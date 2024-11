Eén moment van onoplettendheid zet je op de rand van faillissement

Voorlezen

Maria Genova, journalist, auteur en expert op het gebied van cybercrime, waarschuwt dat we allemaal gevoelig zijn voor gevaarlijke e-mails. Je klikt bijvoorbeeld sneller onbedachtzaam op een e-mail over je vakantiedagen of het kerstpakket en haalt zo gijzelsoftware binnen. Dat brengt de bedrijfscontinuïteit in gevaar.

We zijn als gebruikers misschien te naïef als het op digitale zaken aankomt. Genova vergelijkt het vaak met iemand op straat die om je adresboek vraagt. Daar zeg je 'nee' tegen. Maar tegen een app die alle contactgegevens wil, zeg je sneller zonder na te denken 'ja'. We staan te weinig stil bij wat er kan gebeuren als we gegevens uit handen geven. “Medewerkers denken dat wat zij doen niet belangrijk genoeg is voor een crimineel. Ze zien daarom de gevolgen niet.”

Elk bedrijf is interessant

“Bij bijna alle organisaties valt wel iets te halen. Veel mensen denken misschien ‘wat is de waarde?’ Maar gegevens worden gehackt, verkocht en doorverkocht.” Bijna elk bedrijf is interessant en ook bijna iedere medewerker is een potentiële ingang. Een aanvaller die eenmaal binnen is via een receptionist vindt zijn weg naar belangrijkere gegevens via gaten in de infrastructuur die niet zijn afgedekt.

“ICT-afdelingen lopen altijd achter, omdat updates moeten worden getest en toegepast.” De top vijf van vaakst gebruikte kwetsbaarheden bestaat uit oude gaten in systemen van onder meer Microsoft en Citrix. Dat ging soms zelfs om kwetsbaarheden die de softwaremaker in 2017 repareerde met een update. Deze updates zijn dus nog niet breed genoeg toegepast.

Dat betekent dat medewerkers zich helaas te veilig wanen. “Bij grote bedrijven kun je gewoon stellen dat er altijd gaten in het systeem zitten”, weet de beveiligingsdeskundige. “Simpelweg omdat er te veel programma’s draaien die nog niet up-to-date zijn. Dat verhaal moeten bedrijven aan medewerkers vertellen: dat ze extra voorzichtig moeten zijn omdat technologie niet alles opvangt. Waarom de beste IT-afdeling ter wereld ze niet altijd kan beschermen. En waar ze op moeten letten.”

Confronterende vragen

Van het vertellen van dat verhaal wordt Genova zelf ook enthousiast. Ze praat graag met bedrijven om aan medewerkers uit te leggen hoe ze een hack kunnen voorkomen. “Tijdens presentaties vind ik het superleuk om in gesprek te gaan met medewerkers. Niet alleen om ze tips te geven, maar ook om ze confronterende vragen te stellen. Ik geef ze graag de gelegenheid zich te verplaatsen in de rol van een hacker. Dan verzinnen ze vaak heel leuke ideeën van hoe zoiets zou werken bij hun eigen bedrijf.”

Vroeger leerden we dat een gevaarlijke e-mail spelfouten had of van een onbekende afzender was. Met de komst van AI is dat eerste vaak geen probleem meer: criminelen stellen keurige vertalingen op en effectieve e-mails.

Ook het tweede pareert een crimineel eenvoudig. “Als een aanvaller zich een beetje verdiept in een bedrijf kan hij heel effectieve mails sturen. Bijvoorbeeld door een factuur en een e-mail te kopiëren die helemaal lijken te kloppen, maar dan is er bijvoorbeeld één lettertje verschil in de naam. En dan gaat het geld naar een verkeerde rekening.”

Een pijnlijk voorbeeld van zo’n actie is de CEO-fraude bij Pathé in 2018. Criminelen weten bovendien goed waar we op zouden klikken. “Bijvoorbeeld een mailtje over een nieuwe interne regeling, iets over kerstcadeautjes of hoeveel vakantiedagen je nog over hebt.”

Bewust zijn van risico’s

Scherp zijn op mogelijke fraude is één ding, maar we laten allemaal wel eens iets door onze handen glippen. Zelfs menig ICT-beveiliger heeft wel eens op een maandagmorgen voor de koffie op een onbetrouwbare link geklikt. “We blijven mensen. We kunnen natuurlijk niet 24 uur per dag gaan opletten, maar ik denk dat het al beter gaat als we ons iets beter bewust zouden zijn van de risico’s. Een geschrokken medewerker let veel beter op, dus awareness is belangrijk.”

Ransomware, software die bestanden versleutelt, is de laatste tijd weer in opkomst, merkt Genova. “Dat soort malafide software groeit al jaren, maar is inmiddels verplaatst van een dreiging die vooral consumenten raakte naar eentje waarbij de criminelen erachter zich meer richten op bedrijven.

“Vaak ook nog op specifieke bedrijven in bepaalde sectoren waar de urgentie hoog is om weer te kunnen werken. Bijvoorbeeld in de zorgsector, in de logistiek of bij productiebedrijven. Criminelen hebben gemerkt dat deze bedrijven sneller bereid zijn te betalen dan een organisatie die wat meer speling heeft om systemen op te ruimen en die back-ups op orde heeft.”

