“Hackers zijn het immuunsysteem van het internet” vertelde Keren Elazari, cybersecurity analyst en onderzoeker bij het interdisciplinair Cyber Research Center. En daar heeft ze 100% gelijk in. (Ethische) hackers tasten continu de grenzen van de cybersecurity af. Tegenwoordig zijn er veel verschillende soorten hardware en software om dit voor hen zo moeilijk mogelijk te maken. Maar wat als hackers geen gebruik maken van zwakheden in security en hun pijlen te richten op de mensen achter de schermen?
Diegene die het interessante webinar van Rachel Tobac gevolgd hebben op de recente Sophos Cybersecurity Summit hebben gezien hoe hackers meer en meer hun aandacht focussen op het menselijke aspect van IT. In dit filmpje steelt ze zeer snel de gegevens van een CNN reporter zonder firewalls te doorbreken of gebruik te maken van (cybersecurity)kwetsbaarheden. Hoe kan je jezelf hiertegen beschermen?
First things first: Wie, wat maar vooral hoe?
Phishing is een steeds meer voorkomende manier van internetfraude. Via mail of andere vormen van communicatie probeert men aan de hand van misleiding of (valse) websites persoonlijke gegevens of geld buit te maken. Ook organisaties van alle soorten en maten kunnen hier slachtoffer van worden.
Hackers kiezen vaak tussen 2 soorten aanpakken om slachtoffers te maken:
- Spray and Pray:
Phishers proberen zo vele mogelijk mensen te bereiken met hun bericht. Enkel indien er iemand reageert op hun bericht of op een link klikt, dan volgen ze dit bij die persoon verder op. Dit zien we vaak bij niet-gepersonaliseerde phishingmails.
- “Principles of Persuasion”.
Hackers proberen via zes principes persoonlijke gegevens te ontfutselen. Eenmaal de phishers contact hebben gelegd, beginnen ze druk uit te oefenen en aan de hand van leugens, proberen ze zoveel mogelijk informatie te verkrijgen: je besturingssysteem, hiërarchie van het bedrijf, mogelijke zwakheden, enzovoort. Deze aanvallen zijn veel gerichter dan hun tegenpool: vaak gericht op één of twee personen per organisatie. Steeds vaker maken phishers gebruik van hun telefoon en leggen zo rechtstreeks contact.
Six Principles of Persuasion, of hoe je zonder het te weten overtuigd kan worden
Om jezelf en je bestuur hiertegen te kunnen beschermen, ben je best op de hoogte van de zes “principes van overtuiging”. Het is belangrijk om deze zes principes te herkennen, zodat je jezelf hiertegen kan beschermen. We sommen de zes principes voor jou even op.
- Reciprocity / Wederkerigheid
Mensen zijn sneller geneigd om informatie met anderen te delen wanneer anderen eerst zelf informatie delen.
- Commitment & Consistency /Toewijding en consistentie
Eens mensen beginnen te praten, zijn ze niet snel te stoppen. Wees waakzaam over welke informatie je doorgeeft aan de telefoon.
- Social Proof / Sociaal bewijs
Via LinkedIn of andere methodes komen hackers te weten wie jouw (rechtstreekse) supervisor/baas is. Ze gebruiken dan hun naam en spiegelen zich aan deze personen om het belang van hun verzoek door te drukken.
- Liking / Smaak
We vertrouwen wat we leuk vinden, zo gaan phishers zich aan jouw interesses aanpassen. Wees dus waakzaam over wat je online en openbaar plaatst.
- Authority / Gezag
We volgen en vertrouwen vaak mensen die lijken te weten wat ze doen en autoriteit uitstralen. Vertrouw dus niet meteen iedereen die doet alsof hij/zij volledig weet waar het over gaat. Dubbelchecken kan nooit kwaad wanneer je niet zeker bent.
- Scarcity / Schaarste
Phishers creëren graag een “sense of urgency”, een gevoel van urgentie, om ervoor te zorgen dat je niet te veel tijd hebt om na te denken en zo snel mogelijk op hun verzoek ingaat.
Tips en tricks om je persoonlijke firewall maximaal te gebruiken:
Nu je weet hoe deze phishers te werk gaan, kan je jezelf hiertegen beter beschermen. We geven je graag nog wat tips mee:
- “Beleefde paranoia” bij twijfels; check, dubbelcheck en trippelcheck!
- Gebruik twee communicatiekanalen: laat ze een berichtje sturen via Teams, skype of mail aanvullend op het telefoongesprek.
- Stel je persoonlijke sociale media zo privaat mogelijk in, zo geef je zo weinig mogelijk informatie vrij.
- Stel, samen met je organisatie, op voorhand vaste verificatieprotocollen in.
- Gebruik spamfilters en waarschuwingen voor externe mails (om impersonatie te voorkomen).
- Promoties die je ontvangt, kan je best checken op de website van de winkels zelf door manueel de URL in te typen, niet via een link in een mail aan te klikken.
- Gebruik waar mogelijk tweestapsverificatie en een wachtwoordmanager.
Twijfel je aan de weerbaarheid van je organisatie? Ben je op zoek naar informatie over cybersecurity of naar extra beveiligingsmogelijkheden? Neem dan gerust contact met ons op, we informeren je graag.
