Bedrijven en consumenten maken steeds vaker gebruik van nieuwe apparaten en technologieën en daarmee stellen zij zich bloot aan meer beveiligingsrisico’s. Er bestaat echter geen universele oplossing waarmee u zich tegen scams (digitale oplichtingstrucs) kunt beschermen. Om effectieve bescherming te bieden voor de gegevens waarnaar cybercriminelen op zoek zijn, is het belangrijk om inzicht te verwerven in de verschillende typen scams die er in omloop zijn. Fortinet, specialist in oplossingen voor cyberbeveiliging, deelt in dit artikel populaire aanvalstechnieken en hoe ze te voorkomen zijn.
1. Phishing
Bij phishing-aanvallen zoeken cybercriminelen contact via e-mail, telefoon of een SMS-bericht en doen ze zich als iemand anders voor om aanmeldingsgegevens, persoonsgegevens of financiële informatie buit te maken. Volgens onderzoek door IBM is 59 procent van alle ransomware-infecties het gevolg van phishing-scams. Er zijn een aantal dingen waaraan u deze oplichtingstrucs kunt herkennen:
- Verifieer de identiteit van contactpersonen: Wees op uw hoede als u berichten uit onbekende hoek ontvangt die u vragen om een bepaalde handeling uit te voeren, zoals het verstrekken van persoonlijke informatie of het aanmelden op een website. De meeste bedrijven zullen u daar nooit via e-mail of een sms-bericht om vragen. Controleer of het e-mailadres of telefoonnummer bij de desbetreffende persoon of organisatie horen.
- Let op grammaticale en spelfouten: Cybercriminelen lezen de berichten die ze opstellen meestal niet na. Als u een bericht ontvangt dat mank gaat onder grammaticale en spelfouten of blijk geeft van gebrekkige interpunctie, is de kans groot dat het om een scam gaat.
- Wees beducht op ‘agressief’ gedrag: Berichten met een sterke agressieve lading als “Let op! U staat al X dagen rood. Neem DIRECT contact met ons op!!!” hebben als doel om paniek te veroorzaken, zodat u zonder nadenken actie onderneemt.
2. Spear phishing
Phishingberichten worden en masse verzonden en vertonen vaak duidelijke tekenen van een poging tot oplichting. Spear phishing daarentegen zijn heel gerichte aanvallen waarvoor cybercriminelen grondig onderzoek doen naar hun slachtoffer. Bescherm uw organisatie met volgende maatregelen:
- Maak gebruik van een dienst voor e-mailverificatie: Bij e-mailverificatie wordt de bron van de e-mailberichten die u ontvangt gecontroleerd. Hierbij wordt nagegaan of het Administrative Management Domain (ADMD) overeenkomt met dat van de gebruikte e-mailadressen.
- Wees terughoudend met het verstrekken van informatie: Dat klinkt misschien als een open deur, maar als gebruikers minder snel informatie zouden verstrekken, zou phishing niet zo succesvol zijn.
- Maak gebruik van best practices voor de beveiliging: Het toepassen van simpele, alledaagse beveiligingsprocedures kan wonderen doen voor de preventie van scams.
3. Baiting-scams
Bij baiting-scams gooien cybercriminelen lokaas uit om gebruikers ertoe aan te zetten een bepaalde handeling uit te voeren, zoals een virus downloaden of aanmeldingsgegevens invoeren. Baiting-scams kunnen allerhande vormen aannemen en het doel is steeds om gebruikers malware te laten installeren.
- Vermijd aanbiedingen van ‘gratis’ producten en diensten: Hier geldt het aloude gezegde: als het te goed klinkt om waar te zijn, is dat waarschijnlijk ook zo. Verifieer dus altijd de identiteit van de afzender, lees de kleine lettertjes en doe onderzoek naar de organisatie die gratis producten en diensten aanbiedt.
- Installeer geen USB-sticks en externe schijven van onbekende herkomst: Baiting-scams kunnen gebruikmaken van digitale technieken of fysieke opslagmedia die malware bevatten. Sluit externe opslagvoorzieningen alleen op uw computersysteem aan als u de eigenaar daarvan kent.
