26

maal overkomen.” Jochem voegt toe dat bij een test met phishingmails 30 procent van alle medewerkers op de link klikte. “Het positieve gevolg van zo’n test is wel dat bij de servicedesk de meldingen van medewerkers over dergelijke mails toenemen.” Binnen twee weken ‘binnen’ Sylvia Cammeraat introduceerde red teaming bij JenV toen zij daar programmadirecteur cyber security was. JenV was één van de eerste departementen die hiermee aan de slag is gegaan. “Er is een verschil tussen compliant zijn met wet- en regelgeving en daadwerkelijk veilig zijn. Ik wilde onze organisatie naar een hoger volwassenheidsniveau brengen qua digitale veiligheid.” JenV huurde een erkend bureau in en gaf een ethical hacker inloggegevens alsof hij of zij een medewerker was van het ministerie. “Wij dachten dat Hackmethoden De hackers van het Red Team bij EZK maakten onder andere gebruik van spearphishing, wachtwoordspray en keylogger om hun doelwitten te raken. er drie maanden nodig zouden zijn om onze kroonjuwelen te bereiken, maar het lukte binnen twee weken”, erkent Cammeraat. “Simpele wachtwoorden, hoge toegangsrechten bij mensen die deze niet mochten hebben, dat soort simpele dingen waren er de oorzaak van. Dit hadden we moeten weten, maar we waren ons er niet van bewust.” Dat is na de test radicaal omgedraaid en de gevonden kwetsbaarheden zijn aangepakt. “Dat is precies waarom we deze test hebben gedaan. Het heeft medewerkers van JenV weerbaarder en alerter gemaakt.” Groene vinkjes Ook EZK ging aan de slag met red teaming en dit leidde eveneens tot significante inzichten. Ook hier waren nog steeds simpele wachtwoorden in gebruik zoals Welkom01 en waren de toegangsrechten van mensen niet altijd passend bij hun functie. Spearphishing Hackers zoeken op social media en internet zoveel mogelijk informatie over personen die voor hen interessant zijn. Op basis daarvan versturen ze persoonlijke (phishing) mails. Bij zo’n mail zit een schadelijke bijlage of link waardoor malware op je computer wordt geïnstalleerd. Hierdoor kunnen hackers toegang krijgen tot je digitale werkplek. 26 Wachtwoordspray Hackers proberen met populaire en dus zwakke wachtwoorden (Zomer2022, Welkom01!, Denhaag23! enz.) door te dringen in zoveel mogelijk accounts van medewerkers. In een aantal gevallen lukte dat en kreeg het Red Team toegang tot mailboxen, netwerkschijven en andere systemen met gevoelige informatie. Keylogger Een hacker/spion doet zich voor als (in dit geval) sollicitant. In een onbewaakt ogenblik plaatst hij een Keylogger tussen het toetsenbord en de computer van het doelwit. Dit apparaatje vangt alle toetsaanslagen op. De hacker krijgt daarmee toegang tot onder meer gebruikersnaam, het wachtwoord en andere belangrijke gegevens.

27 Online Touch Home


You need flash player to view this online publication