Bad guys hoeven maar één keer geluk te hebben

De Internet Security Threat Reports van Symantec, en vergelijkbare rapporten van andere beveiligingsspecialisten, leveren nog maar zelden verrassende inzichten op. Ze beschrijven steevast een bonte verzameling van virussen, internetwormen, phishing, DDoS-aanvallen en andere narigheid waaraan internetgebruikers dagelijks blootstaan. Dan weer groeit spam of phishing in een jaar minder hard of juist harder, steekt een bijzonder venijnige worm de kop op, of maken hackers weer een partij creditcards buit.

Interessanter zijn de onderliggende, brede trends. Eén zo’n ontwikkeling in 2011 is de enorme toename van het aantal kwaadaardige aanvallen. Symantec zegt er voor zijn klanten meer dan 5,5 miljard te hebben afgeweerd, een stijging van 81 procent vergeleken met 2010. Het aantal nieuwe kwetsbaarheden daalt weliswaar, maar cybercriminelen weten ze efficiënter te benutten.

De opkomst van geavanceerde, gerichte aanvallen is een andere trend. Daarbij zijn steeds vaker kleinere bedrijven het doelwit en niet louter het topmanagement maar ook lager personeel, op afdelingen als verkoop, personeelszaken en PR. Het doel is doorgaans bedrijfsspionage.
Al jaren wordt voorspeld dat de groeiende populariteit van smartphones ze tot een aantrekkelijk doelwit zal maken. Mobiele malware leverde in 2011 voor het eerst een tastbaar gevaar op voor bedrijven en consumenten, stelt Symantec. Steeds meer malware wordt specifiek voor mobieltjes gemaakt. De potentiële winst is veel groter dan in het pc-domein. Gestolen creditcardnummers worden voor 40 tot 80 dollarcent verhandeld. Malware die stiekem dure sms’jes verstuurt kan tientallen keren meer opleveren.

Een belangrijke trend is ook de bedreiging van de infrastructuur van het internet zelf. Het rapport noemt in dit verband de spectaculaire aanvallen op bedrijven die SSL-certificaten uitgeven voor beveiligde transacties via internet. Het Nederlandse DigiNotar was zo’n Certificate Authority die in 2011 onder vuur lag. Niet zozeer SSL is de zwakke schakel, maar de procedures en beleidslijnen van de betrokken organisaties. Bredere toepassing van SSL zelf is volgens Symantec juist hard nodig om zogeheten ‘man in the middle’-aanvallen te bestrijden.

De meeste gebruikersorganisaties hebben leren leven met spam en filteren het leeuwendeel effectief weg. Toch zien de onderzoekers het als goed nieuws dat vorig jaar de totale hoeveelheid spam daalde van 88,5 naar 75 procent van alle e-mail. Het neerhalen van het botnet Rustock is de belangrijkste oorzaak. Maar tegelijk richten spammers hun pijlen steeds meer op sociale netwerken en url-verkorters.

De centrale boodschap van het rapport is dat organisaties zich terdege bewust moeten zijn van deze cocktail van dreigingen. “Ze moeten elke keer opnieuw succesvol zijn tegen criminelen, hackers en spionnen. De bad guys hoeven maar één keer geluk te hebben.”

QR-codes makkelijk en gevaarlijk

Een opmerkelijk voorbeeld in het mobiele domein is misbruik van de QR-codes – een soort vierkante streepjescodes – die de laatste paar jaar overal in het straatbeeld opduiken. QR-codes kunnen worden gescand met de camera van de smartphone. Ze bevatten een link naar een website. “Het is snel, makkelijk en gevaarlijk”, oordeelt Symantec. Er is al malware bekend die via QR-codes op Android-toestellen wordt geïnstalleerd en zichzelf via sociale netwerken als Facebook verspreidt. Advies: gebruik een QR-app die de reputatie van websites vooraf kan controleren.

Gouwe ouwe woekeren voort

Oude kwetsbaarheden blijken hardnekkig. Een al zes jaar bekend lek in het Windows-onderdeel Remote Procedure Call (RPC) bijvoorbeeld was in 2011 verreweg de meest aangevallen zwakke plek op pc’s. Voor elk van de vijf meest aangevallen zwakke plekken bestaan patches. Toch blijven cybercriminelen erop schieten. Waarom? Beproefde aanvalsmethodes zijn voor hackers goedkoper. Ook trek je minder aandacht door oude kwetsbaarheden te kiezen. Verder zijn er nog altijd veel gebruikers die patches niet kunnen of willen installeren.

Verkorte url verdoezelt spam

Razend populair op sociale netwerken en microblogs, maar ook onder spammers: de url-verkorter. Ze maken het mogelijk de werkelijke bestemming van een weblink te verbergen. Gebruikers weten niet goed meer waarop ze eigenlijk klikken en spamfilters hebben extra werk. In 2011 bleek voor het eerst dat spammers eigen url-verkortingsdiensten gebruiken. Om spamfilters te misleiden wordt als eerste in een keten van korte url’s vaak wel een bonafide dienst gebruikt. Spammers maken nepprofielen aan op Twitter om berichten te posten met verkorte url’s die gebruikers naar spam dirigeren.