Toch niet de beloofde sleutel

“Bij veel organisaties wordt de continuïteit door een ransomwareaanval bedreigd, want meestal zijn de back-ups ook in handen van de criminelen”, zegt Genova. “Of ze hebben wel back-ups, maar geen goede. Je bent ook zo lang onbereikbaar voor klanten dat je dan toch het risico neemt te betalen”, zegt de deskundige.

Dat blijft een risico, want bijvoorbeeld bij de zogeheten REvil-aanval kreeg 92 procent na betaling vervolgens toch niet de beloofde sleutel om de bestanden te openen. Bovendien bleek in 2022 dat 80 procent van de bedrijven die overstag ging met een betaling later opnieuw werd geraakt . Criminelen hebben gemerkt dat het betalende bedrijf een doelwit is waarmee ze zaken kunnen doen.’

Waarom gaat het toch zo vaak mis? Beschouwen we beveiliging tegen digitale criminaliteit misschien te veel als een compliance-issue? “Het is altijd goed om afvinklijstjes te hebben en die af te gaan. Het probleem is alleen dat criminelen daar niet mee bezig zijn. De lijstjes zijn papier en kijken minder naar de techniek. Je hebt zelfs cybersecuritybedrijven, bij wie alles op orde is, die slachtoffer worden.

“Aanvallers hebben maar één klein moment van onoplettendheid nodig om binnen te komen. Dan blijkt dat iemand toch een wachtwoord gebruikte dat wel sterk was, maar dat hij ook op de sportschool gebruikte. Die sportschool is gehackt, waarna criminelen de combinatie van e-mailadres en wachtwoord op andere plekken proberen.”

Randje faillissement

“Ik vind het de rol van financials om niet alleen vinkjes te zetten. Kijk dus niet alleen of er tweefactorauthenticatie wordt gebruikt. Je moet ook kritische vragen stellen. Je ziet dat veel aanvallen tegenwoordig via IT-bedrijven lopen. Dus vraag aan je ICT-bedrijf: ‘Hoe is dat bij jullie geregeld?’

“Want elk bedrijf is afhankelijk van ICT. Of je nu een bakker, een boer of een autobedrijf bent. Als je computersysteem platligt, kun je geen warme broodjes meer leveren. Als je als boer je mestboekhouding kwijt bent, levert dat een enorme boete op. Dat soort verhalen hoor ik elke week. Gewone bedrijven staan op het randje van faillissement omdat ze dit niet konden oplossen.”

5 alarmsignalen Onlinecriminelen worden gewiekster. Steeds vaker doen zij specifiek onderzoek naar je organisatie en naar je collega’s om met die informatie bijvoorbeeld betalingen los te krijgen. Gangbare tips om valse e-mails te herkennen werken dan ook niet altijd meer. Maar er zijn wel alarmsignalen. Zie je zo’n alarmsignaal? Dan kan het geen kwaad een controlestap uit te voeren.

1. Een betaalverzoek per e-mail is al reden om kritisch te zijn

De meeste overheidsorganisaties sturen aanmaningen per post, via een berichtenbox, een andere portal of zelfs een applicatie. Een e-mail met betaalverzoek van een overheidsorganisatie zou in de regel direct alarmbellen moeten doen rinkelen.

2. Een dringend verzoek moet automatisch als verdacht worden aangemerkt

Urgentie is hét middel dat wordt gebruikt om een financial ervan te overtuigen snel te betalen, ook al is dat niet volgens de gebruikelijke procedure. Een bericht dat een betaling subiet moet worden gedaan, gevolgd door een dreigement over de gevolgen van een te late betaling, is een alarmbel.

3. Procedures beschermen de organisatie; hamer op het juiste proces

Een controller zal altijd willen doen wat het beste is voor de organisatie, zal dus sneller geneigd zijn een betalingsprobleem meteen op te lossen. In een bedrijf waar procedures minder strak worden nageleefd, wordt geld eerder overgemaakt naar een crimineel in plaats van in een dienstverlenende organisatie.

4. Controleer het rekeningnummer met eerdere facturen of online

Als een rekeningnummer van een klant of leverancier wijzigt, is dat reden even telefonisch contact op te nemen. Criminelen zijn slim genoeg om eerst een wijziging te mailen en een paar dagen later de ‘factuur’.

5. Deze e-mailonderwerpen zijn sowieso reden om op te letten:

- Verkeersovertredingen en boetes.

- Overige dringende vorderingen.

- Gemiste berichten of pakketten.

- Veroorzaakte schade.

- Nieuw rekeningnummer of nieuwe betaalmethode.

- Nieuwe betaalpas.

Over Maria Genova Maria Genova is een van de meest gevraagde experts op het gebied van cybercrime en privacy. Ze is schrijfster van diverse boeken, zoals Komt een vrouw bij de h@cker en Snel geleerd, slim online. Haar missie is zo veel mogelijk mensen en bedrijven weerbaar te maken tegen cybercrime en onlineoplichting. Op www.cybercrimetips.nl zet ze tips om alle mogelijke fraude te voorkomen. Genova is ook medeoprichter van de cyberkaart van Nederland met alle hacks, datalekken en boetes www.datalekt.nl

Foto: Frank Versteeg