De tijd van alleen een antivirus op uw computer activeren ligt ver achter ons!

Cyberrisk


De tijd van slechts antivirus op uw computer en de firewall activeren op uw router ligt ver achter ons. Het is simpelweg niet meer voldoende om uzelf en uw organisatie te beschermen tegen de continu aanwezige dreiging vanaf het internet. En iedereen is een doelwit. Weinig bedrijven die geraakt zijn door een cyberincident waren het gevolg van een gerichte aanval. Bijna iedereen is geraakt door geautomatiseerde hacks gericht op bekende zwakheden in onze apparatuur, besturingssystemen en het ‘mens zijn’.

Grofweg kunnen we beveiligingsmaatregelen in drie categorieën verdelen :

  • Preventieve maatregelen om zoveel als mogelijk te voorkomen dat er een incident optreedt.
  • Detectie-maatregelen om in ieder geval te constateren dat het fout gaat als de preventieve maatregelen niet voldoende hebben gefunctioneerd en
  • Voorzorgsmaatregelen om bij een detectie uw data en belangen veilig te stellen.

De preventieve maatregelen hangen af van de omgeving die u wilt beschermen, de hoeveelheid en type gevoelige informatie, welke wetgeving er voor uw organisatie geld en natuurlijk hoeveel budget u beschikbaar heeft.  De minimale set aan maatregelen zijn de traditionele oplossingen zoals een goede firewall, recente antivirus en anti-malware producten, het goed instrueren van personeel en nadenken over de stappen die genomen moeten worden als het fout gaat.  Zorg voor een goed wachtwoordbeleid en voor zo snel als mogelijk updates uit op computers, routers en Internet-of-Things apparatuur.

Maar wat als de preventieve maatregelen niet werken. Dan moet er een soort van cyber-‘inbraakalarm’ zijn dat al het verkeer naar het internet in de gaten houdt en alarmeert bij kwaadaardig verkeer. En niet alleen op basis van de bestemming (waar gaat het verkeer naartoe?) maar ook op basis van gedrag (is dit normaal voor mijn organisatie?).

Zoals een hypotheekkantoor recent aangaf : “Detectie is voor mij cruciaal naast de andere maatregelen. Ik lek liever twee hypotheekdossiers dan alle informatie van mijn kantoork. Twee dossiers kan ik nog correctieve acties op uitvoeren. Alle informatie zou het einde van mijn kantoor betekenen.

De voorzorgsmaatregelen moeten genomen worden omdat u voorbereid moet zijn op een daadwerkelijke aanval en een datalek. Wat gaat u doen bij een detectie ? Wie gaat zich bezig houden met de opvolging en aan wie vraagt u hulp. Zorg er voor dat u zelf in controle bent en blijft.  Leg dit vast in een draaiboek en zorg dat u er bij kunt bij een calamiteit…

Samenvattend moet ook u inmiddels voldoen aan de nieuwe Europese Verordening Gegevensbescherming (AVG of GDPR genoemd) wat eisen stelt aan aantoonbaar effectieve technische en organisatorische maatregelen. U moet dus simpelweg kunnen bewijzen dat u de zaken op orde heeft en een effectieve bescherming kan bieden voor de data van uw klanten…

Welke vormen van cyberriks zijn er?


Bron: Kamer van Koophandel

Phishing via e-mail

Deze vorm van cybercriminaliteit komt steeds vaker voor. Hierbij wordt er via een e-mail of website gevraagd naar uw persoonlijke gegevens. Deze mail zou dan zogenaamd gestuurd zijn door uw bank of ander bedrijf. Geef nooit zomaar persoonlijke gegevens door, zoals uw pincode of wachtwoorden. Vertrouwt u de mail niet, neem dan altijd direct contact op met het bedrijf van wie u de mail gehad zou hebben. Klik ook nooit zomaar op een link in zo’n e-mail.

Phishing via social media

Fraudeurs sturen phishingberichten niet alleen per e-mail. Ze gebruiken ook andere kanalen waar ondernemers actief zijn. Via sms-berichten en social media zoals WhatsApp en LinkedIn verspreiden criminelen nepberichten.

Phishing WhatsApp

WhatsApp-fraude is in 2020 sterk toegenomen, vooral door nepberichtjes in de persoonlijke sfeer, ook wel ‘vriend-in-noodfraude’ genoemd. Reageer nooit op een WhatsApp-bericht van je ‘dochter’ met de vraag om bijvoorbeeld een code door te sturen of om snel geld over te maken. Neem altijd telefonisch contact op en vraag wat er aan de hand is. Ondernemers gebruiken WhatsApp ook zakelijk. Twijfel je of een appje echt is? Controleer dan via een ander kanaal bij de afzender of het bericht klopt.

Phishing SMS

Bekend zijn ook de phishing sms-berichten die oplichters versturen om achter gegevens te komen. Antwoord nooit zomaar op een sms van je ‘bank’ of ‘creditcardmaatschappij’ om je gegevens te controleren of een nieuwe code aan te vragen. Waarschijnlijk is het een nepbericht. Zodra je buiten de sms om inlogt op de webpagina van je eigen bank, zie je de werkelijke berichten van je bank. Neem bij twijfel telefonisch contact op.

