Cybersecurity: van Nigeriaanse prins naar ‘CEO fraud’
Neem dit voorbeeld: op een dag ontvangt het hoofd finance een e-mail, ondertekend door de directeur of CFO. Het bedrijf kan een opdracht binnenslepen, een concurrentiegevoelig project, dus de hoogste geheimhouding moet in acht worden genomen. Wel moet met spoed een aanbetaling van een ton gedaan moet worden. De huisstijl, de afzender, zelfs de manier van communiceren klopt. En toch gaat het om nepmail.
Meer weten over cyberrisico's? Download de whitepaper 'Wat is de waarde van uw data?'
Cybercriminelen steeds professioneler
Dit voorbeeld, genoemd de Fake president fraud of CEO fraud, laat een verandering zien: voorheen werd er bij phishing geschoten met hagel, tegenwoordig gaat het om zorgvuldig voorbereide en specifiek gerichte acties. Een goed geschreven e-mail zogenaamd van een leidinggevende is een stuk geloofwaardiger dan een epistel vol spelfouten van een Nigeriaanse prins, die gouden bergen belooft. En het werkt, blijkt uit simulaties die we bij bedrijven doen. Vaak moeten we op het laatste moment de stekker eruit trekken om te voorkomen dat er daadwerkelijk geld overgemaakt wordt.
Auteur Alex Verbiest is manager IT-audit en ethisch hacker bij Grant Thornton
Lees ook: “Maak business verantwoordelijk voor data”
Cybercriminelen werken steeds professioneler en geraffineerder. Het is big business. Technieken worden gecombineerd en maken gebruik van verschillende zwakheden in een organisatie. Via LinkedIn, Facebook en andere manieren wordt uitgebreide informatie verzameld over het doelwit. Cybercriminelen betalen elkaar voor informatie, toegang tot computers, maar ook voor vertaalhulp bij phishing-mails.
Medewerkers zijn de zwakke plek
Een professionele hacker speurt naar organisaties die interessant zijn en gaat vervolgens op zoek naar kwetsbaarheden om binnen te komen. De aandacht van organisaties gaat meestal uit naar de beveiliging van extern bereikbare infrastructuur: de eigen websites en portals. Maar juist de medewerkers, vaak onbewust van de risico’s, zijn de makkelijkste weg. Het kost vaak maar tien minuten om op deze manier een systeem binnen te dringen.
Vermommingen steeds beter
Informeer uw werknemers daarom over wat er speelt en train ze om de risico’s te herkennen. Maak ze er bewust van dat ze een doelwit zijn. Het gaat de hacker niet altijd om de computer van de medewerker zelf, maar eenmaal binnen kan dit de toegangspoort zijn tot het netwerk van de organisatie. Wilt u weten hoe de bewustwording is binnen uw organisatie, toets dan dit dan bijvoorbeeld door phishingsimulaties uit te laten voeren. Zo weet u welke afdelingen nog niet bewust zijn van de risico’s en kunt u gericht werken aan bewustwording en trainingen aanbieden aan medewerkers die daar behoefte aan hebben. En bedenk goed dat de hackers niet stil staan. De Nigeriaanse prins zag u van mijlenver aankomen, met de huidige ‘vermommingen’ komt u snel bedrogen uit.