Archief op 2021-03-29

Back-ups zijn de jackpot voor cybercriminelen!

Eenendertig maart is het World Back-up Day. Tijdens dit onafhankelijke initiatief proberen tal van bedrijven en organisaties mensen te herinneren hoe belangrijk een back-up is. Want wat doe je als de data op je server is verdwenen door bijvoorbeeld een cyberaanval? Het kan immers serieuze gevolgen hebben voor de continuïteit van je bedrijf als data verdwenen is. Zeker nu steeds meer bedrijven data omarmen als het nieuwe goud, fungeert een goede back-up als een soort kluis voor de data die je niet wilt kwijtraken.

Hoe maak je een goede back-up?

Ondanks dat veel bedrijven wel een back-up maken, gebeurt dit niet altijd op de goede manier waardoor data toch nog verloren gaat bij een ‘succesvolle’ cyberaanval. De meeste organisaties hebben een bepaalde routine ingebouwd in hun back-up proces. Hoewel dit natuurlijk handig en snel is, kan het voorkomen dat in deze ‘routine’ fouten sluipen. Organisaties komen hier vaak achter als ze de back-up nodig hebben, maar dan is het vaak al te laat. Het is daarom belangrijk om altijd te testen of de back-up ook daadwerkelijk werkt.

Een ander veelvoorkomende fout is dat organisaties maar één back-up maken. Dit is risicovol omdat cybercriminelen soms ook de back-up versleutelen bij een ransomware aanval. Dit gebeurde bijvoorbeeld ook bij de bekende ransomware aanval die zich richtte op de Universiteit Maastricht. Doordat criminelen zowel de primaire databron als de back-up hadden versleuteld, waren systeembronnen wekenlang niet beschikbaar. Het is daarom verstandig dat organisaties altijd de 3-2-1 regel toepassen. Deze regel houdt in dat je altijd een back-up maakt op twee verschillende opslagmedia en daarnaast één kopie op een externe fysieke locatie bewaard. Je moet een back-up nooit op dezelfde schijf zetten als waar je de back-up van maakt. Maak daarnaast regelmatig offline back-ups, want gekoppelde back-ups kunnen ook ten prooi vallen. Door de externe harddisk na de back-up los te koppelen van de computer krijgt eventuele malware geen kans om de back-up te infecteren.

Indien je gebruik maakt van een back-up server, is het belangrijk om te controleren hoe je back-up systeem bestanden schrijft op de harde schijf. De slechtst mogelijke plaats om je back-upgegevens op te slaan is bijvoorbeeld E: \ back-ups. Cybercriminelen zoeken vaak naar specifieke mappen waar de back-ups te vinden zijn. Zorg er daarom voor dat ze niet toegankelijk zijn via het bestandssysteem. Ransomware richt zich specifiek op mappen met dergelijke namen en kunnen zo je back-ups versleutelen. Dit betekent dat je een manier moet bedenken om back-ups op te slaan, zodat het besturingssysteem die back-ups niet als bestanden ziet. De meeste back-up oplossingen beschikken over opties om dit te realiseren.

Voorkomen is beter dan genezen

Toch is voorkomen nog altijd beter dan genezen. Ten eerste is het cruciaal dat iedere medewerker bewust is van de risico’s. Op deze manier zullen medewerkers zich eerder aanpassen ten behoeve van de cyberveiligheid. Iedereen binnen de organisatie moet op de hoogte zijn van de risico’s. Vaak sturen bedrijven medewerkers naar een cursus of workshop, maar dat is niet genoeg om échte cyberbewustwording te creëren. Om échte cyberbewustwording te creëren moet cybersecurity een alledaags onderdeel van het bedrijf zijn. Iedere medewerker moet bewust zijn van de risico’s en zijn gedrag willen aanpassen ten behoeve van de cyberveiligheid. Een Security Awareness Training kan hierbij helpen. De kracht van herhaling is hierbij cruciaal. Door steeds opnieuw aandacht te besteden aan het gewenste gedrag blijft het onderwerp top-of-mind en wordt er gewerkt aan een positieve beveiligingscultuur.

