Vijf manieren waarop hackers toegang krijgen tot je telefoon

Vijf manieren waarop aanvallers toegang krijgen tot de hoes van je telefoon

De meeste beveiligingsincidenten op mobiele apparaten beginnen niet met een geavanceerde inbraak in een goed beveiligd systeem. Ze beginnen met een bericht, een app of een netwerkverbinding die er normaal uitzag. Het toegangspunt is bijna altijd onopvallend, en dat is precies wat het zo effectief maakt. Inzicht krijgen in hoe aanvallen daadwerkelijk plaatsvinden, is de eerste stap naar het opzetten van een beveiligingsarchitectuur die hierop inspeelt. Hieronder staan de vijf meest voorkomende aanvalsvectoren, en hoe een concrete reactie daarop eruitziet.

1. Phishing en smishing

Het meest voorkomende toegangspunt tot mobiele apparaten, en het punt dat door aanvallers het meest doelbewust is geoptimaliseerd: volgens het Global Mobile Threat Report 2024 van Zimperium. De redenen hiervoor zijn structureel: mobiele schermen geven minder context weer dan desktopbrowsers, volledige URL's worden standaard verborgen en gebruikers zijn gewend om snel te reageren. Een pagina die inloggegevens probeert te stelen en die op een desktop duidelijk verdacht zou overkomen, is veel overtuigender op een 6-inch scherm wanneer de gebruiker onder tijdsdruk staat.

De omvang is aanzienlijk: in 2024 was 26% van de iOS-apparaten van bedrijven het doelwit van phishingaanvallen, meer dan het dubbele van het percentage dat bij Android werd waargenomen, volgens het jaarlijkse rapport over het dreigingslandschap van Lookout. De reden dat iOS onevenredig vaak het doelwit is, is niet dat het minder veilig is, maar dat het in het bedrijfsleven dominant is, waardoor het een doelwit met een hogere waarde vormt.

2. Kwaadaardige applicaties

Apps die legitiem lijken, maar buitensporige machtigingen vragen en op de achtergrond gegevens wegsluizen. Lookout heeft alleen al in 2024 427.000 schadelijke apps op bedrijfsapparaten gedetecteerd, waarvan het merendeel als trojans werd aangemerkt, gevolgd door surveillanceware en adware. Veel van deze apps komen binnen via app-winkels van derden of worden via sideloading op apparaten geïnstalleerd waarop configuratiebeleid niet is afgedwongen. Zonder een whitelist voor applicaties is er geen mechanisme om te voorkomen dat ze worden uitgevoerd zodra ze zijn geïnstalleerd.

Het risico wordt nog vergroot door het feit dat veel medewerkers persoonlijke apps op hun werkapparaten installeren of vanaf hun persoonlijke apparaten toegang krijgen tot bedrijfsbronnen, zonder dat het beveiligingsteam hiervan op de hoogte is.

3. Netwerkgebaseerde aanvallen

Een apparaat dat op kantoor verbinding maakt met een bedrijfs-VPN, kan de rest van de dag gebruikmaken van openbare wifi-netwerken, hotelnetwerken en mobiele dataverbindingen, die elk verschillende beveiligingskenmerken hebben en allemaal vatbaar zijn voor onderschepping of manipulatie. De traditionele netwerkperimeter van een bedrijf vormde een zinvolle grens zolang apparaten zich daarbinnen bevonden. Die situatie geldt niet langer voor organisaties die werken met mobiele apparaten, telewerkers of clouddiensten. Aanvallers maken hier misbruik van door zich tussen het apparaat en het netwerk te plaatsen, verkeer te onderscheppen, schadelijke inhoud te injecteren of inloggegevens te verzamelen via onversleutelde verbindingen.

4. Zero-click-exploits

Dit is de ernstigste categorie, omdat er geen enkele actie van het doelwit wordt vereist. Van tools zoals Pegasus is bevestigd dat ze volledig bijgewerkte apparaten kunnen compromitteren zonder enige interactie van de gebruiker, via kwetsbaarheden in iMessage, HomeKit en andere systeemcomponenten. Deze aanvallen zijn gedocumenteerd op de apparaten van diplomaten, journalisten, advocaten en overheidsfunctionarissen in heel Europa. Je kunt iemand niet leren een aanval te vermijden die nooit naar hem of haar is gestuurd, en standaard beveiligingstools voor eindpunten detecteren deze aanvallen niet op het moment van binnendringen. Dit is geen theoretisch risico dat voorbehouden is aan hoogwaardige doelwitten. Sinds 2011 hebben 74 regeringen commerciële spyware ingekocht. De doelwitten reiken inmiddels veel verder dan alleen staatshoofden.

5. Verkeerde configuratie van het apparaat

Niet elk beveiligingslek vereist een geavanceerde aanvaller of een nieuwe exploit. Apparaten zonder versleuteling, zonder afgedwongen beleidsregels voor het vergrendelingsscherm, zonder de mogelijkheid om gegevens op afstand te wissen, of waarbij de ontwikkelaarsinstellingen zijn ingeschakeld, zijn structureel kwetsbaar voor iedereen die fysieke toegang krijgt of verbinding maakt met hetzelfde netwerk. Uit onderzoek van Lookout blijkt keer op keer dat verouderde besturingssystemen en ontbrekende apparaatvergrendelingen tot de meest voorkomende configuraties op bedrijfsapparaten behoren, en tot de gemakkelijkste om te misbruiken. Verkeerde configuratie is grotendeels een probleem van beleidshandhaving. De maatregelen zijn er wel. Ze worden alleen niet consequent toegepast.

Hoe een effectieve reactie eruitziet

Voor elk van deze toegangspunten is er een specifieke beveiligingsmaatregel die hierop inspeelt. Endpoint-beveiliging pakt phishing, smishing en kwaadaardige apps aan voordat ze succes boeken. Apparaatbeheer zorgt ervoor dat configuratiebeleid consistent wordt toegepast binnen het gehele apparaatpark, inclusief versleuteling, VPN-afdwinging, het toestaan van specifieke applicaties en het op afstand wissen van gegevens, in plaats van dit slechts als aanbevelingen te laten staan. Een Zero Trust-benadering van netwerktoegang behandelt elke verbinding als potentieel vijandig, ongeacht de locatie; dit is de enige logische aanpak nu de perimeter in feite niet meer bestaat.

Voor organisaties die in omgevingen met een hoger risiconiveau actief zijn, waaronder kritieke infrastructuur, overheidsinstanties, defensiegerelateerde functies en het uitvoerend management, moet de architectuur verder gaan. Beveiligde besturingssystemen, domeinscheiding tussen zakelijk en privégebruik en gecertificeerde versleuteling op communicatieniveau zijn voor deze omgevingen geen optionele extra’s, maar vormen slechts de basis.

NIS2, dat in oktober 2024 in Nederlandse wetgeving is omgezet, heeft communicatiemiddelen expliciet onder het toezicht van de audit gebracht voor achttien kritieke sectoren. Mobiele apparaten vallen niet langer buiten het toepassingsgebied van de regelgeving, en organisaties die ze wel als zodanig behandelen, lopen zowel een veiligheidsrisico als een regelgevingsrisico.