Wat doen hackers eigenlijk met mijn e-mailgegevens? Hoe komen ze aan mijn gebruikersnaam en wachtwoord? En hoe kom ik erachter of ook míjn inloggegevens in een database staan die op de zwarte markt wordt verkocht?
Securityspecialist Barracuda ging op onderzoek uit om te achterhalen welke methoden cybercriminelen hanteren om e-mailaccounts aan te vallen en te misbruiken. Wat zijn de belangrijkste lessen? Welke slimme, eenvoudige stappen kun je direct zetten om jouw organisatie te beveiligen? We gingen voor het antwoord op deze vragen langs bij onze collega Richard Wesseling, specialist op het gebied van e-mailbeveiliging!
“Phishing en social engineering zijn de geliefde methodes van cybercriminelen. Toch speelt ook de slordigheid van gebruikers hen in de kaart. Bij een vijfde van de overgenomen accounts bleken de login-gegevens deel uit te maken van minstens één groot lek van wachtwoorden die de afgelopen jaren hebben plaatsgevonden.”
Barracuda
Richard, wat valt je het meest op aan de resultaten van het onderzoek van Barracuda?
“Wij zien in de praktijk dat er inderdaad veel gebruik gemaakt wordt van phishing. Recentelijk hebben we een aantal keer het e-mailsysteem van organisaties moeten afsluiten, omdat hackers via een phishingmail waren binnengedrongen. Wat erg opvalt is dat dus maar liefst 1 op de 5 mensen dezelfde wachtwoorden gebruikt als een aantal jaar geleden. Mensen blijven dus echt gewoontedieren en gebruiken zowel zakelijk als privé jarenlang dezelfde inloggegevens, waarmee ze een makkelijke prooi voor hackers zijn én blijven.”
Tip: Gebruik wachtwoorden nooit voor meerdere accounts, dat maakt ze direct zwakker
Wat is een voorbeeld van zo’n lek waarover gesproken wordt?
“Een grote hack van de afgelopen jaren was bij LinkedIn. Die database met gebruikersnamen en wachtwoorden is nog steeds beschikbaar via het zogeheten dark web. Wat mensen zich vaak niet realiseren is dat het aanmaken van een nieuw LinkedIn-wachtwoord niet voldoende is. Hackers proberen het oude wachtwoord ook in combinatie met je andere e-mailadressen op verschillende accounts en platformen. Gebruikte jij dus hetzelfde wachtwoord voor LinkedIn als voor bijvoorbeeld je zakelijke mail? En heb je alleen je LinkedIn-wachtwoord veranderd, maar je e-mailwachtwoord hetzelfde gelaten? Dan loop je alsnog een groot risico dat je zakelijke e-mailaccount wordt gehackt.”
Tip: Ontdek via haveibeenpwned.com of jouw e-mailadres in een gelekte database staat
Welke voorbeelden van phishing zien jullie in de praktijk?
“We zien vooral veel medewerkers die een e-mail krijgen met het verzoek om ‘even’ ergens in te loggen. Het ziet er heel natuurgetrouw uit en in veel gevallen klikken ze dan ook door naar de website. Dit is dan vaak een ogenschijnlijk betrouwbare website, zoals van Microsoft of het eigen bedrijf. De medewerker logt in, maar er gebeurt niets. Een uur later wordt het volledige e-mailaccount overgenomen en gebruikt om in korte tijd hetzelfde e-mailtje naar duizenden andere accounts te sturen.
Ook zie je veel CEO-fraude, waarbij medewerkers per e-mail het verzoek krijgen van de ‘directeur’ om een bedrag over te maken naar een bepaald rekeningnummer. Die zien er over het algemeen ook heel betrouwbaar uit, maar toch kun je vaak uit het taalgebruik afleiden dat er iets niet in de haak is. Hackers gebruiken informatie van de bedrijfswebsite of bijvoorbeeld LinkedIn om te achterhalen wie welke rol heeft binnen de organisatie en spelen hier handig op in.”
Tip: Een sterk werkwoord heeft minstens 8 karakters en bestaat uit letters, cijfers en speciale tekens
Wat is het verdienmodel voor hackers met onze gegevens?
“Zoals ook blijkt uit het onderzoek van Barracuda worden inloggegevens voor forse bedragen doorverkocht. De kopers gebruiken dit om bijvoorbeeld Cryptolockers te versturen, waarmee hele bedrijfsnetwerken gegijzeld worden. Ze vragen vervolgens ‘losgeld’ in de vorm van Bitcoins om dit weer ongedaan te maken. Ook gebruiken ze het dus voor CEO-fraude, waarmee ze medewerkers geld over laten maken naar niet-traceerbare rekeningen. Op deze manier hebben ze hun investering snel weer terugverdiend en daarna gaat de teller lopen.”
Tip: Beweeg eerst met je muis over een link voordat je erop klikt om de URL te controleren
Hoe kun je je hiertegen wapenen als organisatie?
“In de basis is de IT-afdeling ervoor verantwoordelijk dat de risico’s teruggedrongen worden. Er zijn diverse technische maatregelen die ervoor zorgen dat medewerkers zo min mogelijk in aanraking komen met bijvoorbeeld phishing.
Daarnaast is de kennis en alertheid van medewerkers heel erg belangrijk. In samenwerking met TrendMicro zetten wij bijvoorbeeld phishingcampagnes op binnen organisaties. Medewerkers krijgen eerst een training, niet alleen op het gebied van phishing maar over security in algemene zin. Na verloop van tijd ontvangen medewerkers een phishingmail om te onderzoeken hoe alert de organisatie is. Daarna evalueren we in een vervolgtraining wat er is gebeurd en welke stappen er nog nodig zijn. Dit kunnen we ook inrichten als continu proces, waardoor medewerkers constant getraind worden en automatisch ook alerter zijn op e-mails. “
Tip: Wees kritisch op e-mails die je ontvangt en verifieer bij twijfel altijd bij collega’s
Wil je meer weten van Richard over security, phishing, wachtwoorden of onze phishingcampagnes en awarenesstrainingen? Neem gerust contact op via info@accent.nl!
