere groepen, die phishing-software of infostealers verkopen. Ze kopen en gebruiken deze malware min of meer zoals een legitiem bedrijf een gewone softwarelicentie aanschaft. Met dit soort “malware-as-a-service” (MaaS) kunnen ook criminelen zonder veel technische kennis een phishing- of malwarecampagne configureren en opstarten. Dit soort software werkt inmiddels met strakke interfaces, die het makkelijk maken om aanvallen te plannen.
Kwaadwillende insiders hebben een voordeel ten opzichte van natiestaten en cybercriminelen, omdat ze over het algemeen al toegang hebben tot uw kantoren en netwerken. Ze kunnen op zoek naar handgeschreven notities met wachtwoorden, of SharePoint of gedeelde mappen op uw netwerk doorzoeken op een Excel-bestand met wachtwoorden. Ook code repositories bevatten soms hard-coded wachtwoorden die ze kunnen misbruiken. Het doel: ongeoorloofde toegang verkrijgen en schade toebrengen aan hun werkgever en/of collega's.
Wat kunt u doen om de gevolgen zoveel mogelijk te beperken?
Het antwoord ligt eigenlijk voor de hand: gebruik een wachtwoordbeheerder. U hoeft dan nog maar één hoofdwachtwoord te onthouden en u kunt makkelijk sterke, unieke wachtwoorden aanmaken en opslaan voor al uw accounts. En als een wachtwoord wordt gestolen in een gegevenslek, kunt u het eenvoudig updaten. LastPass biedt bovendien gratis monitoring van het dark web. Hiermee controleren we continu of uw gegevens opduiken in een database van gelekte websites, gegevens en accounts. U krijgt direct een waarschuwing en kunt proactief in actie komen om uw gegevens te beschermen. Met unieke wachtwoorden voor ieder account houdt u de schade ook beperkt als er ergens een website of een systeem wordt gekraakt: de aanvallers kunnen uw aanmeldingsgegevens dan niet gebruiken om ook bij andere accounts binnen te komen. Het is inmiddels niet meer de vraag of uw gegevens gestolen zullen worden, maar wanneer. Daarom is het beter om goed voorbereid te zijn – en LastPass helpt u hierbij.
