Alle berichten door op Peter Hickendorff

20 procent werknemers klikt op phishing-mails

Eén op vijf werknemers laat zich tijdens een test vangen door een phishingmail, ongeacht de sector waarin een bedrijf opereert. Wanneer de mails gesofisticeerder worden of inspelen op het karakter van mensen, gaat dat aantal flink de hoogte in.

Werknemers die geconfronteerd worden met een algemene phising-mail, laten zich in 20 procent van de gevallen vangen en klikken op de link. Richt een cybercrimineel zich tot zijn slechtoffer met een geavanceerde spear phishing-aanval, dan loopt dat aantal zelfs op tot 30 procent. Dat blijkt uit de cijfers van Phished, een bedrijf uit het Leuvense dat zich specialiseert in het versturen van valse phishingcampagnes in samenwerking met bedrijven in een poging werknemers alerter te maken voor de gevaren.

Phished merkt op dat de sector waarin een bedrijf actief is of het opleidingsniveau van het doelwit weinig belang heeft. In zowat alle campagnes ligt de klikratio rond de 20 procent. Daarbij merken we wel op dat het onderzoek geen cijfers geeft over het aantal mensen dat ook daadwerkelijk gevoelige gegevens zou kwijtgeven via een phishing-link. Vermoedelijk zullen heel wat mensen nog merken dat er iets niets pluis is na het klikken. In een bedrijfsomgeving die niet up to date is met onvoldoende beveiliging kan een drive by-download er anderzijds al voor zorgen dat het te laat is.

Voor al mails die inspelen op de inherente goedheid van mensen, hebben succes. Het gaat daarbij om emails waarbij iemand om hulp wordt gevraagd. Denk aan een mail die afkomstig lijkt van een collega, waarin die vraagt of een bepaalde pagina voor jou wil laden omdat hij of zij problemen ondervindt. Vier op de tien trapte daar in. Ook berichten met de vraag een factuur te verifiëren, doen het goed met een klikpercentage van 29 procent.

Het onderzoek toont aan dat mensen het kwetsbaarst zijn wanneer ze mails op hun mobiel toestel openen. Tijdens de simulaties klikt 32 procent van de ontvangers dan op een malafide link. Dat komt volgens Phished omdat je op je mobiel toestel minder aandacht besteedt aan de inhoud van een mail.

Bewustmaking en training bieden soelaas. Mensen moeten weten dat hackers bijvoorbeeld mailadressen kunnen spoofen zodat een bericht van een collega of baas afkomstig lijkt. Verder raadt Phished training aan, wat niet toevallig het verdienmodel van het bedrijf is. De organisatie claimt dat een jaar van campagnes het klikpercentage tot één procent doet dalen. Door mensen te confronteren met de phishing-links waar ze verkeerdelijk op geklikt hebben, kweken ze in theorie extra alertheid.

Lees hier verder. © Techzine

Duitser klaagt Amazon aan om sturen data naar VS

Amazon wordt namens een Duitse klant aangeklaagd omdat de webwinkelreus onrechtmatig persoonsgegevens zou hebben opgeslagen en naar de Verenigde Staten heeft verstuurd. Dat is mogelijk in strijd met de Europese privacywetgeving.

De Europäische Gesellschaft für Datenschutz (EuGD), een Duits claimbedrijf voor privacyzaken, stelt dat de bewuste klant nul op het rekest kreeg toen hij van Amazon om informatie vroeg over de omgang met zijn persoonsgegevens.

Volgens de privacywetgeving van de Europese Unie hebben klanten altijd het recht om te weten of hun persoonsgegevens zijn opgeslagen. Als dat inderdaad zo is moeten bedrijven ook aangeven aan wie die gegevens zijn verstrekt en met welk doel.

Privacy Shield

De EuGD denkt in de zaak sterk te staan. Amazon stuurt de in de EU vergaarde data namelijk nog altijd naar de Verenigde Staten met een beroep op de zogeheten Privacy Shield. Dat zijn afspraken tussen de EU en de VS over de onderlinge data-uitwisseling. Het Europees Hof van Justitie oordeelde deze zomer dat de Amerikaanse gegevensbescherming onvoldoende is, dus dat deze regeling ongeldig is. Lees ookEuropees Hof legt bom onder privacydeal EU-VS

Die nietigverklaring vloeit voort uit een andere jarenlange juridische strijd tegen internetreus Facebook. De Oostenrijkse privacyactivist Maximilian Schrems klaagde over de doorgifte van data naar de VS door Facebook, en kreeg daarin gelijk.

