Wanneer je denkt aan de grootste diefstallen uit de geschiedenis, denk je misschien aan de grote treinroof (1963), waar bijna 3 miljoen Britse pond werd buitgemaakt – een bedrag dat tegenwoordig gelijk zou staan aan zo’n 70 miljoen euro. Of aan de Antwerpse diamantenroof (2003), waar dieven voor meer dan 100 miljoen euro aan sieraden stalen. Toch vallen deze bedragen in het niet in vergelijking met het bedrag dat hackers hebben buitgemaakt bij een hack van het online spelletje Axie Infinity: 625 miljoen dollar(!). Ik durf echter te wedden dat de meeste mensen nog nooit eerder van dit incident gehoord hebben, ondanks het feit dat er (zo ver we weten) nooit eerder zo’n groot bedrag bij één diefstal is gestolen. In deze blog zal ik uitleggen hoe het kan dat er bij een spelletje zo veel geld kon worden buitgemaakt, hoe de hackers dit voor elkaar hebben gekregen en belangrijker: welke lessen jij eruit kan halen om je organisatie veilig te houden.
Allereerst is het belangrijk om even toe te lichten wat voor spelletje Axie Infinity precies is. In de game kunnen mensen zogenaamde ‘Axies’ – karakters gebaseerd op de diertjes axolotls – verzamelen en met elkaar laten strijden. Deze Axies kunnen vervolgens gekocht en weer doorverkocht worden voor echt geld, door middel van de cryptocurrency Ethereum. De game werd razend populair, vooral in Azië, waardoor er al snel dagelijks voor tientallen miljoenen euro’s in Axies werd gehandeld via het platform.
Door de enorme bedragen die omgingen in Axie Infinity, werd Sky Mavis – het bedrijf achter het spelletje – al snel een aantrekkelijk doelwit voor hackers. Een van de criminele organisaties die het op Sky Mavis gemunt had, was de Noord-Koreaanse hackersgroep Lazarus. Deze criminelen stuurden medewerkers van Sky Mavis een zogenaamde vacature door. Voor deze zogenaamde nieuwe functie zouden de medewerkers aanzienlijk meer verdienen dan bij Sky Mavis, wat het extra verleidelijk maakte om op het aanbod in te gaan. Eén medewerker besloot te solliciteren en werd vervolgens daadwerkelijk meerdere rondes geïnterviewd door de criminelen, die zich voordeden als medewerkers van het bedrijf. Dit allemaal om vertrouwen te wekken en te voorkomen dat de medewerker argwaan zou krijgen. Wanneer hij dus een PDF-bestand kreeg toegestuurd met extra informatie over zijn ‘nieuwe baan’, dacht hij geen twee keer na voordat hij het downloadde. Dit bestand bevatte echter complexe malware die de hackers toegang gaven tot de systemen van Sky Mavis.
Sky Mavis had overigens een extra veiligheidsmaatregel: van de negen validators – tools die nodig zijn om een transactie of uitbetaling van cryptocurrency uit te voeren – werden er maar vier door Sky Mavis zelf beheerd, de andere vijf door externe partners. Aangezien je een meerderheid van deze validators nodig had om uitbetalingen te doen, zou toegang tot de systemen van Sky Mavis nog steeds niet de controle over de benodigde vijf validators geven. Er was echter één cruciale fout over het hoofd gezien: Sky Mavis had eerder dat jaar tijdelijk toegang gekregen tot een van de externe validators, maar was vergeten om deze inloggegevens uit hun systemen te verwijderen. Zo kregen de hackers alsnog toegang tot deze vijfde en cruciale validator, waardoor ze totale controle over de transacties van Axie Inifnity kregen. In een kwestie van minuten stalen ze vervolgens het ongelooflijke bedrag van $625.000.000.
Ook interessant: wil je meer weten over deze hack, of over hoe Noord-Koreaanse hackers opereren? Lees dan het boek The Lazarus Heist van Geoff White.
Hoewel de kans waarschijnlijk klein is dat hackers bij jouw organisatie een vergelijkbaar bedrag buit kunnen maken, zijn er wel een aantal universele waarschuwingssignalen en lessen die we uit deze case study kunnen leren. Het is dus belangrijk dat jij en jouw medewerkers zich hier bewust van zijn, om een vergelijkbaar incident te voorkomen.
Hackers gebruiken tegenwoordig steeds geavanceerdere technieken om mensen te misleiden om zo toegang tot hun gegevens of systemen te krijgen. Het voorbeeld van de neppe vacature is extra venijnig om een aantal redenen:
Ook jouw organisatie of medewerkers kunnen slachtoffer worden van een vergelijkbare aanval. Het is dus belangrijk dat zij hier bekend mee zijn. Lijkt iets te mooi om waar te zijn, moeten ze iets doen en vervolgens geheimhouden of worden ze gevraagd een verdachte bijlage te openen? Grote kans dat je te maken hebt met een social enigineering aanval. Zorg er dus voor dat iedereen deze waarschuwingssignalen herkent en weet waar het te melden.
Naast de geavanceerde phishingaanval, laat het voorbeeld van de validators zien dat menselijke fouten altijd op de loer liggen. Het systeem was technisch zeer veilig ingericht, wat het nagenoeg onmogelijk zou moeten maken om het te infiltreren en zo toegang te krijgen tot alle transacties en uitbetalingen. Toch was een simpele fout – de inloggegevens niet verwijderen nadat ze gebruikt waren – genoeg om alle veiligheidsmaatregelen teniet te doen.
Waar mensen werken, worden nou eenmaal fouten gemaakt. Daarom is het belangrijk om alle processen zo veilig mogelijk in te richten en medewerkers regelmatig te trainen op de best practices op het gebied van security. Zo zullen mensen minder snel fouten maken, maar belangrijker: zo zullen fouten eerder aan het licht komen en mogelijk nog hersteld kunnen worden.