4. Tech support scams
Zoals de naam doet vermoeden geven cybercriminelen zich bij tech support-scams uit als medewerkers van de technische ondersteuning. Ze zeggen voor de organisatie van het slachtoffer of voor een externe partij zoals Microsoft te werken. Het doel is om toegang te krijgen tot aanmeldingsgegevens. Let daarom op volgende waarschuwingssignalen:
- Wees voorzichtig met ongevraagde berichten: Software- en hardwarefabrikanten zullen niet uit zichzelf hulp aanbieden met het dichten van een lek in de beveiliging van uw systeem. Als een medewerker van de technische ondersteuning of een bedrijf contact met u opneemt via een pop-upadvertentie, een ongevraagd bericht of telefoontje of social media, is de kans groot dat er sprake is van een scam.
- Installeer niets wat van een onbekende bron afkomstig is.
- Wees beducht op personen die om toegang tot uw systeem vragen: Medewerkers van de technische ondersteuning kunnen de controle van een computer overnemen om problemen op te lossen. Dezelfde technologie kan echter worden gebruikt om gevoelige informatie buit te maken. Als een onbekende om toegang tot uw systeem vraagt, moet u dat absoluut weigeren.
5. De beveiliging van mobiele apparaten
Steeds meer scams richten zich op gebruikers van mobiele apparaten. Er zijn op brede schaal malafide apps in omloop die naar data zoeken of ransomware installeren. Veel van deze apps zijn ontwikkeld voor het besturingssysteem Android.
- Wees beducht op malware die zich voordoet als een bonafide app of update: In alternatieve app stores zoals Apkmonk is een toenemend aantal malafide apps te vinden. Dat geldt ook voor implants en updates die misbruik maken van mobiele kwetsbaarheden, zoals cryptojacking-malware. Wees extra op uw hoede als apps om onnodige toegangsrechten vragen.
- Maak gebruik van veilige draadloze verbindingen: Openbare gelegenheden en winkels bieden vaak gratis wi-fi aan. Dat zijn gewilde locaties voor ‘man in the middle’-aanvallen. Hierbij richten cybercriminelen een draadloos netwerk in met een naam die bij de locatie past om data te bemachtigen zodra mensen er een verbinding mee maken. Als u niet om het gebruik van een openbaar draadloos netwerk heen kunt, moet u in ieder geval een VPN-verbinding opzetten. Vermijd in dat geval gevoelige transacties.
6. IoT-apparatuur
IoT-apparaten vormen eveneens een steeds populairder doelwit. Veel daarvan bevatten kwetsbaarheden waarvan eenvoudig misbruik kan worden gemaakt. Ze zijn permanent met het internet verbonden en zijn toegerust met krachtige GPU-processors. Dit maakt ze ideaal geschikt voor cryptomining en het uitvoeren van DDoS-aanvallen.
- Wijzig de standaard aanmeldingsgegevens: De meest voorkomende tactiek van cybercriminelen is om verbinding met een IoT-apparaat te maken en de standaardcombinatie van gebruikersnaam en wachtwoord in te voeren. Wijzig waar mogelijk het standaardwachtwoord van uw routers, smart tv’s, home entertainment-systeem enzovoort.
Connected cars: Steeds meer apparaten worden onderling verbonden. Daarmee is hun beveiliging net zo sterk als die van de zwakste schakel in de keten. Connected cars zijn een prominent doelwit voor cyberaanvallen, omdat ze gegevens bezitten over de eigenaar, van telefoonnummers en adreslijsten tot betalingsgegevens. Cyberaanvallen op connected cars kunnen ook gevaar opleveren voor de bestuurder en inzittenden. Bestudeer de de beveiligingsinstellingen aandachtig en installeer geen apps uit onbekende bron. Evalueer ten slotte de beveiliging en aanmeldingsgegevens van alle apparaten die via Bluetooth met het netwerk van uw auto communiceren.