Phishing met QR-code

Een nieuwe oplichterstruc is phishing met QR-codes waarmee criminelen proberen je bankrekening te plunderen. Dit werkt zo: je ontvangt een valse e-mail of brief uit naam van je bank. In het nepbericht staat dat je een nieuwe bankpas moet aanvragen of akkoord moet gaan met een nieuwe bank-app. Om dit te doen, moet je de QR-code in het bericht scannen. Deze QR-code leidt naar een phishingwebsite waar de oplichters je inloggegevens stelen. Hiermee hebben ze vervolgens toegang tot je bankrekening.

Een QR-code bestaat uit een vierkantje dat is opgebouwd uit zwarte en witte blokjes. In die blokjes zit informatie zoals een internetadres, telefoonnummer of een betaalverzoek. Het risico is dat je voordat je scant niet weet welke informatie er in zo’n QR-code staat. Wees daarom terughoudend met het scannen van QR-codes. Zorg dat je zeker weet met wie je te maken hebt voordat je scant.

Misdadigers zoeken steeds nieuwe manieren om geld of informatie van slachtoffers te krijgen. Blijf alert op berichten die je niet verwacht, en waar ‘tijdsdruk’ op zit en waarin de afzender jou vraagt om informatie te geven of ergens op te klikken.

Het is vaak lastig om het verschil te zien tussen een valse en echte e-mail. U herkent een phishingmail aan de volgende kenmerken: nep domein, onpersoonlijke aanhaf, schadelijke software in bijlage, spoed, taalfouten, schadelijke link.

Afzender

Let goed op het e-mailadres van de afzender. De gebruikte naam van de afzender onderaan de mail kan sterk lijken op die van bijvoorbeeld uw bank of webwinkel, maar toch nep zijn. Criminelen gebruiken een vreemd e-mailadres of een afgeleide versie van een echte bedrijfsnaam. Check daarom de domeinnaam in het e-mailadres. De domeinnaam herkent u aan alles wat achter het @-teken staat. Kijk of de domeinnaam overeenkomt met het websiteadres. Een andere veel voorkomende manier om valse e-mails te verspreiden is het vervangen van letters uit de domeinnaam door cijfers.

Onpersoonlijk

Vervalste e-mails zijn meestal niet persoonlijk aan u gericht. Let goed op e-mails die beginnen met een algemene aanhef zoals ‘geachte klant’ of ‘geachte heer, mevrouw’.

Taalfouten

Phishingmails bevatten vaak stijl- en taalfouten. Check het bericht daarom op slordig taalgebruik.

Spoed

In veel phishingmails probeert de oplichter u onder druk te zetten. Bijvoorbeeld door gebruik te maken van urgentie, in de vorm van tekst zoals ‘laatste waarschuwing’ of ‘laatste kans’. De fraudeur zegt dat uw account verloopt of dat u een speciale aanbieding misloopt als u niet direct reageert.

Persoonlijke gegevens

In nep e-mails wordt vaak gevraagd naar uw persoonsgegevens. Bijvoorbeeld om deze ‘te controleren’ of ‘te actualiseren’. U moet dan op een link klikken om dit te doen. Wees alert en doe dit niet zomaar. Banken, creditcardmaatschappijen en overheidsinstanties vragen nooit via een bericht naar persoonlijke gegevens. Neem telefonisch contact op met de organisatie die de e-mail heeft verstuurd. Gebruik hiervoor niet de contactgegevens in de e-mail, maar zoek deze zelf op.

Schadelijke link of bijlage

Klik nooit zomaar op links of bijlagen in een e-mail die u niet vertrouwt. Links of bijlagen in valse e-mails kunnen ervoor zorgen dat er schadelijke software op uw computer wordt geïnstalleerd. Of ze leiden u naar een nepwebsite waar u persoonlijke gegevens moet achterhalen. Wilt u zien naar welke webpagina een link leidt? Zweef met het muispijltje boven een link. Vlak boven de muiscursor verschijnt het webadres waarnaar de link verwijst.

Het is belangrijk om vast te stellen wat voor phishing er heeft plaatsgevonden. Zijn er wachtwoorden of persoonsgegevens gestolen? Zijn er ongewenste betalingen gedaan? Is er software geïnstalleerd die het computersysteem verstoort, zoals malware?