© RTL Nieuws

Jij bent de zwakste schakel én de oplossing in cybersecurity

Mensen denken bij cyberveiligheid al snel aan technologie en het uitbuiten van kwetsbaarheden hierin. Het klinkt allemaal ook wel futuristisch: hackers, code, datalekken… Maar wist je dat de mens eigenlijk de zwakste schakel is in informatiebeveiliging? De meest voorkomende tactiek voor cyberaanvallen is het zogenaamde ‘social engineering’.

Wat is social engineering?

Social engineering wordt ook wel social manipulation genoemd. Het is een techniek waarbij cybercriminelen misbruik maken van menselijke eigenschappen als nieuwsgierigheid, vertrouwen, angst en onwetendheid. Door in te spelen op onze menselijkheid en ons gedrag, overtuigen cybercriminelen je relatief makkelijk om vertrouwelijke informatie te delen, toegang te geven tot systemen, schadelijke bestanden te downloaden en veel meer.

Soms is dit makkelijk te doorzien. Je denkt misschien ‘Ik trap niet zomaar in zo’n aanval’, maar een goede hacker is slim en doortastend en kan iedereen voor de gek houden.

Wat voor social engineering methodes zijn er?

Er zijn veel verschillende vormen van social engineering en deze gaan van e-mail- of sms-oplichting tot persoonlijk contact en zelfs fysiek ‘inbreken’ in een organisatie. We lichten een paar voorbeelden uit.

Phishing en smishing

Je ontvangt mail, een URL of (in het geval van smishing) een SMS waarin wordt gevraagd naar vertrouwelijke gegevens. Ook kan er een frauduleuze link in staan die kwaadaardige code bevat of automatisch gegevens verzamelt. Je kent vast wel het voorbeeld van ‘het mailtje van de bank’, dat je vraagt om gegevens door te geven of op een link te klikken.

Phishing is meestal geen gerichte aanval, er wordt een grote groep mensen getarget, hoewel er wel vormen bestaan waarbij een specifieke doelgroep of zelfs persoon wordt aangevallen. Vaak de CEO van een organisatie. Dit heet ‘spear phishing’.

Vishing

Bij vishing, in essentie phishing via de telefoon, wordt meestal ingespeeld op de menselijke behoefte om te willen helpen. Hackers bellen op en doen zich voor als een ander om gegevens te verkrijgen. Geavanceerde cybercriminelen gebruiken zelfs stemvervormers.

Een hacker kan bijvoorbeeld een organisatie bellen om gegevens op te vragen, waarmee ze vervolgens allerlei schade kunnen aanrichten. Dit doen ze met gegevens die met weinig moeite zijn te vinden, vaak via social media. In deze video zie je hoe schokkend makkelijk dit kan gaan.

Tailgating

Soms proberen cybercriminelen zelfs fysiek toegang te krijgen tot een kantoor, waar een schat van informatie ligt. Dit doen ze door simpelweg achter werknemers aan te lopen, vandaar de term tailgating. Eenmaal binnen worden ze gezien als vertrouwd persoon en kunnen ze op zoek gaan naar informatie.

Pretexting

Bij pretexting neemt een cybercrimineel een valse identiteit aan en verzint hij een omstandigheid om het slachtoffer informatie af te troggelen. Hij kan zich bijvoorbeeld voordoen als een werknemer van de IT-afdeling die iets van jou nodig heeft.

Hoe wapen ik me tegen social engineering?

Zoals je ziet, zijn er veel social engineering-methodes en dit zijn alleen nog maar de echt bekende. Cybercriminelen leren wat wel en niet werkt en hebben net als wij toegang tot voortschrijdende technologie. Daarom zijn technieken inmiddels veel gecompliceerder dan de spam-mails van 10 jaar geleden, die vol stonden met spelfouten en duidelijk nep waren.

Het is moeilijk om social engineering te voorkomen. De enige constante factor is de mens en zijn ‘zwaktes’. Daarom zul je overal lezen en horen dat de belangrijkste maatregel het creëren van bewustzijn is. Je ultieme wapen is weten hoe makkelijk het is om te worden opgelicht door een cybercrimineel.

Wil je als organisatie dat je werknemers alert zijn? Investeer in trainingen, campagnes en andere manieren om kennis te vergroten. Wil je jezelf beschermen? Lees je in, weet waar de gevaren zitten en zorg dat je adequaat kunt handelen. Dit kan een double check van emails zijn, het verifiëren van de identiteit van afzenders, opletten op vreemdelingen in je kantoor en kritisch zijn waar je gegevens achterlaat of informatie vrijgeeft.