Zorg daarnaast voor de juiste mix van beveiligingsoplossingen en wees er zeker van dat al je apparaten volledig geüpdatet en gepatched zijn. Moderne security oplossingen werken met intelligente mechanismen zoals heuristiek, gedragsanalyse en een exploitbeveiliging. Op deze manier krijgen nieuwe malware en zero-day exploits geen kans. Verwijder daarnaast ook altijd de software die niet meer wordt gebruikt. Dergelijke software wordt meestal ook niet geüpdatet, waardoor er kwetsbaarheden kunnen ontstaan. Monitor daarnaast het netwerk regelmatig, weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen.

Kortom, maak het cybercriminelen niet gemakkelijk om je back-ups te versleutelen. Voor de meeste cybercriminelen zijn back-ups immers de jackpot, omdat ze weten dat het een laatste redmiddel kan zijn voor organisaties. Test daarom regelmatig je back-ups, maak ze op de juiste manier en probeer vooral cyberaanvallen te voorkomen. Hoewel organisaties nooit 100 procent veilig zullen zijn voor cyberaanvallen, kunnen ze wel de risico’s verminderen door rekening te houden met zowel het menselijke als het technische aspect van security.

© WInMagPro

Verzekeren tegen hackers steeds moeilijker voor bedrijven

Bedrijven moeten steeds meer moeite doen om zich te verzekeren tegen cyberaanvallen. Verzekeraars trekken zich terug en is het niet meer vanzelfsprekend dat bedrijven überhaupt een verzekering kunnen krijgen.

Bedrijven zijn zo vaak doelwit van hackers, dat het voor verzekeraars minder interessant of rendabel wordt om zogenoemde cyberpolissen te verkopen. Dat blijkt uit een rondgang van RTL Z.

Meer aanvallen

Er zijn steeds meer aanvallen met gijzelsoftware en de kosten worden hoger en hoger. Herverzekeraars worden daarom kritischer en verzekeraars ook. Niet elk groot bedrijf kan zomaar even een verzekeringetje afsluiten. En als er verzekerd wordt, kan de premie fors hoger uitvallen dan vorig jaar.

“Het eigen risico moet omhoog, de premie stijgt gemiddeld met 30 tot 50 procent en er worden extra eisen gesteld aan bedrijven die een verzekering willen afsluiten”, zegt Yasin Chalabi, manager cyber en datarisk bij Hiscox, de grootste cyberverzekeraar voor bedrijven in Nederland. 

De schade na een succesvolle aanval met gijzelsoftware is zelfs zo hoog, dat Hiscox dit jaar liever geen cyberverzekering verkoopt aan bedrijven met een jaaromzet van meer dan 100 miljoen euro. “We blijven in alle sectoren verzekeren, maar de heel grote bedrijven liever niet. In 99 procent van de gevallen gaan we die dit jaar niet verzekeren”, zegt Chalabi. 

Lees hier verder. © RTL Nieuws

250.000 WordPress-sites kwetsbaar door kritiek lek in Facebookplug-in

Zo’n 250.000 WordPress-sites zijn kwetsbaar voor aanvallen door een beveiligingslek in de plug-in “Facebook for WordPress”. Deze plug-in stond eerder nog bekend als Official Facebook Pixel en installeert de Facebook-pixel op WordPress-sites. Beheerders kunnen door middel van de pixel acties van hun bezoekers op de website volgen.

Onderzoekers van securitybedrijf Wordfence ontdekten dat het mogelijk is voor een aanvaller om een PHP-object naar de pixel-console te sturen waarmee bepaalde acties zijn uit te voeren. Eén van deze acties betreft het uploaden van willekeurige bestanden waardoor remote code execution mogelijk wordt.

