Hoe deception cyberdreigingen voorkomt voor ze kunnen toeslaan

De onzichtbare oorlog om je kroonjuwelen

Stel je voor: een Europese financiële instelling ontdekt dat een aanvaller maandenlang toegang heeft gehad tot hun SWIFT*-systeem – niet om geld te stelen, maar om transactiepatronen te analyseren voor een toekomstige, grootscheepse fraude. Dit is precies wat gebeurde tijdens een grote SWIFT-fraude in 2016*, waarbij aanvallers $81 miljoen wisten te stelen door gecompromitteerde credentials* te misbruiken. Het probleem? De bank gebruikte SIEM- en EDR-oplossingen en had een SOC-team*, maar de aanval werd pas ontdekt toen het geld al was overgemaakt.

Of neem de SolarWinds-aanval in 2020*, waarbij een staatssponsor (vermoedelijk APT29*) maandenlang onopgemerkt bleef in de netwerken van overheidsinstellingen en bedrijven. De aanvaller gebruikte living-off-the-land-technieken* en gestolen credentials, waardoor traditionele beveiligingstools geen alarmen lieten afgaan – tot het te laat was.

Deception-technologie* had in beide gevallen een verschil kunnen maken: door realistische valse omgevingen te plaatsen, hadden organisaties de aanvallen kunnen detecteren voordat ze slagen.

“Toen we dit voor het eerst testten bij een klant, waren we zelf verbaasd hoe snel aanvallers in de val trapten,” vertelt een security architect. “Binnen een week hadden we al drie serieuze pogingen gedetecteerd – allemaal voordat ze schade konden aanrichten.”

Natuurlijk is deception geen wondermiddel – ook hier geldt dat je moet weten wat je doet en waar je de traps plaatst. Maar ervaring leert dat het wel de beste kans biedt om aanvallen vroegtijdig te detecteren.

Het probleem: Waarom traditionele beveiliging faalt tegen gerichte aanvallen

1. De stille diefstal van kroonjuwelen

Tijdens de aanval op een groot advocatenkantoor in 2020 bleken aanvallers maandenlang toegang te hebben gehad tot vertrouwelijke M&A-documenten, zonder dat hun EDR of SIEM iets detecteerde. De aanvaller gebruikte geen malware, maar alleen legitieme tools zoals RDP en SharePoint – precies zoals bij de SolarWinds-aanval, waarbij aanvallers living-off-the-land-technieken gebruikten om detectie te ontwijken.

“We maakten gebruik van CrowdStrike en een SOC-team, maar de aanval werd pas ontdekt toen de schade al was aangericht. Het probleem was niet dat we geen tools hadden – we zagen gewoon niet wat we moesten zien.”

2. Financiële instellingen als “stepping stones”

Bij de SWIFT-fraude in 2016 gebruikten aanvallers een gecompromitteerde serviceprovider om toegang te krijgen tot het netwerk van een bank. Vandaar uit bewogen ze lateraal naar andere financiële instellingen, waarbij ze beveiligde SWIFT-verbindingen misbruikten om geld over te maken. Pas toen de centrale bank verdachte transacties meldde, kwam de fraude aan het licht.

Dit toont aan wat ook bleek uit de aanval op een Europese bank in 2019: aanvallers gebruiken legitieme systemen als springplank, terwijl traditionele beveiligingstools geen zicht hebben op de ware intentie achter de activiteit.

“Onze SIEM zag wel de transacties, maar niet dat ze deel uitmaakten van een grotere aanval!”

3. Sabotage van kritieke infrastructuur

Bij de aanval op een Amerikaanse waterzuiveringsinstallatie in 2021 probeerde een aanvaller SCADA-systemen te saboteren via TeamViewer-toegang die was verkregen via een derde partij. Net als bij de SolarWinds-aanval gebruikte de aanvaller gestolen credentials en legitieme OT-protocollen, waardoor EDR en SIEM geen alarm lieten afgaan.

Pas toen een fake PLC-controller (een deception-trap) werd benaderd, werd de aanval gedetecteerd – voordat de aanvaller de pompen kon uitschakelen.

“Zonder deception waren we blind geweest voor deze aanval. De aanvaller gebruikte namelijk tools die al in ons netwerk aanwezig waren, daarom zag onze EDR hem niet.”