En wat als je nou onverhoopt wel het slachtoffer wordt van een social engineering aanval? Schaam je dan vooral niet! Het kan iedereen overkomen. Als het bedrijfsmatig gebeurt, zoek dan direct contact met je security team en wees transparant. Hoe meer er bekend wordt over deze vorm van cybercriminaliteit, des te beter we onszelf kunnen beschermen.

Lees hier verder. © Pink

Global Privacy Control verzoekt sites om AVG-rechten gebruikers te respecteren

Verschillende organisaties, waaronder Mozilla, de EFF en DuckDuckGo, zijn een nieuw initiatief gestart waardoor gebruikers aan websites kunnen laten weten dat hun AVG-rechten gerespecteerd moeten worden worden. Global Privacy Control (GPC) is een experimenteel nieuw protocol waarmee gebruikers via de browser een opt-outverzoek naar websites kunnen sturen dat ze niet willen worden gevolgd.

GPC lijkt daarmee op Do Not Track (DNT), waarmee gebruikers ook kunnen aangeven dat ze op geen enkele wijze getrackt willen worden. Het is echter aan websites om hier gehoor te geven en DNT wordt door veel websites gewoon genegeerd. Door privacywetgeving zoals de AVG hebben internetgebruikers nu het recht om zich voor bepaalde vormen van tracking af te melden. GPC moet deze opt-outverzoeken versturen.

Het gaat hier echter om een geheel nieuw voorstel voor een standaard en veel websites ondersteunen het dan ook nog niet. De initiatiefnemers hopen dat GPC uiteindelijk een bindend juridisch verzoek zal zijn voor alle bedrijven in landen met een toepasbare privacywetgeving. GPC wordt onder andere door browserextensie Privacy BadgerBrave-browser en de extensie en browser van DuckDuckGo ondersteund.

Lees hier verder. © Security.nl

6 aandachtspunten voor systeembeheerders nu iedereen thuis werkt

‘Social distancing’ is intussen voor iedereen een bekende term en veel bedrijven hebben hun werknemers toestemming verleend om vanuit huis te werken. Het alternatief is namelijk: het hele bedrijf stilleggen. Maar al dat thuiswerken levert de IT-afdeling wel allerlei hoofdbrekens op. 

Eén daarvan is ‘schaduw-IT’: het gebruik van software of apparaten die niet door de IT-afdeling zijn goedgekeurd of toegestaan. Of je het nu werken op afstand, telewerken of thuiswerken noemt: bedrijven die voor het eerst te maken krijgen met dit fenomeen moeten goed nadenken over schaduw-IT en de potentiële risico’s voor hun bedrijfsvoering en beveiliging. Sommige bedrijven zijn nu voor het eerst aan het experimenteren met thuiswerken en zijn zich niet bewust van de risico’s die dit met zich meebrengt. Zoals bij de meeste bedrijfsprocessen moet er eerst een plan worden gemaakt.

Idealiter zou je als bedrijf in een noodsituatie zoals nu het geval is, werken vanuit huis alleen toestaan als er een gedetailleerd IT-plan is om het risico te minimaliseren. In zo’n plan moeten dan mogelijke problemen en bijbehorende oplossingen staan om risico’s te beperken zonder dat de beveiliging in gevaar komt. Iedereen moet meewerken om bescherming tegen schaduw-IT te kunnen waarborgen. De gebruikte methodes variëren, afhankelijk van de richtlijnen van het bedrijf en of de verbonden apparaten al dan niet bedrijfseigendom zijn. Om de redenering achter bepaalde maatregelen te verduidelijken, hebben we een lijstje met aandachtspunten opgesteld en beschrijven we per situatie een mogelijke oplossing.

Hieronder staan de aandachtspunten in willekeurige volgorde:

1. Informatie delen met gebruikers
Aandachtspunt: Gebruikers weten niet wat hun verantwoordelijkheden zijn op het gebied van beveiliging.
2. Gegevensbeheer
Aandachtspunt: Delen van gegevens buiten het bedrijfsnetwerk.
3. Niveau van monitoring
Aandachtspunt: IT heeft geen beheerderscontrole over apparaten.
4. Softwarelicenties
Aandachtspunt: Het aantal softwarelicenties komt niet overeen met het aantal gebruikers dat de software heeft geïnstalleerd.
5. Toestemmingen & beperkingen
Aandachtspunt: Gebruikers maken ondanks de waarschuwingen actief gebruik van niet-goedgekeurde software en diensten.
6. Softwarebron (repository)

Lees hier verder. © AGConnect