Om de aanval uit te voeren moet een aanvaller wel toegang tot de salts en keys van de website hebben. Deze informatie gebruikt WordPress voor het beveiligen van informatie in de cookies die worden gebruikt om gebruikers in te loggen. Het verkrijgen van deze informatie zou kunnen door middel van SQL-injection, path traversal of een publiek toegankelijke back-up van het bestand wp-config.php. Het beveiligingslek is op een schaal van 1 tot en met 10 wat betreft de impact met een 9 beoordeeld.

De ontwikkelaars van de plug-in werden op 22 december over de kwetsbaarheid ingelicht. Op 6 januari werd het probleem met de lancering van plug-inversie 3.0.0 verholpen. Facebook for WordPress wordt door meer dan 500.000 websites gebruikt. Volgens cijfers van WordPress draait bijna de helft van deze websites een kwetsbare versie van de plug-in. Beheerders wordt dan ook opgeroepen om de laatste versie van de plug-in te installeren.

Daarnaast ontdekte Wordfence ook nog een tweede kwetsbaarheid met een impactscore van 8,8. Via dit beveiligingslek is het mogelijk om malafide JavaScript te injecteren als een aanvaller een beheerder zover weet te krijgen om op een malafide link te klikken. Dit beveiligingslek is aanwezig in versie 3.0 tot en met 3.3 van de plug-in en is verholpen in versie 3.0.4. Hoeveel websites door dit beveiligingslek risico lopen is niet via de WordPress-statistieken te achterhalen.

Lees hier verder. © Security.nl

Technologiebedrijf Honeywell getroffen door malware-aanval

Technologiebedrijf Honeywell is onlangs getroffen door een malware-aanval wat gevolgen voor verschillende it-systemen had. De impact van de verstoring is niet bekendgemaakt, maar volgens Honeywell zal die geen wezenlijke gevolgen voor het bedrijf hebben.

“We hebben direct stappen genomen om het incident op te lossen, waaronder het samenwerken met Microsoft om de situatie te verhelpen”, aldus Honeywell. Het bedrijf zegt de manier waarop de aanvallers binnenkwamen te hebben gevonden en alle ongeautoriseerde toegang te hebben ingetrokken. Specifieke details over de aanval zijn niet bekendgemaakt.

Honeywell heeft vooralsnog geen bewijs gevonden dat de aanvaller data van de primaire systemen, waarop klantgegevens staan, heeft gestolen. Mocht toch blijken dat er gegevens zijn buitgemaakt zal het bedrijf getroffen klanten waarschuwen. Het bedrijf meldt verder dat de systemen sinds ontdekking van het incident zijn beveiligd en de dienstverlening is hersteld. Honeywell is een Fortune 100-bedrijf en had vorig jaar een omzet van 32,6 miljard.

Lees hier verder. © Security.nl

Dark patterns: zo word je online verleid (of misleid) om iets te doen wat je anders niet had gedaan

Via ‘dark patterns’ proberen websites en apps je een handeling uit te laten voeren die je anders niet had gedaan. Denk aan het accepteren van cookies, of wanneer je een product bestelt omdat het in de aanbieding is. Hoe werken deze dark patterns precies? Hoe kun je ze herkennen? En waar ligt de grens tussen verleiding en misleiding?

‘Dark patterns zijn technieken, toegepast op websites en apps, die als doel hebben om jou dingen te laten doen die je eigenlijk niet van plan was om te doen’, zegt tech- en internetexpert Danny Mekić. Het gaat erom dat er opzettelijk ontwerpen, woorden en kleuren worden gebruikt om bepaald gedrag te stimuleren en uit te lokken. Met vaak een commercieel doel. 

Dark patterns zijn overal 

Dark patterns worden over het hele internet gebruikt, onder andere voor de volgende dingen:

  • om je te verleiden tot een aankoop. 
  • om je ergens op te laten klikken. 
  • om je een advertentie voor te schotelen terwijl niet duidelijk is dat het om een advertentie gaat.
  • om je ergens voor aan te melden of om het moeilijk te maken om je ergens voor af te melden.
  • om je meer (persoons)gegevens te laten opgeven dan je normaal zou doen.