De oplossing: Hoe deception aanvallen stopt voordat ze slagen

1. Fake R&D-documenten en databases voor diefstalpreventie

Net als bij de aanval op een farmaceutisch bedrijf in 2021, waarbij R&D-data over een nieuw medicijn werd gestolen, kunnen organisaties honeytraps plaatsen in hun meest waardevolle omgevingen. Denk aan valse documenten met namen als “Klinische_trial_resultaten_Q3.xlsx” of “Nieuw_medicijn_formule.docx”. Wanneer een aanvaller deze probeert te openen, wordt direct een alert gegenereerd – en kan het security team de echte data beveiligen.

“We wisten niet wie ons bespioneerde, maar dankzij de deception-trap wisten we wel dat iemand onze kroonjuwelen probeerde te stelen.”

Kortom: als je wilt weten wat er echt in je netwerk gebeurt, dan is deception één van de weinige tools die je dat vertelt – zonder dat je eerst gehackt hoeft te worden om het te ontdekken.

2. Valse SWIFT- en interbancaire verbindingen voor financiële fraude

Bij de SWIFT-fraude in 2016 hadden fake SWIFT-servers en valse transactie-logbestanden kunnen helpen om de aanval eerder te detecteren. Wanneer een aanvaller probeert om via een gecompromitteerde serviceprovider toegang te krijgen, trapt hij eerst in de valse omgeving. Het team kan dan de aanval blokkeren voordat er geld wordt overgemaakt.

“De aanvaller dacht dat hij toegang had tot ons echte systeem, maar in werkelijkheid werd elke stap die hij zette gemonitord. We wisten precies waarnaar hij op zoek was en welke technieken hij gebruikte. En dus hoe wij ons hier tegen het beste konden beschermen.”

3. Fake SCADA- en OT-systemen voor kritieke infrastructuur

Bij de aanval op de Amerikaanse waterzuiveringsinstallatie in 2021 hadden valse PLC-controllers en fake HMI-interfaces de aanval kunnen detecteren voordat de aanvaller de pompen kon uitschakelen. Wanneer een aanvaller probeert om deze systemen te benaderen, wordt de aanval binnen seconden gedetecteerd – en kan het team de echte systemen afschermen.

“Zonder deception waren we blind geweest voor deze aanval. De aanvaller was al in ons netwerk en bewoog lateraal met legitieme protocollen. Onze EDR zag hem niet – maar de extra deception-laag gelukkig wel.”

Drie lessen voor organisaties die gerichte aanvallen willen stoppen

1. Plaats deception-traps waar aanvallers waarschijnlijk zullen zoeken

• Financiële instellingen: Fake SWIFT-servers, valse transactielogs en honeytraps in correspondent banking-systemen (zoals bij de SWIFT-fraude in 2016).

• Kritieke infrastructuur: Valse SCADA-systemen, fake PLC’s, en canary tokens in OT-netwerken (zoals bij de aanval op de waterzuiveringsinstallatie in 2021).

• Kennisintensieve bedrijven: Honeytokens in R&D-documenten, valse database-entries, en fake API-keys in cloud-omgevingen (zoals bij de farmaceutische aanvallen in 2021).

“Deception is niet bedoeld om elke aanval te stoppen – het is bedoeld om de aanvallen te detecteren die je SIEM en EDR missen.”

2. Gebruik deception om threat intelligence te genereren

Wanneer een aanvaller in een val trapt, levert het systeem automatisch informatie over:

• Welke tools hij gebruikt (bijv. Cobalt Strike, Metasploit, of legitieme tools zoals PowerShell – zoals bij de SolarWinds-aanval).

• Welke TTP’s hij toepast (bijv. lateral movement via WMI of RDP – zoals bij de aanval op Maersk in 2017).

• Welke C2-servers hij probeert te bereiken.

Deze informatie kan direct worden gebruikt om:

• Firewall-regels aan te passen (bijv. blokkeer verkeer naar dit C2-domein).

• EDR-policies te versterken (bijv. “Blokkeer PowerShell-scripts die deze specifieke functies aanroepen”).

• SOC-teams te trainen op nieuwe aanvalspatronen.

“Elke keer dat een aanvaller in onze deception-omgeving trapt, leren we iets nieuws over hoe hij te werk gaat. Dat helpt ons om onze verdediging te verbeteren – niet alleen voor deze aanval, maar ook voor toekomstige bedreigingen.”

3. Integreer deception met je bestaande SIEM/SOAR voor automatische respons

Wanneer een deception-trap wordt geactiveerd, moet dit automatisch een incident aanmaken in je:

• SIEM (bijv. Splunk, QRadar, Microsoft Sentinel).

