In de wereld van cybersecurity is niets meer wat het lijkt. Criminelen vinden steeds creatievere manieren om beveiligingssystemen te omzeilen, vaak met verrassend eenvoudige middelen. Een recent voorbeeld laat zien hoe hackers met sociale manipulatie en bestaande software toegang wisten te krijgen tot een organisatie – zonder dat er meteen alarmbellen afgingen. In dit artikel leggen we in begrijpelijke taal uit wat er gebeurde en hoe organisaties zich hiertegen kunnen wapenen.

De aanval stap voor stap: zo ging het mis

1. Het begint bij vertrouwen

De aanval begon met iets wat op het eerste gezicht onschuldig lijkt: een berichtje via Microsoft Teams. De afzender deed zich voor als een medewerker van de IT-afdeling en vroeg om hulp bij een technische controle. In het bericht stond een PowerShell-commando dat de gebruiker moest uitvoeren — zogenaamd om “iets te verifiëren”.

De medewerker vertrouwde het bericht en voerde het commando uit. Daarmee kreeg de aanvaller de eerste voet tussen de deur.

2. Quick Assist als trojaans paard

Daarna vroeg de aanvaller om toegang op afstand via Microsoft Quick Assist, een programma dat standaard op Windows-systemen staat. Dit werd gepresenteerd als een manier om het probleem op te lossen. Omdat Quick Assist een vertrouwd hulpmiddel is en veel mensen het kennen van IT-ondersteuning, werkte de medewerker mee.

Eenmaal binnen kon de aanvaller vrij rondkijken op de computer van het slachtoffer.

3. Slim misbruik van legitieme software

Hierna volgde een slimme zet: de aanvaller installeerde het bekende programma TeamViewer, dat op zichzelf niet kwaadaardig is. Maar wat de aanvaller wél deed, was een van de belangrijke onderdelen van TeamViewer vervangen – een zogeheten DLL-bestand (TV.dll). Dit bestand werd aangepast en bevatte nu schadelijke code.

Omdat de rest van het programma legitiem was en digitaal ondertekend, sloegen antivirusprogramma’s geen alarm. De kwaadaardige code werd “meegelift” onder de radar.

4. Onzichtbare toegang met JavaScript

Tot slot installeerde de aanvaller Node.js, een programma waarmee JavaScript buiten de browser kan worden uitgevoerd. Daarmee werd een script (index.js) geactiveerd dat een permanente, versleutelde verbinding met een externe server tot stand bracht.

Kortom: de aanvaller had nu volledige controle over het systeem, zonder dat iemand dat doorhad.

Wat deze aanval zo gevaarlijk maakt

Dit type aanval is bijzonder verraderlijk omdat het gebruikmaakt van vertrouwde tools en menselijk gedrag. Er werd geen kwetsbaarheid in software uitgebuit, maar een kwetsbaarheid in vertrouwen en routine.

  • De software was legitiem – maar werd slim aangepast.
  • De toegang werd “gevraagd” – en vrijwillig gegeven.
  • De medewerker handelde goedbedoeld – en werd toch slachtoffer.

Bovendien werd er geen verdachte e-mailbijlage geopend en geen onbekend programma geïnstalleerd. Alles leek in orde, en dat maakt deze aanpak zo effectief.

Wat kun je doen om je hiertegen te beschermen?

Hoewel deze aanval geavanceerd en subtiel is, zijn er gelukkig manieren om je organisatie hiertegen te wapenen. Hieronder vind je de belangrijkste aanbevelingen:

Investeer in bewustwording

De zwakste schakel in de beveiligingsketen is vaak de mens. Train medewerkers om kritisch te blijven bij verzoeken via e-mail, Teams of andere kanalen. Laat ze alert zijn op:

  • Onverwachte technische verzoeken.
  • Vragen om software te installeren.
  • Het delen van schermen of toegang op afstand.

Een simpele vuistregel: check altijd bij de IT-afdeling via een bekend kanaal als je een vreemd verzoek krijgt.

Beperk externe toegang

Zorg dat programma’s zoals Quick Assist, TeamViewer of AnyDesk alleen gebruikt mogen worden met goedkeuring van de IT-afdeling. Blokkeer onbekende programma’s of stel een lijst op van goedgekeurde software.

Overweeg ook het gebruik van speciale monitoringtools die waarschuwen als gevoelige programma’s onverwacht worden gestart.

Controleer op wijzigingen in bekende software

Het vervangen van onderdelen binnen legitieme software – zoals DLL-bestanden – is een veelgebruikte truc. Installeer endpoint-beveiliging die controleert of software gewijzigd is na installatie.

Daarnaast kan het helpen om:

  • Hash-waarden van belangrijke bestanden te vergelijken.
  • De bestandslocaties van bekende programma’s te monitoren.
  • Te loggen wanneer software buiten reguliere updates verandert.

Beperk uitvoerbare scripts

De installatie van Node.js en het uitvoeren van JavaScript op een systeem is zelden nodig voor gewone gebruikers. Zet het standaard uit, tenzij het echt noodzakelijk is. En als het nodig is, controleer dan wie toegang heeft tot deze tools en monitor het gebruik.

Een blik op de toekomst

Cybercriminelen zullen steeds vaker gebruik maken van gecombineerde technieken: sociale manipulatie, misbruik van vertrouwde tools en subtiele wijzigingen in software. Deze aanval is daar een duidelijk voorbeeld van.

Daarom is het essentieel dat organisaties niet alleen inzetten op technologie, maar ook op:

  • Menselijke waakzaamheid.
  • Heldere communicatiekanalen voor twijfelgevallen.
  • Actieve monitoring van gedrag op systemen.

Tot slot: waakzaamheid is de beste verdediging

De aanval die hier is besproken, laat zien dat zelfs vertrouwde software een risico kan vormen als het op de juiste manier wordt misbruikt. Technologie biedt bescherming, maar de combinatie van menselijk bewustzijn en technische controle is cruciaal.

Train je mensen, houd je systemen schoon en vertrouw op gezond verstand – dan sta je al een stuk sterker.