Telkens weer blijkt dat ondoordacht handelen, of onveilige gewoonten van medewerkers een substantieel veiligheidsrisico vormen voor organisaties. Natuurlijk, goede beveiligingsmaatregelen kunnen de risico’s effectief terugdringen. Tijdige systeemupdates verhelpen daarnaast gevaarlijke kwetsbaarheden. Maar als mensen zonder na te denken klikken op links of bijlagen in een e-mail. Of als ze hun wachtwoord op een post-it aan het scherm plakken, dan helpen ook de meest geavanceerde technische middelen niet. Vergelijk het even met een huis! Je kan de duurste sloten en beveiligingssystemen installeren, maar als je vergeet de voordeur af te sluiten is de inbreker toch zo binnen.
Steeds blijkt dat menselijke fouten belangrijke oorzaken zijn van beveiligingsincidenten bij organisaties. Natuurlijk kan je de medewerkers daarop aanspreken en duidelijk maken dat ze voorzichtiger moeten zijn. Maar we moeten ons realiseren dat de cybercriminelen steeds slimmer worden in het om de tuin leiden van hun slachtoffers. De tijden dat je een nepmail vrij makkelijk kon herkennen aan taalfouten en slecht geformuleerde zinnen, zijn voorbij. Criminelen steken veel tijd en moeite in het opstellen van e-mails die niet of nauwelijks van echt zijn te onderscheiden.
Social engineering
Tegelijkertijd zien we dat er ook steeds meer aandacht wordt besteed aan de daadwerkelijke inhoud van deze mails. Criminelen doen via Facebook, Twitter, Instagram, etc., onderzoek naar hun potentiële slachtoffers. Zo kunnen ze berichten opstellen waarin bijvoorbeeld wordt gerefereerd aan professionele of persoonlijke interesses. Allemaal om de ontvanger ervan te overtuigen dat de afzender is wie hij beweert te zijn. Zo wekt hij het vertrouwen. De kans dat het slachtoffer op een link klikt of een bijlage opent, is dan veel groter.
Een mail van de ‘CEO’
Er worden ook minder aanvallen uitgevoerd via massale e-mailcampagnes. Het zijn steeds vaker zeer doelgerichte aanvallen: spearphishing. Deze mails bevatten ook niet altijd besmette bijlagen of links naar malware. Bij de meest gewiekste pogingen gaat het erom het beoogde slachtoffer zover te krijgen dat hij of zij bijvoorbeeld de inloggegevens voor het bedrijfsnetwerk of voor bedrijfstoepassingen verstrekt. Daarnaast zien we ook steeds meer pogingen tot ‘CEO-fraude’. Daarbij ontvangt het slachtoffer – meestal iemand op de financiële administratie – een e-mail van de ‘CEO’ of ‘directeur’. Daarin wordt gevraagd om met spoed een flink geldbedrag over te maken op een rekening, in verband met een belangrijke businessdeal. Vaak gaat het dan om een ‘vertrouwelijke transactie’ en wordt de ontvanger daarbij persoonlijk aangesproken (‘Ik reken op u!’). Dit streelt het ego van het slachtoffer. Die krijgt het idee dat de directeur juist hem of haar heeft gekozen voor deze belangrijke opdracht.
Bij dit soort pogingen wordt in veel gevallen ook het e-maildomein van de afzender vervalst. Dit is e-mail domain spoofing. Waar je het voorheen soms aan het e-mailadres van de afzender kon zien of een mail legitiem was of niet, is dat bij domain spoofing veel moeilijker. Er zijn weliswaar technische maatregelen die een organisatie kan nemen om zich hiertegen te beschermen, maar dan moeten deze natuurlijk wel worden geïmplementeerd.
Medewerkers regelmatig trainen
Het is van het grootste belang dat medewerkers voortdurend bewust blijven van de risico’s en van de methoden die criminelen hanteren. Een incidentele training is niet voldoende, want de methoden veranderen voortdurend. Het moet een regelmatig terugkerende exercitie worden, bijvoorbeeld een- of tweemaal per jaar. Tijdens die trainingen moet ruime aandacht worden geschonken aan de social engineering-aspecten van aanvallen. Spoor medewerkers aan om na te denken. Zou een CEO wel zo’n verzoek doen via e-mail? Past het wel in het bedrijfsbeleid? Laat hen zaken altijd controleren of om een bevestiging vragen. En natuurlijk is het een goed idee om de alertheid en het bewustzijn ook daadwerkelijk te testen met gesimuleerde phishingmails.
Dirk Cools, Country Manager G DATA Benelux
