Select your location
Austria

Austria

Czech Republic

Czech Republic

Germany

Germany

Italy

Italy

The Netherlands

The Netherlands

Romania

Romania

Cybersecurity in tijden van coronacrisis: advies voor de zorgsector

Deel 1: Hoe medewerkers alert houden voor phishing?

In tijden van coronacrisis lopen zorginstellingen een verhoogd risico om het slachtoffer te worden van een of andere vorm van cybercriminaliteit. De voorbije weken waren er merkbaar meer ransomware-aanvallen specifiek gericht op ziekenhuizen. 

Cybercriminelen hebben daarbij gretig misbruik gemaakt van ‘the new normal’: een wereld in lockdown, een ongezien aantal telewerkers en een zwaar overbelaste sector die onder gigantische druk moest – en nog steeds moet - blijven presteren. 

Ook nu we bezig zijn met exitplannen, de piek achter ons lijkt te liggen en we  - zij het zeer gradueel en onder voorbehoud – maatregelen beginnen te versoepelen, blijft het zaak om de waakzaamheid op het vlak van cybersecurity niet te laten verslappen. 

 En hoewel IT-departementen nu wat meer ademruimte krijgen om de ‘last minute’ oplossingen die ze de voorbije weken moesten improviseren, te gaan doorlichten, testen en bijsturen, blijft ook daar de druk groot. 

 De komende dagen lanceren we een reeks artikelen waarin we bedreigingen op het vlak van security voor de zorgsector onder de loep nemen. Daarbij geven we een aantal adviezen of checklists die IT-departementen kunnen hanteren in de strijd tegen cybercriminaliteit, tijdens én na corona. Het spreekt voor zich dat deze tips ook relevant zijn buiten de sector. 

 Laten we beginnen met het “threat landscape” in kaart te brengen. 

 

Het “threat landscape” in tijden van corona

In grote lijnen, valt het threat landscape uiteen in vier blokken:

  1. Ransomware-aanvallen als gevolg van 
    • Phishing of ander mailverkeer waarin via social engineering technieken gevoelige informatie wordt ontfutseld aan de ontvanger 
    • (Mobile) apps of websites die pretenderen informatie te geven over het virus en de verspreiding ervan, maar die er louter op uit zijn malware/ransomware te installeren 
    • Uitbuiten van zwakheden in bestaande netwerkinfrastructuur zoals gateways en VPNs 
  1. De goedbedoelde installatie van onveilige en privacy-onvriendelijke tools / Shadow IT om aan telewerken, teleconsulting en televergaderen te doen 
  1. Ongeautoriseerde fysieke toegang tot afgeschermde zones. In coronatijden kan dit gebeuren omdat er in bepaalde zones ofwel een verminderde aanwezigheid is van personeel, ofwel een verhoogde aanwezigheid is van nieuwe, tijdelijke, onbekende en/of onherkenbare zorgverleners. 
  1. Bedreigingen van binnenuit, zoals bijvoorbeeld 
    • Goedbedoelde menselijke fouten door de snelle toevloed van nieuwe procedures, tools, technologie, verantwoordelijkheden, taken, … 
    • Slechtbedoelde menselijke fouten en/of diefstal van privé-gegevens door toegenomen werkdruk, stress, misnoegdheid, …  

In deze blogpost willen we dieper ingaan op het eerste punt: ransomware. Concreet willen we IT-departementen een aantal instructies (en voorbeelden) aan de hand doen die hen kunnen helpen de awareness bij eindgebruikers op scherp te stellen. Uit ervaring weten we: hoe hoger de awareness, hoe lager het aantal incidenten. Veel van deze instructies lijken de evidentie zelve, en ze zijn dat ook. Maar we weten met z’n allen dat de meeste incidenten het gevolg zijn van relatief makkelijk te vermijden fouten, onwetendheid of onoplettendheid. Onderstaande instructies kunnen medewerkers helpen extra waakzaam te zijn.

Informatie over ransomware voor uw medewerkers

Wat is ransomware nu juist?

Ransomware is een vorm van malware (‘malicious software’ of kwaadaardige software) die wordt gebruikt om computerbestanden of hele netwerken te gijzelen. Daarbij worden de bestanden op die computers en netwerken versleuteld (cryptolocker ransomware) of geblokkeerd (screenlocker ransomware) tot er losgeld (ransom) wordt betaald. Dat losgeld wordt vaak opgeëist in bitcoin, omdat dit nauwelijks te traceren is, en moet voor een (strakke) deadline betaald worden.

Hoe komt ransomware een bedrijf binnen?

Ransomware-aanvallen beginnen vaak met een phishing mail. Dat is een mail die van een afzender komt die zich uitgeeft voor iemand anders, bijv. de werkgever, een bankmedewerker etc. In deze mails staan vaak hyperlinks die de ontvanger naar een fake website lokken, doorgaans een zeer goed gemaakte kopie van de originele website. De bedoeling van phishing is gevoelige informatie te ontfutselen, zoals logins en paswoorden van bijv. accounts op bedrijfsnetwerken. De ontvanger wordt dan gevraagd om in te loggen op de fake website met zijn/haar login en paswoord. Met deze gegevens gaan cybercriminelen vervolgens inloggen op computers en systemen binnen het netwerk met als doel het in kaart te brengen, te zoeken naar zwakke plekken, malware te installeren en andere acties uit te voeren die moeten resulteren in een uiteindelijke ransomware-aanval.

Checklist

Onderstaande lijst bevat een aantal adviezen die medewerkers kunnen helpen criminele praktijken te herkennen:

1. Check afzender en adres
Let erop dat de naam van de afzender van een mail overeenkomt met het e-mailadres dat bij die persoon hoort
COVID-19 case: Er zijn verschillende hackers actief die pretenderen mails te sturen vanuit de World Health Organization (WHO). Het WHO geeft zelf aan in deze waarschuwing , dat elke persoon bij het WHO een ‘naam@who.int’ e-mail adres heeft. Het WHO stuurt geen mails vanuit andere adressen zoals @who.com, @who.org, @who-safety.org enz. Maar slimme hackers kunnen zelfs dàt probleem omzeilen en phishing mails sturen vanuit een @who.int adres. Waakzaam zijn betekent naar het totaalplaatje kijken, en mails ook te screenen op andere ‘verdachte’ elementen zoals hieronder aangehaald.

2. Wees kritisch voor attachments
Open niet zomaar attachments in e-mails van afzenders die u helemaal niet kent. Reminder: Zorg ook voor up-to-date antivirus software op uw privé-laptop of toestel. Voor wie geen betalende software wil installeren, zijn er diverse gratis alternatieven die een basisbescherming bieden.
COVID-19 case: In deze scam krijgen mensen een e-mail van een plaatselijk ziekenhuis met de melding dat ze mogelijks besmet zijn en zich moeten laten testen. Hen wordt gevraagd een Excel attachment uit te printen en mee te nemen naar het hospitaal. Bij het openen van de Excel file wordt gevraagd macro’s te enablen; deze triggeren de installatie van malware.

3. Check de URL van een hyperlink vóór u erop klikt
Klik niet zomaar op hyperlinks in e-mails van afzenders die u niet kent. U kan de URL achter de hyperlink checken door er met de muiscursor overheen te zweven – als deze niet overeenkomt met de URL die u verwacht te zien, dan gaat het mogelijks om phishing. Fake websites zien er meestal tot in de kleinste details heel authentiek uit (logo, kleuren, font, …) maar ze afficheren een URL die niet klopt.
COVID-19 case: In deze scam worden ontvangers van een fake DHL shipping mail naar een “Help Fight Coronavirus” website gerout met de logo’s van het WHO, de United Nations en een “make a donation” knop, via dewelke de FireBird RAT Trojan wordt verspreid. De site ziet er zeer degelijk uit, maar de URL is zondermeer verdacht (unfoundation.website).

