In samenwerking met KnowBe4 – Cybercriminelen lijken steeds meer op traditionele bedrijven met hun dagelijkse vergaderingen, service level agreements en 24-uurs klantondersteuning. “Ze functioneren als kleine softwarebedrijven en werken vaak van 9 tot 5,” legt James Dyer van KnowBe4 uit.
Het stereotype van de eenzame hacker die in een duistere kelder zit, is achterhaald. “Deze groepen ontwikkelen zich en professionaliseren,” zegt James Dyer, Threat Intelligence Lead bij KnowBe4. “Ze observeren hoe legitieme ondernemingen functioneren en adopteren deze strategieën voor hun eigen criminele activiteiten.”
In het onderzoekslaboratorium van KnowBe4 in Cheltenham monitort Dyer hoe cybercriminelen zich ontwikkelen. “Ik kom vaak Telegram-conversaties tegen waarin ze dagelijkse briefings houden over de ontwikkeling van malware, hun doelstellingen en de taken die nog moeten worden voltooid. Ze hebben een georganiseerde hiërarchie, professionele zakelijke relaties en presentaties van hun bevindingen, net zoals elke andere softwareontwikkelingsafdeling.”
Cybercrime-as-a-Service
De professionalisering strekt zich uit tot meer dan alleen interne processen. “Op het darkweb bieden ze 24-uurs klantenservice, geld-terug-garanties en marketing die zich richt op specifieke eindgebruikers die mogelijk geïnteresseerd zijn in het kopen van data,” vertelt Dyer. “Ze opereren echt als kleine SaaS-ondernemingen.”
Deze criminele bedrijven investeren aanzienlijk in het onderzoek naar hun doelwitten. “Ze verrichten continu verkenningen: ze versturen verkennende e-mails om te testen wat er doorkomt. Ze hebben eigen logo’s, branding en bieden verschillende contactmogelijkheden.”
Hun geavanceerde methoden zijn simpelweg gericht op winst maken. “Als ze geen geld verdienen, zullen ze hun activiteiten staken,” ziet Dyer. “Ze werken van 9 tot 5 en we merken een duidelijke toename in phishing-mails tijdens kantooruren. Voor hen is het gewoon een baan.”
Het domino-effect van één gehackt account
Phishing is nog steeds de meest favoriete techniek, volgens Dyer. De reden? Mensen zijn nog steeds het meest kwetsbare element in elke cyberverdediging. “Hackers denken: waarom maanden besteden aan het ontwikkelen van geavanceerde zero-day malware als je simpelweg mensen om hun inloggegevens kunt vragen? Een succespercentage van 1 procent op een miljoen verstuurde e-mails is relatief nog steeds zeer lucratief.”
Deze benadering is niet alleen gericht op hogere leidinggevenden. “Het grootste misverstand is dat je niet zomaar wordt aangevallen als je geen belangrijke functie hebt binnen een onderneming. Maar een e-mailadres dat al meer dan duizend dagen actief is, is altijd waardevol voor hackers. Elk e-mailaccount is een potentieel opstapje.”
“Eenmaal binnen kunnen ze inloggen op jouw Teams, SharePoint, al je e-mails bekijken en phishing-mails versturen vanuit jouw account. Deze e-mails passeren vaak gemakkelijker de detectiesoftware, omdat mensen die met jou communiceren minder geneigd zijn te twijfelen aan de echtheid van het bericht. Het is de eerste stap naar toegang via Teams of SharePoint, IP-informatie en uiteindelijk het gehele netwerk.”
Alle bedrijfsinformatie is relevant
Moderne cyberaanvallen beginnen vaak met uitgebreid onderzoek. “Als bedrijven aankondigen dat hun CEO met pensioen gaat of dat ze een grote klant hebben binnengehaald, gebruiken aanvallers deze informatie,” zegt Dyer.
Nieuwe medewerkers zijn bijzonder kwetsbaar. “Er is een groot verschil in wie het doelwit is van phishing: nieuwkomers versus degenen die er al jaren werken. Nieuwkomers zijn veel vaker het doelwit van phishing-aanvallen.”
Na de verkenning volgt de eigenlijke aanval, vaak in meerdere fasen. “We zien steeds meer aanvallen die gebruikmaken van meerdere kanalen. Het begint met een e-mail, maar verplaatst zich naar Teams, LinkedIn of WhatsApp. Het schadelijke gebeurt buiten de e-mail om, wat detectie moeilijker maakt.”
