Hoe misbruiken cybercriminelen corona, en wat kan je ertegen doen?

Frank van der G...
Een van de meest favoriete activiteiten van thuiswerkers is berichten zoeken over het coronavirus. Nieuwsupdates die gerelateerd zijn aan virus scoren erg goed op nieuwssites. Dat is logisch, want we willen allemaal precies weten waar het heen gaat met de wereld. Deze trend is niet onopgemerkt voorbijgegaan aan cybercriminelen. Door middel van social engineering-trucs, via e-mail, sms-berichten en telefoontjes, proberen ze bijvoorbeeld naar nieuwssites te lokken en geld of persoonsgegevens buit te maken.

Cybercriminelen volgen graag de weg van de minste weerstand. Ze hacken als het ware de psyche van hun slachtoffers. Ze maken gebruik van publiek toegankelijke informatie (sociale media) en ogenschijnlijk onschuldige interacties om slachtofferprofielen samen te stellen. Cybercriminelen zijn bijzonder bedreven in de kunst van vermomming, manipulatie en beïnvloeding. Ze bedenken slimme listen om hun doelwit ertoe te bewegen om gevoelige informatie prijs te geven of hen toegang te verlenen tot netwerken en/of fysieke bedrijfsfaciliteiten. Scammers doen zich bijvoorbeeld voor als lid van bonafide organisaties zoals het RIVM of de Wereldgezondheidsorganisatie. Ze mailen informatie over het cornonavirus met kwaadaardige bijlagen en links naar sites met malware, of proberen telefonisch gevoelige informatie te vergaren.

Social engineering-tactieken

Inzicht krijgen in de hoe cybercriminelen te werk gaan helpt bij het weerbaar maken van jou en je collega’s. Hier volgen een paar voorbeelden van social engineering-aanvallen.

Digitale aanvallen

  • Pretexting – Hierbij maken aanvallers gebruik van valse voorwendels. Ze weten zich op bijzonder geloofwaardige wijze voor te doen als een lid van een organisatie die zogenaamd informatie van het slachtoffer nodig heeft om diens identiteit te kunnen bevestigen.
     
  • WaterHoling – Bij deze aanvalsstrategie verzamelen cybercriminelen informatie over een specifieke groep personen binnen een bepaalde organisatie, sector of regio. Ze gaan na welke websites zij vaak bezoeken, en gaan vervolgens op zoek naar kwetsbaarheden in deze websites om die met malware te besmetten. Vroeg of laat zullen leden van de doelgroep die websites bezoeken en een malware-infectie oplopen.
     
  • Phishing/spearphishing – Deze e-mailaanvallen richten zich op respectievelijk het voltallige personeel of een specifieke persoon of functie binnen de organisatie. Het doel is om de ontvanger van het e-mailbericht aan te zetten om op een kwaadaardige link of bijlage te klikken of aanmeldingsgegevens of andere persoonlijke informatie te verstrekken.
     
  • Misleiding via social media – Cybercriminelen gebruiken nepprofielen op social media om hun slachtoffers te bevrienden. Ze doen zich voor als huidige of voormalige collega, recruiter of iemand met dezelfde interesses. Met name LinkedIn is populair bij cybercriminelen. Hun doel is om slachtoffers ertoe te bewegen om gevoelige informatie prijs te geven of malware naar hun computer of mobiele apparaat te downloaden.

Telefonische aanvallen

  • Smishing – Dit is een aanval via sms-berichten waarbij cybercriminelen zich als bonafide afzender voordoen. Het doel is om het slachtoffer ertoe te bewegen om malware naar hun mobiele apparaat te downloaden.
     
  • Vishing – Bij deze aanval bellen cybercriminelen een mobiel telefoonnummer en geven ze zich uit voor een medewerker van een bank of andere instelling. Ze proberen hun doelwit daarmee over te halen om gevoelige informatie zoals creditcardgegevens of hun burgerservicenummer prijs te geven. Vishers maken vaak gebruik van een tactiek die ‘caller ID spoofing’ wordt genoemd. Daarmee kunnen ze telefoontjes genereren die van legitieme/lokale nummers afkomstig lijken te zijn.

Zelfs de meest geavanceerde technologie kan niet altijd voldoende bescherming bieden tegen de onophoudelijke stroom van cyberaanvallen. Vooral aanvallen die gebruikmaken van social engineering-technieken vormen een probleem. 95% van alle beveiligingsincidenten is namelijk het gevolg van menselijke fouten. Daarom is het van cruciaal belang om ervoor te zorgen dat jij en je collega’s de eerste verdedigingslinie vormen. En dat vraagt bijvoorbeeld om security awareness trainingen.

Simpele maatregelen voor verbeterde bescherming van zakelijke en persoonsgegevens

  • Wees op je hoede voor elk e-mail- of sms-bericht dat om gevoelige informatie of financiële transacties vraagt.
  • Plaats de muisaanwijzer op alle hyperlinks alvorens erop te klikken om te zien of ze naar bonafide websites verwijzen.
  • Maak gebruik van multi-factorauthenticatie om veilige toegang tot gevoelige systemen en databases te waarborgen.
  • Zorg ervoor dat je browser, mobiele apparaten en computersystemen met de laatste beveiligingsupdates zijn bijgewerkt.
  • Gebruik nooit hetzelfde wachtwoord voor meerdere accounts en apparaten. Unieke, complexe wachtwoorden zijn een eerste vereiste voor het bieden van bescherming tegen cyberbedreigingen.

De afgelopen weken hebben we allemaal braaf 1,5 afstand van elkaar gehouden. We zouden cybercriminelen op dezelfde manier op afstand moeten houden. Dat is mogelijk door op je hoede te zijn voor verdachte verzoeken en contactpogingen van onbekenden. Op die manier kun je informatie, het bedrijfsnetwerk en je gezondheid beschermen.

afbeelding van Frank van der Gaarden

Frank van der Gaarden | Channel Manager bij Fortinet Nederland

Bekijk alle artikelen van Frank