  • Wachtwoorden: wanneer er wachtwoorden of andere inloggegevens zijn gestolen, is het belangrijk deze gegevens direct te wijzigen. Mocht u hetzelfde wachtwoord op meerdere plekken gebruiken, pas deze dan overal aan.
  • Betalingen: soms kunt u ongewenste betalingen terugdraaien. Neem bij signalering direct contact op met uw bank of creditcardmaatschappij.
  • Gevaarlijke software: malware is een verzamelnaam voor alle software die criminelen hebben gemaakt om computers of andere apparaten expres te beschadigen. Heeft u een bijlage geopend die u niet vertrouwt? Controleer uw systeem via uw beveiligingssoftware op schadelijke bestanden of programma's.
  • Persoonsgegevens: als er persoonlijke gegevens van bijvoorbeeld klanten, leveranciers of personeel zijn gestolen, gewijzigd of verwijderd, heeft u te maken met een datalek. Zo’n datalek moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens.

Een Ddos-aanval is een aanval waarbij de server overbelast wordt met als doel uw website onbruikbaar te maken.

Is uw organisatie cyberweerbaar?

De aanvallen op grote bedrijven halen het nieuws, maar ook kleine bedrijven kunnen het slachtoffer worden. Wat is een DDoS-aanval? En hoe beschermt u uw bedrijf daartegen?

Ze zijn vaak in het nieuws. Berichten over grote DDoS-aanvallen. Begin mei 2021 was de site van het CBR dagenlang offline. Eind juli 2021 konden Nederlanders hun coronatestuitslag niet bekijken op de sites van de GGD. Dus word u gebeld door een trouwe klant met de mededeling: "uw webshop is offline"? Dan kan het zijn dat u bent getroffen door een DDoS-aanval.

Website offline

DDoS-aanvallen zijn bijna zo oud als het internet. Het doel is om uw site of dienst offline te halen. Dat gaat zo: aanvallers sturen zóveel informatieverzoeken naar uw site of app, dat de server het verkeer niet aankan. Vaak gebruiken ze daarvoor een botnet. Gevolg: een foutmelding of ‘denial of service’. Uw site of app is onbereikbaar, waardoor u omzet verliest en reputatieschade lijdt.

Een aanval herkennen

Hoe weet u als ondernemer dat u bent geDDoSt? De belangrijkste aanwijzing: u bent zonder reden offline. Vaak gaat het om uw website. Maar het kan ook heftiger. Citaat: "Ik was eens bij een bedrijf dat voor hun dienstverlening erg afhankelijk was van IT. Dat bedrijf was aangevallen, en van de een op de andere seconde lag alles plat. Niemand kon mailen, niemand kon bellen, de alarmsystemen en de datacenters waren uitgeschakeld. Die situatie heeft twee dagen geduurd. Hoe lang een DDoS-aanval duurt, is vooraf onmogelijk te voorspellen.

Strafbaar

DDoS-aanvallen zijn helaas heel makkelijk uit te voeren. Voor een paar dollar zijn ze te koop. U vindt ze via Google. Dat is eigenlijk absurd, want een DDoS-aanval uitvoeren is strafbaar. Alsof er in de supermarkt illegale producten in het schap liggen. Het is ook moeilijk te achterhalen wie achter zo’n aanval zit. De aanvaller kan een verveelde tiener zijn, of een boze klant. DDoS-aanvallen worden ook wel eens als afleiding gebruikt. Iets om u bezig te houden terwijl hackers uw data stelen. En ze worden steeds vaker ingezet als chantagemiddel, óók tegen het mkb.

Bescherm uzelf

Het slechte nieuws: DDoS-aanvallen blijven bestaan, en zullen in de toekomst alleen maar groter worden. Het goede nieuws: u kunt uw bedrijf beschermen tegen DDoS-aanvallen. Hoe? Een paar praktische tips van de experts:

  • Test uw kwetsbaarheid. Dat kan heel simpel: zet eens uw internetverbinding en uw online diensten uit. Kunt u prima werken? Dan heeft u waarschijnlijk geen DDoS-bescherming nodig. Kunt u helemaal niets meer? Dan is het slim om uzelf voor te bereiden op een aanval.
  • Bedenk een plan B. Hoe gaat u werken als u wél wordt aangevallen? Misschien kunt u tijdelijk op papier werken, of kunt u een back-up van uw systeem gebruiken. Maar denk er van tevoren over na! Het is moeilijk om alternatieven te bedenken terwijl u wordt aangevallen.
  • Bespreek uw risico’s en uw plan B met een expert op het gebied van digitale beveiliging. Vraag ook de leveranciers van uw systemen naar hun beveiliging tegen DDoS-aanvallen.
  • Betrek ook uw internetprovider en uw webhoster. Vaak kunnen zij u bescherming bieden tegen DDoS-aanvallen. Bijvoorbeeld door zogenoemde ‘wasstraten’ of ‘bad bot blockers’: die blokkeren gevaarlijk dataverkeer.
  • Denkt u dat u wordt aangevallen? Zorg – als dat lukt – dat hackers niet bij uw kritische data kunnen en bel uw IT-beheerder, internetprovider of eventueel een beveiligingsspecialist. Zij kunnen u helpen uw systemen weer veilig online te krijgen.
  • Bent u aangevallen? Doe aangifte bij de politie.

Vraag bij Musters Totaal Advies om een goéd advies!


Kies de juiste dekking en betaal niet te veel premie!