En zo zijn er nog een hoop andere manieren, waarbij de essentie ligt in het feit dat je iets doet wat je zonder het dark pattern misschien niet had gedaan. Wat overigens niet per definitie iets slechts hoeft te zijn, het kan namelijk ook best positief voor je uitpakken (of in ieder geval niet negatief). ‘Misschien doe je door een dark pattern wel een aankoop waar je gewoon tevreden mee bent.

Meest bekende voorbeeld: cookies

Iedereen is wel bekend met de opties voor cookievoorkeuren die websites nu verplicht aan je voor moeten leggen. ‘Er worden technieken gebruikt om de kans groter te maken dat jij de cookies accepteert’, zegt Mekić. 

Als jij zo’n cookiescherm te zien krijgt, staat er waarschijnlijk een grote button met ‘Ja’ om de cookies te accepteren. Terwijl er meestal niet een even grote knop met ‘Nee’ is. Als je de cookies niet wilt accepteren, moet je vaak alle verschillende cookies handmatig uitvinken. ‘Hier zie je dat het ontwerp zo gemaakt is om je compleet te ontmoedigen om iets anders te doen dan de cookies te accepteren.’ 

Een andere toepassing van een dark pattern bij cookies is zogenaamde confirm shaming, waarbij een negatief gevolg wordt gepresenteerd als je een bepaalde actie uitvoert. Er wordt dan bijvoorbeeld gesteld dat de functionaliteit en de gebruiksvriendelijkheid van de website achteruitgaat als je bepaalde cookies niet accepteert.

In een ander artikel gaat Opgelicht?! uitgebreider in op hoe websites je verleiden om de cookies te accepteren

Webshops verleiden je tot aankoop

Online winkels maken ook veelvuldig gebruik van dark patterns. Denk aan een aanbieding die nog maar enkele minuten geldig is, waardoor je in de verleiding komt om snel het product aan te schaffen. Misschien had je dit product helemaal niet gekocht als je niet de druk voelde van het aflopen van de korting. 

Een ander voorbeeld is wanneer je een extra product koopt omdat het in de aanbieding is, terwijl je er eigenlijk maar één nodig had. 

Op de website van Radar vind je meer concrete voorbeelden van dark patterns.

Wanneer wordt dit misleiding?

Dark patterns zijn in bovenstaande gevallen eigenlijk gewoon marketingtechnieken, waarbij bedrijven met slimmigheidjes proberen jou als consument tot bijvoorbeeld een aankoop te verleiden. ‘Over het algemeen zie je ook niet dat dark patterns de kant van keiharde misleiding op gaan. Het meeste is milder en dus niet illegaal of iets dergelijks’, zegt Mekić. ‘Als je verleid wordt om een tweede pak wasmiddel te kopen, is er eigenlijk niet veel aan de hand.’ 

Maar er zijn wel voorbeelden te bedenken wanneer dark patterns problematisch en misleidend worden. Denk bijvoorbeeld aan malafide webshops die reviews fabriceren, om je zo te laten denken dat je met een betrouwbare webwinkel te maken hebt. Of als een aanbieding veel langer geldig is dan wat de aflopende klok je laat geloven. 

Wat kun je zelf doen?

De enige tip van Mekic is om je gewoon bewust te zijn van het bestaan van dark patterns.  ‘Ga er gewoon eens een keer op letten. Bijvoorbeeld bij de cookies, dat je er even op let hoe makkelijk je het kunt accepteren en hoe moeilijk het is om de cookies te weigeren.’ Als je weet dat de dark patterns bestaan, gaan ze je ook opvallen. En dan koop je misschien niet dat ene product omdat het nog maar vijf minuten in de aanbieding is. 

Als je echt het idee hebt dat je bent misleid, kun je hiervan een melding doen bij de ACM

© Opgelicht

© MeT-Groep