Hoe een hacker via SAP de security omzeilt [WHITEPAPER]

Mark Deiss - Hackers verschuilen zich het liefst achter onschuldige medewerkers: technisch of financieel personeel dat goedbedoeld en onbewust helpt om bijvoorbeeld geld weg te sluizen.

Hoe krijgen hackers dat voor elkaar? Waarom spannen ze deze medewerkers voor hun karretje in plaats van zelf actie te ondernemen? En hoe kan uw organisatie dergelijke hacks voorkomen? In het onderstaande scenario vindt u de antwoorden.

‘Bert heeft het gedaan’

Het volgende stuk is volledig fictief met gefingeerde namen.

Bert is IT-beheerder bij een groot bedrijf. Zijn collega Jan werkt op de crediteurenafdeling. Op donderdag doen ze de wekelijkse betalingen. Via een interface sturen ze een SEPA-bestand naar de bank. Maar op een dag is er iets raars: de interface verstuurt het bestand niet. Jan belt Bert. Bert opent het bestand, maar ziet niets vreemds. Bert wist het bestand en vraagt Jan het opnieuw te genereren. Opnieuw blijft het bestand hangen. Jan vraagt Bert nog eens te kijken. Na een tijdje vindt Bert één betaling die er niet in hoort. Slechts van 5 euro aan een bekende crediteur, maar toch een betaling die eerder niet in het SEPA-bestand zat. Jan spreekt met Bert af dat hij deze verwijdert en het totaal met 5 euro vermindert. Jan vertrouwt Bert. Hij kent ‘m en Bert werkt hier al 25 jaar. Bert past het bestand aan en nu wordt het wel verzonden. Bij de automatische integriteitcontrole van de bank ziet Jan wel een rood lampje. Maar dat klopt, want Bert heeft het bestand veranderd. Dus autoriseert Jan de betaling.

Wat is er gebeurd?

Tot zover niks aan de hand, lijkt het. Totdat blijkt dat er een groot bedrag is overgeboekt naar een onbekend rekeningnummer. Jan belt Bert. Waarom heb je dit rekeningnummer veranderd? Bert weet van niks. Toch moet hij het wel gedaan hebben. Hij is de enige die toegang had tot het bestand. Bovendien weet Jan dat hij het SEPA-bestand heeft aangepast. Bert, op zijn beurt, wordt ook boos. Hij beschuldigt Jan ervan hem in de val te lokken. Wat is er aan de hand?

Hoe kan dat?

Bert, Jan en hun werkgever zijn gehackt. De hacker wist al dat ze altijd een bepaalde interface gebruiken om betalingen te verzenden. En dat Bert de rechten had om het SEPA-bestand en de interface aan te passen. Hij veroorzaakt fouten in de interface en laat Jan en Bert dit oplossen. Ondertussen past hij met malware in een fractie van een seconde het SEPA-bestand aan. Deze malware werkt onder de rechten van Bert, waardoor niemand door heeft dat het bedrijf gehackt wordt. Het is de bedoeling dat Bert en Jan aan het bestand sleutelen en de nepbetaling verwijderen. Pas dan wordt het bestand in de interface vrijgegeven.

Stappenplan van een Hacker:

Stappenplan van een hacker

Waarom Bert?

De hacker had ook zelf in actie kunnen komen. Bijvoorbeeld door de usergegevens van Bert te stelen en deze zelf te gebruiken. Waarom doet hij dat niet? Omdat dit een onregelmatigheid is die Jan herkent. Vervolgens zal Jan deze frauduleuze handeling voorkomen, waardoor de hacker misschien ontdekt wordt. Daarom hanteert hij een andere strategie. Zo kan hij langer onopgemerkt blijven en misschien nogmaals een hack doen. Misschien dat Bert en Jan de hack ook wel verduisteren. Het valt immers niet uit te leggen dat zij geen schuld hebben.

Wat kunt u doen tegen hacken?

Zorg ten eerste dat in uw organisatie de security op alle netwerklagen in orde is: ontwerp, architectuur, ontwikkeling en beheer. Dat betekent dat elke oplossing beveiligd is met specifieke security tooling, bijvoorbeeld voor de rechten van uw SAP-systeem. Want een SAP-systeem is vaak de oorzaak van een kwetsbare plek. Het is een Zwitsers zakmes met allerlei opties die u aan en uit kunt zetten. Sommige opties blijven ongebruikt openstaan of worden onveilig gekoppeld aan andere functionaliteit. Dat maakt een SAP-omgeving tot het walhalla voor hackers. Ten tweede moet u altijd het overzicht bewaren: hoe werkt mijn security als geheel? Dat overzicht verliezen bedrijven vaak uit het oog wanneer ze ketens uitbesteden of hun IT-omgeving uitbreiden. De onveiligheden ontstaan niet door SAP onveilig is, maar door constructies die het bedrijf zelf maakt.

Naast het bedrijf, is ook IT-beheerder Bert de pineut: alles wijst naar hem. Bewijs dan maar eens dat je onschuldig bent. Daardoor is een dergelijke hack niet alleen voor een bedrijf, maar ook voor de onschuldige werknemer een fiasco. Bert raakt zijn baan kwijt, heeft geen zicht op nieuw werk en moet misschien wel de gevangenis in. Alle reden voor IT-beheerders om zelf te gaan denken als een hacker. En op basis daarvan de security op te schroeven. Alleen zo kunnen IT-beheerders en bedrijven uitgekookte hackers de voet dwars zetten en voorkomen dat ze zelf de dupe worden.

Hoe eenvoudige hacks voorkomen [DOWNLOAD]

Hoe kan uw organisatie relatief eenvoudige hacks voorkomen? Meer daarover, zoals specifieke security-maatregelen, leest u in het whitepaper ‘The good, the bad and the innocent’.