Voor organisaties die afhankelijk zijn van digitale toegang tot hun systemen, en dat geldt voor vrijwel alle AFAS-klanten, is het belangrijk om te begrijpen wat infostealers zijn, hoe ze werken en waarom bewust omgaan met toegang noodzakelijk is.
Seminar: Digitale veiligheid16 maart - € 500 of gratis met L3-abonnement Versterk je digitale veiligheid met de nieuwste inzichten van AFAS en andere veiligheidsexperts. Hoe ga je ermee om en hoe kan software je hierbij ondersteunen? Ontmoet vakgenoten en vergroot je kennis tijdens dit unieke seminar! Met sprekers Tom Leijte en Huib Modderkolk!
|
Infostealers zijn een vorm van malware, een computervirus dat ontworpen is om kwaad te doen. Het zijn programma’s die informatie stelen van een besmet apparaat. Denk aan gebruikersnamen, wachtwoorden, cookies en zogeheten sessietokens. Zo’n token kun je vergelijken met een keycard van je hotelkamer. Je identificeert jezelf eenmalig bij de receptie en krijgt een pasje voor permanente toegang zolang je in het hotel verblijft. In dit voorbeeld stelen infostealers dan je card, zonder identificatie. Voor een sessietoken werkt het precies hetzelfde. Deze worden ook gestolen zonder identificatie, dus zonder multifactor-authenticatie (MFA) vooraf. De dief heeft dan wel toegang tot systemen zolang het token geldig is. En het vervelende is dat je dit niet merkt.
Volgens Tom Leijte van Passguard, gespecialiseerd in het monitoren van infostealer-activiteiten, is dat precies waarom deze malware zo lastig te detecteren is. “Infostealers zijn erg snel, verzamelen informatie, wissen hun sporen uit en houden zich gedeisd. En zolang de infostealer actief is, blijft het inloggegevens en informatie stelen.”
Infostealers bestaan al langer, maar zijn de afgelopen jaren sterk toegenomen. Er is een bloeiend crimineel ecosysteem ontstaan waarin gestolen sessies en inloggegevens worden verhandeld via online marktplaatsen. Veel infecties ontstaan via onbeheerde apparaten. Bijvoorbeeld via privélaptops of systemen van leveranciers die tijdelijk inloggen op de bedrijfsomgeving. Juist deze apparaten zijn risicovol vanwege het beperkte (toe)zicht en omdat ze vaak de schakel tussen een goed beveiligde omgeving en de buitenwereld zijn.
Infostealers laten zien dat digitale veiligheid verder gaat dan techniek alleen. Ook gedrag, apparaten en dagelijkse keuzes spelen een rol. Dat bleek bijvoorbeeld bij de situatie rond Snowflake in 2024, waarbij aanvallers op grote schaal via gestolen inloggegevens toegang kregen tot klantomgevingen. Niet omdat het platform zelf werd gehackt, maar omdat sessies en credentials via onbeheerde apparatuur buitgemaakt waren en vervolgens gekocht werden op zo’n criminele marktplaats. Het laat zien dat risico’s vaak niet in systemen zelf zitten, maar in de manier waarop toegang via onbeheerde en besmette apparaten misbruikt wordt.
Ook in AFAS slaan organisaties grote hoeveelheden persoonlijke, financiële en bedrijfsgevoelige informatie op. Die data is onmisbaar voor de dagelijkse bedrijfsvoering en daarmee ook aantrekkelijk voor criminelen die toegang willen tot systemen, het liefst zonder dat gebruikers dit doorhebben. “Dit type aanval gebeurt meestal buiten onze directe invloedsfeer,” zegt AFAS CISO Ignaece Bliekendaal. “Wij doen alles om onze software zo veilig mogelijk te maken, maar de verantwoordelijkheid voor toegang tot die software ligt bij klanten. Tegelijkertijd willen we alles doen wat redelijkerwijs mogelijk is om klanten te helpen ongeautoriseerde toegang te voorkomen.”
Daarom werkt AFAS samen met Passguard dat marktplaatsen op het darkweb monitort waar door infostealers buitgemaakte sessies worden aangeboden. Als daar sessies opduiken die te herleiden zijn tot AFAS-omgevingen, worden deze sessies direct ingetrokken, zodat ze op dat moment geen waarde meer hebben voor de tegenstanders van onze klanten. Zo kan misbruik worden beperkt, hopelijk nog voordat er daadwerkelijk schade ontstaat.
Infostealers zijn technisch geavanceerd en complex, en lastig te ontdekken. Toch kunnen organisaties wel degelijk stappen zetten om het risico te verkleinen. Ignaece geeft een aantal praktische tips:
Omdat infostealers continu in ontwikkeling zijn, blijft het lastig risico’s goed in te schatten. Dit is echt een kat- en muisspel. Tom onderstreept: “Je haalt een infostealer zelf binnen, bewust of onbewust. Juist omdat je het niet merkt, is het belangrijk om dit risico altijd mee te nemen in je beveiligingsbeleid en te blijven werken aan bewustwording.”
AFAS verwerkt klantgegevens, maar klanten blijven verantwoordelijk voor wie toegang heeft tot hun omgeving. Tegelijkertijd wil AFAS klanten graag helpen door risico’s inzichtelijk te maken en waar mogelijk extra bescherming te bieden. Ook op het gebied van infostealers is digitale veiligheid geen eenmalige inrichting, maar een proces van de lange adem. Ignaece zegt tot slot: “We hebben veel aandacht voor deze deels onzichtbare dreiging. Daarom werken we met Passguard samen om het risico van deze dreiging te mitigeren en/om een veilige omgeving voor onze klanten te behouden.”
Of doe de AFAS Cybercheck
Infostealers zijn malware die ongemerkt inloggegevens, cookies en sessietokens steelt, waardoor aanvallers zonder MFA toegang kunnen krijgen zolang een token geldig is. Het risico groeit door handel in gestolen sessies op criminele marktplaatsen en besmettingen via onbeheerde apparaten (privé-laptops of leveranciers). Het probleem zit niet alleen in techniek, maar ook in gedrag en toegangsbeheer. AFAS werkt met Passguard om darkweb-marktplaatsen te monitoren en verdachte AFAS-sessies direct in te trekken.