4. Let op via welk kanaal u gevoelige informatie doorgeeft
Geef geen vertrouwelijke informatie via kanalen waar u het niet zou verwachten – bijv. login en wachtwoord via chat, WhatsApp, mail, … Dit gebeurt niet enkel online, ook via telefoon worden phishing praktijken toegepast. Contacteer de zogenaamde afzender (IT, hr, …) bij de minste twijfel!
COVID-19 case: Thuiswerkers wordt via e-mail gevraagd om ‘nieuwe bedrijfsprocedures’ rond corona na te lezen op een goed nagemaakte OneDrive-pagina. Zowel de vreemde communicatiestijl als het feit dat deze update via OneDrive moet worden geraadpleegd kunnen verdacht zijn, zeker als dit soort informatie nooit via dit kanaal wordt meegedeeld. In dit geval is het hackers te doen om de OneDrive inloggegevens.

5. Wees alert voor foutief taalgebruik en een afwijkende stijl van communiceren
Let in een bericht op de taal: een generieke aanspreking, taal- en spellingsfouten, een manier van communiceren die niet helemaal ‘juist’ aanvoelt of afwijkt van de gangbare manier van communiceren … ze kunnen allemaal wijzen op phishing.
COVID-19 case: Zie her voorbeeld hierboven onder puntje 4. Veel phishing emails bevatten taal- en tikfouten, zoals bijvoorbeeld in deze scam, een zogezegde e-mail van het WHO (“fever,coughcshortness of breath”).

6. Screen COVID-19 gerelateerde mobile apps voor u ze downloadt
Gebruik uw gezond verstand alvorens u COVID-19 gerelateerde mobile apps gaat downloaden. Sommige verspreiden fake news in een poging om u naar een website te lokken die vervolgens malware installeert op uw smartphone, en het versleutelt tot u betaalt.
COVID-19 case: Er zijn verschillende mobile apps in omloop die beweren mensen te waarschuwen als ze in de buurt komen van een besmette persoon. Deze apps zijn meestal enkel te downloaden via een website, en niet in de App/Play Store. Via deze apps wordt malware geïnstalleerd, bijv. CovidLock: ransomware die smartphones vergrendelt en paswoorden vrijgeeft/data verwijdert, tenzij er losgeld in bitcoin wordt betaald.

7. Stay cool en gebruik uw gezond verstand
We gaven het al aan in het begin van deze blog: cybercriminelen maken helaas extra misbruik van deze crisissituatie en de druk/stress waarmee mensen moeten omgaan. Mails die corona-gerelateerd zijn en die inspelen op menselijke emoties (angst, nood aan info, zelfbehoud, hulpvaardigheid, …) moet u extra screenen. Het kan daarbij gaan om mails over:

    • Allerhande annulaties als gevolg van corona (hotel, vliegtuig, conferentie, vakantie enz.) waarbij u gevoelige informatie moet ingeven
    • Uiterst dringende verzoeken ‘before it’s too late’ (om zich te laten testen, om zich ergens aan te melden etc.)

Hoe moeilijk het ook is, probeer niet te snel te reageren of u op stang te laten jagen. Neem bij de allerminste twijfel telefonisch contact op: met het reisbureau, met uw helpdesk of IT-departement, met hr enz.

Wat te doen als u een phishing mail hebt ontvangen?

Als u denkt een phishingmail te hebben ontvangen, neem dan meteen contact op met uw IT-departement en/of helpdesk. In sommige webclients kan u meteen phishing rapporteren via een “report phishing” knop. Wacht ook met de mail te verwijderen tot u dat hebt gedaan. Mocht u toch op een hyperlink hebben geklikt: sluit uw browser, verbreek de netwerkverbinding en schakel uw PC volledig uit, alvorens u contact opneemt met IT of helpdesk.

Bronnen met meer informatie

https://coronavirusphishing.com/
https://fraudwatchinternational.com/active-scam-incidents/
https://github.com/MishcondeReya/Covid-19-CTI

U heeft een