Microsoft Teams (‘Teams’) is in het hybride werken van nu bijna niet meer weg te denken. Teams is een communicatie- en samenwerkingsplatform van Microsoft dat chatten, videobellen en bestandenopslag mogelijk maakt. De afgelopen dagen stond Microsoft Teams op verschillende informatiebeveiligingswebsites op de voorpagina. Kwaadwillende gebruiken het platform voor geraffineerde hacks. Hoe werken deze hacks en hoe maakt u uw organisatie er weerbaarder tegen?
In deze blog belichten we de impact van deze hack voor privacy en informatiebeveiliging binnen uw organisatie. Vervolgens delen we een aantal tips die het risico op het gebruiken van de kwetsbaarheid verkleinen.
Hoe gaat de aanvaller te werk?
Om gebruik te maken van deze hack, moet een aanvaller (de kwaadwillende hacker) de inloggegevens van een Teams account hebben. Een aanvaller kan inloggegevens bijvoorbeeld verkrijgen met een phishing campagne, waarbij hij bijvoorbeeld de inlogpagina namaakt en de inloggegevens “opvangt” via de achterkant. Óf door simpelweg inloggegevens online aan te schaffen op verschillende platforms die een levendige onlinehandel drijven in gestolen inloggegevens.
Als de aanvaller inloggegevens heeft, kan hij zich voordoen als een medewerker binnen uw bedrijf. Vanuit “jouw collega” deelt de aanvaller een “.exe” bestand in een of meerdere chats. “.Exe” staat voor “executable”, dat is een computerbestand dat direct bij selectie ervan een bepaalde taak kan uitvoeren. Dit bestand kan vermomd zijn als een ander soort (vaak gedeeld) bestand, zoals een PDF- of Excelbestand.
Op het moment dat dit bestand geopend wordt, worden er op de achtergrond (dit zie je dus niet op je scherm) verschillende aanpassingen gedaan. Deze aanpassingen zorgen ervoor dat de aanvaller vervolgens het apparaat van het slachtoffer over kan nemen. En dan gaan er werelden voor de aanvaller open…
De mogelijke gevolgen: digitale beveiliging gecompromitteerd
Voor uw organisatie betekent dit dat de 3 pijlers van informatiebeveiliging niet langer te waarborgen zijn. Dit zijn beschikbaarheid, integriteit en vertrouwelijkheid (gebruikelijk aangeduid met “BIV”):
- Beschikbaarheid: gebruikte systemen en apparatuur moeten beschikbaar zijn en blijven;
- Integriteit: de kwaliteit en juistheid van de gegevens;
- Vertrouwelijkheid: alleen geautoriseerde gebruikers mogen toegang hebben tot systemen.
Omdat de aanvaller het systeem gebruikt vanuit het account van een medewerker kan het lang duren voordat de aanvaller opgemerkt wordt. Hoe langer een aanvaller in uw netwerk kan opereren, hoe groter de kans dat deze verregaande toegang verkrijgt tot cruciale en/of bedrijfsgevoelige informatie.
De mogelijke gevolgen: datalekken
Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Als een aanvaller toegang krijgt tot uw systeem, is dit dus direct een datalek. Een datalek moet uw organisatie melden bij de Autoriteit Persoonsgegevens en bij de betrokkenen (als het een hoog risico voor betrokkenen oplevert). Betrokkenen zijn de mensen wiens gegevens het betreft.
Doordat de aanvaller vaak langdurig niet wordt opgemerkt is het lastig te analyseren wat de schade is, kan zijn en kan worden. Ook omdat dit een zeer “besmettelijk” datalek is. Zo zal de aanvaller ook toegang proberen te verkrijgen in accounts van andere collega’s. Dat is kwalijk voor uw organisatie, omdat niet inzichtelijk is waar de verdere kwetsbaarheden zitten, maar ook is het kwalijk voor betrokkenen: hoe ga je hen informeren als je niet weet hoe ver welke data is gelekt, of kan lekken?
Wat kunt u ertegen doen?
Voorkomen is beter dan genezen. Daarom voorkomen we liever dat iemand op die manier toegang verkrijgt. Een van de simpelste stappen om deze hack te beperken is het implementeren van Multi-Factor Authenticatie (MFA).Hiermee dient een medewerker altijd in te loggen met minimaal een tweede manier van verificatie. Denk hierbij aan een SMS, een hardware key (een fysieke computersleutel), of een “Authenticator App”. De laatstgenoemde is een applicatie die je voorziet van een wisselende code om in te loggen.
Door deze extra factor is het voor de aanvaller moeilijker om in te loggen. Het is ook veel lastiger om voor een langere tijd in het systeem te blijven. De medewerker gebruikt bij iedere nieuwe inlog een extra factor waardoor hij de “oude” sessie automatisch beëindigt. Een ander “bestrijdingsmiddel” tegen deze hack is het bewustzijn onder medewerkers. Medewerkers moeten op de hoogte zijn van de risico’s. Zorg daarom dat bewustzijn van informatiebeveiliging leeft binnen uw organisatie.
Continu nieuwe kwetsbaarheden
Hackers vinden constant nieuwe kwetsbaarheden in bestaande systemen. Het voorkomen van kwetsbaarheden is daarom ook een continu proces. Wilt u de informatiebeveiliging passend hebben en houden, dan is risico-gebaseerd te werk gaan onmisbaar. Net zoals nu: we lezen over een kwetsbaarheid, we informeren en voeren de hierboven genoemde maatregelen uit.
De security- en privacyspecialisten van ICTRecht kunnen uw organisatie helpen om continu up-to-date te blijven, en een cyclisch risico-gebaseerd informatiebeveiligingsbeleid te implementeren. Neem contact met ons op voor een vrijblijvende kennismaking.
Deze blog is geschreven samen met Caroline van Ekeren van ons privacyteam.
Meer lezen over dit onderwerp? Lees verder:
