Dark web: De opkomst van cybercrime-as-a-service

Cyberspionage, afpersing, ransomware, malware, phising: het zijn slechts enkele tactieken die de digitale onderwereld gebruikt om een organisatie aan te vallen. Voor ieder bedrijf, van groot tot klein, is het dan ook van belang om kennis te hebben van de tactieken, werkwijzen en technieken die cybercriminelen gebruiken. Op basis hiervan kan je relevante digitale risico’s in kaart brengen en de beveiliging erop aansluiten. 

Tijdens de Cyber Security Week, die op 25 september van start ging in Den Haag, nam Mark Tibbs van Digital Shadows de bezoekers mee in de onderwereld van het internet. In zijn rondleiding door het dark web kwam duidelijk naar voren dat cybercriminaliteit een enorm en professioneel ecosysteem is dat zich continu ontwikkelt.

Deep, dark en openbaar 
Het internet is grofweg op te delen in drie gebieden. Het openbare web, het deep web en het dark web. Het openbare web is indexeerbaar door zoekmachines en iedereen met een internetverbinding heeft toegang tot dit gedeelte van het internet. Echter staat naar schatting zo’n 90 procent van alle informatie juist op het deep en dark web. Hier kom je niet door even te googlen. 

Ondanks dat het deep en dark web op elkaar lijken, zijn er duidelijke verschillen. Het deep web is lang niet voor iedereen toegankelijk. Alleen met de juiste rechten en inlogcodes krijg je toegang tot specifieke informatie. Het gaat hierbij vaak om overheidsinformatie, onderzoeksgegevens, financiële gegeven en databases van bedrijven. Het dark web is daarentegen wel grotendeels openbaar. Om er te komen heb je alleen speciale software nodig die de verbinding versleutelt en anonimiseert. De meest bekende varianten zijn TOR (The Onion Router) en I2P. Juist doordat je op het dark web anoniem bent, is het een plek bij uitstek waar cybercriminelen goed gedijen. 

Professioneel ecosysteem
Tibbs laat in zijn tour door het dark web zien dat het tegenwoordig kinderlijk eenvoudig is om criminele zaken te doen op het dark web. Gestolen creditcardgegevens kopen? Het is een kwestie van een webshop bezoeken, een land en creditcardmaatschappij kiezen, afrekenen in Bitcoins en de gegevens downloaden. Een hacker inschakelen? Een simpele zoekopdracht op het dark web naar ‘rent a hacker’ levert al tientallen hits op. Een bedrijf aanvallen met DDos? Voor een tientje koop je al 90 seconden ‘attacking time’. De opkomst van cybercrime-as-a-service zorgt voor een laag instapniveau en evident meer aanvallen op het bedrijfsleven. Reden te meer dus om ook het dark web goed in de gaten te houden. 
Digital Shadows monitort en analyseert met eigen software en team van analisten het openbare, deep en dark web. Dit om klanten te voorzien van relevante intelligentie waarmee zij de beveiliging kunnen versterken. Maar ook om trends, tactieken en werkwijzen van de gemiddelde crimineel te identificeren. Het bedrijf signaleerde in 2017 alleen al 1.600 datalekken voor zijn klanten. 

Klantgericht
Tibbs laat tijdens zijn tour zien dat er een enorme evolutie gaande is in cybercrime. Waar vroeger cybercrimineel een parttime baantje was dat je uitvoerde op je zolderkamer, is het uitgegroeid tot een fulltime baan waar serieus geld mee te verdienen is. Het criminele netwerk op het dark web is tegenwoordig professioneler dan een gemiddeld e-commerce-bedrijf. Reclames, banners, kortingsacties, promotievideo’s en voordeelacties zijn aan de orde van de dag en moeten zorgen voor meer klanten en omzet. Ook bieden de marktplaatsen een zeer klantgerichte service. De klant kan genieten van niet goed geld terug, ruilen binnen 30 dagen, reviews over handelaren, handleidingen en aftersales. Al met al een serieuze onderneming dus. 

Gespecialiseerd
Een andere ontwikkeling die gaande is op het dark web, is specialisatie en versnippering. Diensten en producten worden aangeboden in een hoeveelheid aan domeinen, denk aan malware, hacking, hosting, spam en carding. Er zijn criminelen die zich toeleggen op het ontwikkelen van een virus, het verspreiden, het verkopen, het hosten, en ga zo maar door. Kijkend naar de handel in gegevens, zie je dat criminelen zich hebben toegelegd op het verkrijgen van de data, denk aan afpersing, skimmen, malware en phising. Maar je hebt ook criminelen die gegevens juist alleen verhandelen of de daadwerkelijke fraude plegen (zoals account takeovers). Al deze losse schakels in de keten, zijn onderdeel van de totale cybercrime-economie. 

Tips van Tibbs
Een kijkje in de donkere steegjes van het dark web leert ons dat kennis van het cybercrime-systeem cruciaal is om een gedegen beveiliging op te werpen. Voor organisaties die zich goed willen wapenen tegen de digitale onderwerp heeft Tibbs nog een aantal tips:

1. Om te voorkomen dat je slachtoffer wordt, moet je zicht houden op je digitale voetafdruk. Medewerkers laten bij alles wat zij online doen een kruimelspoor achter. Hiermee kunnen cybercriminelen zwakke punten van organisaties, systemen en personen identificeren en zo heel gericht hun aanval uitvoeren. Zorg ervoor dat de bedrijven waar je mee samenwerkt ook strikte regels rondom cybersecurity volgen. 

2. Zet een bedreigingsintelligentieprogramma op, onderhoud deze en handel op basis van kennis. Door continu het openbare, deep en dark web te monitoren kom je erachter waar kwetsbaarheden zich voordoen. Het is enorm waardevol om te weten of jouw bedrijfsnaam ineens genoemd wordt door een crimineel, dat gegevens van jouw klanten worden verhandeld op een marktplaats, of dat bepaalde bedrijfsdocumenten ineens opdoemen. Met deze inzichten blijf je de crimineel altijd een stap voor.

3. Implementeer en houd je aan goede securitymaatregelen, zoals defense-in-depth. Kort gezegd houdt dit in dat geen enkel losstaand beveiligingsmechanisme in staat is om een systeem adequaat te beschermen. Er zijn fysieke beveiligingsmechanismen (zoals deursloten), technische beveiligingsmechanismen (zoals encryptie) en beheermechanismen (zoals beveiligingsregels). Combineer al deze principes voor de beste bescherming. 

4. Gebruik encryptie, verschillende wachtwoorden die je regelmatig update en programma’s die bepaalde mails met kritische informatie automatisch wissen. Zorg daarnaast dat je protocollen hebt. Ga ervanuit dat een beveiligingslek zich gaat voordoen en richt je plannen hierop in. Zorg ervoor dat je strategie, mensen en processen hier klaar voor zijn.

5. Cybersecurity is niet één ding dat je doet, het is een cultuur. Zorg daarom voor een plan. Wat doe je als je te maken krijgt met een datalek? Hoe ga je het oplossen? En hoe communiceer je het intern, naar klanten en de buitenwereld? Het moet vanuit de boardroom de organisatie in stromen.