• SOAR (bijv. Phantom, Demisto, Fortinet SOAR).

• EDR/XDR (bijv. CrowdStrike, SentinelOne). 

Voorbeeld: Een verzekeringsmaatschappij integreerde hun deception-laag met Splunk ES. Toen een aanvaller een honeytoken aanraakte, werd automatisch een high-priority incident aangemaakt – compleet met contextuele informatie (IP, gebruikte tools, tijdstip). Het SOC-team kon snel (binnen 10 minuten) en adequaat reageren.

“De integratie met ons SIEM betekent dat we niet alleen weten dat er een aanval gaande is – we weten ook precies hoe we moeten reageren.”

Conclusie: De toekomst van proactieve verdediging

Of het nu gaat om diefstal van intellectueel eigendom (zoals bij de farmaceutische aanvallen), financiële fraude (zoals bij de SWIFT-fraude), of sabotage van kritieke infrastructuur (zoals bij de aanval op de waterzuiveringsinstallatie) – traditionele beveiliging is vaak te laat.

Deception-technologie biedt een unieke kans om aanvallen te detecteren in de vroege fasen, wanneer ze nog gestopt kunnen worden.

Voor organisaties die proactief willen zijn, zijn de eerste stappen:

• Identificeer je kritieke assets (waardevolle data, financiële systemen, OT-infrastructuur). 

• Plaats deception-traps op plekken waar aanvallers waarschijnlijk zullen zoeken.

• Integreer met je bestaande tools voor automatische detectie en respons.

“De beste verdediging is weten waar de aanvaller is – voordat hij weet dat jij hem al in de gaten hebt. En dat is precies wat deception je geeft: zicht op de onzichtbare dreiging.”

Voetnoten & Bronvermelding

1. SWIFT-systeem: Een wereldwijd netwerk dat banken gebruiken om internationale geldtransfers uit te voeren. Aanvallers richten zich vaak op SWIFT omdat het toegang biedt tot grote geldstromen.

2. SWIFT-fraude in 2016: Een aanval waarbij hackers $81 miljoen stalen van Bangladesh Bank door valse SWIFT-transacties te initiëren. De aanval toonde aan dat traditionele beveiliging te laat reageert op geavanceerde fraude.

3. Gecompromitteerde credentials: Gestolen inloggegevens (bijv. wachtwoorden, API-keys) die aanvallers gebruiken om legitiem toegang te krijgen tot systemen, zonder detectie.

4. SIEM (Security Information and Event Management): Een systeem dat logbestanden verzamelt en analyseert om dreigingen te detecteren. SIEM’s zijn goed in het signaleren van bekende aanvallen, maar missen vaak onbekende dreigingen.

5. EDR (Endpoint Detection and Response): Een tool die endpoints (bijv. laptops, servers) monitort op verdachte activiteit. EDR detecteert vaak pas een aanval nadat deze is gestart.

6. SOC-team (Security Operations Center): Een team van security-specialisten dat 24/7 dreigingen monitort en reageert op incidenten.

7. SolarWinds-aanval (2020): Een supply chain-aanval waarbij hackers (vermoedelijk Russisch) gecompromitteerde software-updates gebruikten om toegang te krijgen tot overheids- en bedrijfsnetwerken. De aanval bleef maanden onopgemerkt.

8. APT29 (Cozy Bear): Een Russische staatssponsor die bekendstaat om gerichte aanvallen op overheden en kritieke infrastructuur, vaak met living-off-the-land-technieken.

9. Living-off-the-land-technieken: Om detectie te ontwijken gebruiken aanvallers legitieme tools (bijv. PowerShell, WMI) die al in een netwerk aanwezig zijn. Traditionele beveiliging ziet dit vaak niet als verdacht.

Bronvermelding

• Wikipedia.org: Bangladesh Bank Robbery

• CISA: SolarWinds Compromise

• Techtarget.com: What is Double Extortion Ransomware

• Mandiant: M-Trends 2026 Report

• MITRE ATT&CK: APT29

• US-CERT: Guidance on the North Korean Cyber Threat

• CISA: Cyber Attack on Florida Water Treatment Facility

• Kavadias.net: Silent Intruders – Understanding “Living-off-the-Land” Techniques

• Proactive vs Reactive Cybersecurity

• CounterCraft: Canary Tokens & Honeytokens: From Tripwires to Full Deception Platforms