Mijn Blog
Nieuws27 maart 2020

7 cybersecuritytips voor thuis

Door Paul Ossewold

Mijn vorige blogartikel over ´Informatiebeveiliging begint bij jouw voordeur!´ maakte vele reacties los. Wat we zien is dat de mens nog altijd de zwakste schakel is in relatie tot beveiligingsmaatregelen. En social engineers spelen daar slim op in, door via ons vertrouwelijke informatie of persoonsgegevens te verkrijgen. Ook in deze moeilijke periode proberen social engineers en hackers hun slag te slaan. Vanwege het coronavirus zijn in korte tijd heel veel medewerkers thuis digitaal aan het werk. Daarom wil ik je graag bewust maken van de werkwijzen van social engineers en geef ik je zeven tips om social engineering tegen te gaan wanneer je thuiswerkt.

Wat is social engineering?

Social engineers misleiden en manipuleren personen zodanig dat zij op een gegeven moment vertrouwelijke of persoonlijke gegevens afstaan. Geheel vrijwillig, maar onbewust. Deze informatie wordt gebruikt voor frauduleuze doeleinden. Eigenlijk kiezen social engineers de gemakkelijke weg. Het is namelijk eenvoudiger om via medewerkers aan informatie te komen dan om computersystemen te hacken. Social engineering is dan ook niet gericht op de technische kant van beveiliging, maar de menselijke kant. Menselijke interactie en vertrouwen wekken zijn belangrijke onderdelen van deze manipulatie. Het doel is om toegang te krijgen tot gebouwen, systemen en informatie.

Mens als zwakste schakel

Social engineers maken handig gebruik van psychologische manipulatie en hoe wij als mens ‘geprogrammeerd’ zijn:

  • Wederkerigheid: we doen graag iets voor iemand terug, wanneer deze persoon ons een dienst heeft bewezen.
  • Groepsgedrag: we handelen zoals we anderen zien handelen.
  • Autoriteitsgevoelig: we zijn gevoelig voor autoriteit en voeren uit wat ons wordt gevraagd.
  • Vriendelijkheid: we zijn eerder geneigd iets te doen voor iemand die we aardig vinden.
  • Schaarste: onze vraag neemt toe zodra we denken dat er schaarste zal optreden.

Hoe gaat een social engineer te werk?

Er zijn zoveel vormen van social engineering en de methodes worden steeds verfijnder. Uitgangspunt is dat je wordt verleid tot het delen van informatie of om actie te ondernemen. Hieronder een opsomming van voorbeelden van social engineering:

  • Phishing. Dit is één van de meest toegepaste werkwijzen van social engineering. Je ontvangt een e-mail inclusief bestand en het lijkt alsof deze van een betrouwbare bron komt (overheid, werkgever, bedrijf). Maar het bestand bevat malware, zoals de e-mail van het ‘RIVM’ omtrent corona.
  • Quid Pro Quo. Je wordt gebeld door een medewerker van de ICT-afdeling. Er is een softwareupdate die organisatiebreed wordt uitgevoerd. Daarvoor heeft deze IT-medewerker wel jouw logingegevens voor nodig. Graag gedaan?
  • Lokaas. Er wordt je een proefversie van een softwarepakket aangeboden. Je klikt op de link, vult je persoonlijke gegevens in en download de software. Inclusief de bijkomende malware.
  • CEO-fraude. Vaak gericht aan financiële medewerkers. Je krijgt een officiële e-mail van je CEO of CFO met het verzoek een grote som geld over te maken naar een bepaalde rekening. Dit kostte de algemeen en financieel directeur van Pathé hun baan. Daarnaast verdween 19 miljoen euro.  

Consequenties van social engineering

We zijn ook maar mensen. En door goed vertrouwen worden we het slachtoffer van bovenstaande handelingen. De consequenties zijn niet mis. Met de verzamelde persoonsgegevens wordt identiteitsfraude gepleegd. Criminelen doen aankopen in jouw naam of die van je organisatie, openen een bankrekening of sluiten leningen en abonnementen af. Of ze doen zich voor als jouw organisatie en sturen valse facturen, maar leveren geen spullen of diensten. En bij het downloaden ransomware, vind je al je data en bestanden achter slot en grendel. Alleen tegen betaling krijg je weer toegang. Natuurlijk wil je deze gevolgen van social engineering voorkomen!

Tips om social engineering tegen te gaan

Een bericht dat de organisatiecreditcard wordt geblokkeerd, omdat een rekening niet is betaald, zal je misschien snel (en verkeerd) doen handelen. Social engineers willen graag dat je eerst doet en daarna pas nadenkt. Doe een stapje terug en zorg dat je overzicht houdt. Wat jij zélf, als thuiswerker, kunt doen tegen social engineering:

  1. Probeer valse e-mails, dubieuze URL’s en andere verdachte omstandigheden te herkennen. Bekijk eens de website van de afzender en vind de verschillen in huisstijl. En bij twijfel kun je altijd bellen met de betreffende organisatie van wie de e-mail afkomstig zou moeten zijn.

  2. Geef nooit persoonlijke of bedrijfsinformatie aan personen die je niet helemaal vertrouwd of niet kent. Of ze je nu online, telefonisch of in persoon benaderen. Ga zorgvuldig om met persoonsgegevens en identiteitsbewijzen, ook met die van je collega’s.

  3. Zorg dat je ICT-beveiliging up-to-date is. Er zijn genoeg hulpmiddelen om de eerste filtering te doen: anti-virussoftware, firewalls en spamfilters. En update deze beveiligingssoftware regelmatig.

  4. Draai (automatisch) een back-up van je gegevens en bestanden. Wanneer je slachtoffer wordt van ransomware heb je alle belangrijke informatie in een back-up staan.

  5. Wijzig je wachtwoorden regelmatig. Gebruik niet voor elke login hetzelfde wachtwoord. Nog beter: tweestapsverificatie.

  6. Update je software, applicaties en andere programma’s. In die updates zijn namelijk beveiligingsupdates verwerkt. Verouderde software is kwetsbaar.

  7. Test je processen en ICT-systemen op kwetsbaarheden. Het is zeer interessant en waardevol om te ontdekken waar bij jouw organisatie de zwakke plekken zitten. Zorg dat je daar eerder achter komt dan social engineers!