Nieuwe hacktactieken: polymorfisch én telefonisch
Cybercriminelen worden steeds slimmer in het omzeilen van traditionele beveiligingsmaatregelen, constateert Dyer. “In plaats van Gmail of Yahoo te gebruiken, uploaden ze kwaadaardige content naar Dropbox, Adobe of Google Presentaties — en delen vervolgens e-mails via de ingebouwde functionaliteit van die platforms. Alle links verwijzen naar Google, de e-mail lijkt precies op een Google-sjabloon. Het wordt veel moeilijker voor eindgebruikers om een phishing-e-mail te herkennen.”
Deze verfijnde aanpak wordt gekenmerkt door wat Dyer ‘polymorfische aanvallen’ noemt. “‘Poly’ betekent veel in het Grieks, ‘morfisch’ betekent vormen. Op het oppervlak lijkt de phishing hetzelfde, maar veel elementen zijn anders. Ze sturen exact dezelfde phishing naar twee mensen, maar de inhoud is verschillend. Je kunt niet dezelfde link blokkeren, omdat de links steeds anders zijn. Dan zijn traditionele blokkeerlijsten dus machteloos.”
Ook fysieke elementen krijgen een digitale draai. “QR-codes worden nu ingebed in pdf-documenten van twintig pagina’s die eruitzien als echte onboarding-materialen of medewerkershandboeken”, legt Dyer uit. Tegelijkertijd ziet hij een opmerkelijke terugkeer naar traditionele communicatiemethoden. “Telefoonnummers worden steeds vaker een primaire vector. In plaats van een valse link, zeggen ze: er is iets misgegaan, bel deze persoon. Het is veel lastiger voor mensen om te bepalen of een telefoonnummer legitiem is dan een link.”
Energiesector in het vizier
Voor Nederlandse bedrijven ziet Dyer specifieke dreigingen. “De hackertactieken verschillen per regio, sector en bedrijfsgrootte. Organisaties in Nederland ontvangen compleet andere e-mails dan die in Japan of Australië. Er wordt altijd gekeken naar specifieke trends die relevant zijn voor dat land, zoals de energiesector in Nederland, die daarom extra wordt getarget door hackers.”
Zo werd in augustus nog onthuld dat criminelen een uitgebreide phishing-campagne voerden namens Netbeheer Nederland, waarbij ze dreigden met afsluiting als mensen niet zouden betalen voor een niet-bestaande jaarafrekening.
When, not if
“Het gaat erom drie kernaspecten op één lijn te krijgen,” zegt Dyer. “Ten eerste: robuuste maatregelen — zorg dat je voorbereid bent op hacks en dat je maatregelen ook daadwerkelijk werken. Deepfakes worden steeds geavanceerder. Als elke financiële autorisatie boven de 10.000 euro een telefoontje vereist, is dat nog effectief als stemmen kunnen worden nagebootst? Welke andere methoden zijn er om autorisatie te verifiëren?”
De tweede pijler: “Wees je bewust van hoe criminele organisaties en aanvallers zich ontwikkelen,” adviseert Dyer. “Stuur niet slechts eenmaal per maand een phishing-simulatietest en denk dan dat je klaar bent. Organiseer workshops en investeer er echt tijd in. Terwijl bedrijven hun digitale processen verfijnen, doen cybercriminelen precies hetzelfde — alleen aan de andere kant van het spectrum.”
De laatste pijler is effectieve training, maar dan anders dan de meeste bedrijven nu doen. “De meeste trainingen zijn veel te saai voor mensen. Maak je training actueel, relevant en minder een routineklus. We zijn allemaal onderdeel van de menselijke firewall, die het moeilijkst te updaten is. Zolang wij als mensen gestrest en overwerkt zijn, zullen aanvallers daarvan profiteren. Het is onze gezamenlijke verantwoordelijkheid om waakzaam te blijven.”
cybersecurity
hacks
KnowBe4
phishing
Vergelijkbare berichten
- Utopian Labs Presenteert Revolutionaire AI: Perfectie in het Schrijven van Verkoopmails
- Van Spreadsheets naar Strategie: Waarom CFO’s Stranden in Handmatig Werk
- AI in Startups: 3 Topstrategieën voor Snelle Groei Onthuld in Nieuw Onderzoek
- 5 Misverstanden over Factoring: Ontdek waarom je niet hoeft te wachten op je geld!
- Topartikelen: Heineken’s Hoofdpijndossiers & Alarmerend Cybersecurity Gesprek!
Anika schrijft over tuinieren, natuur en ecologie. Ze deelt praktische tips en seizoensgebonden inspiratie voor elke tuinliefhebber. Haar stukken combineren vakkennis en passie, met oog voor biodiversiteit, duurzaamheid en welzijn. Ze moedigt lezers aan om bewuster en groener te leven, te starten in eigen tuin.