Cybercrime: trappen uw medewerkers in trucs?

Bij cybersecurity speelt de menselijke factor een grote rol. Hoe verkleint u het risico dat uw bedrijf door falen van medewerkers slachtoffer wordt van cybercrime?

Het is vrijdagmiddag en financieel manager Evert-Jan staat op het punt om af te sluiten. Hij ziet nog net een mail binnenkomen van de directeur. Er is iets misgegaan met de betaling van een leverancier en er moet direct betaald worden op een nieuw rekeningnummer. ‘Regel dit z.s.m. anders hebben we de levering te laat binnen’ schrijft zijn directeur. Evert-Jan voelt de druk en maakt het bedrag direct over.

De menselijke factor bij cybersecurity

Bij cybersecurity is het natuurlijk van belang om de technische kant op orde te hebben. Maar dat is niet genoeg. Sterker nog: het grootste deel van cybercrime is toe te schrijven aan menselijke fouten. Mensen zijn immers te verleiden met psychologische trucs. Criminelen omzeilen zo de beveiliging. Net als bij Evert-Jan, die een paar duizend euro overmaakte naar oplichters die zijn directeur wisten te imiteren.

Juist kleinere bedrijven zijn doelwit

Uit onderzoek door Barracuda blijken kleinere bedrijven een gewild doelwit. Een werknemer bij een bedrijf met minder dan 100 werknemers heeft gemiddeld te maken met 3,5 keer meer social engineering-aanvallen dan een werknemer bij een grotere organisatie.

Wat is social engineering?

Social engineering is het gebruik van manipulatie en bedrog om toegang te krijgen tot vertrouwelijke informatie. Zowel particulieren als bedrijven hebben er op grote schaal mee te maken. Op dit moment wordt het gezien als een van de grootste bedreigingen voor informatiebeveiliging. Hoe goed u de toegang ook beveiligt, als medewerkers zelf criminelen binnenlaten heeft u daar niets aan.

Criminelen binnenlaten, wie doet dat nou?

Het klinkt behoorlijk stom, wie laat er nou cybercriminelen binnen? Maar deze criminelen gaan behoorlijk geavanceerd te werk. Ze maken volop gebruik van allerlei psychologische trucjes om mensen te manipuleren. Zoals het inspelen op emoties en het creëren van tijdsdruk. Daarbij doen ze op slinkse wijze alsof ze iemand anders zijn. Bijvoorbeeld een manager, helpdeskmedewerk of iemand van de bank.

Door gegevens via social media te verzamelen maken ze hun verhaal geloofwaardiger. Of ze gebruiken een tool zodat het telefoonnummer van de bank of een andere instantie verschijnt als ze bellen. Zelfs video en audio deep fakes worden al ingezet, waarbij via AI een bekende van het slachtoffer wordt nagebootst.

Welke vormen van social engineering zijn er?

Bij de meeste social engineering-aanvallen gaat het om phishing. Via e-mail of een tekstbericht doen oplichters zich voor als iemand anders. Vervolgens proberen ze persoonlijke informatie te verkrijgen. Ook fysieke social engineering komt voor. Denk aan het meekijken over uw schouder als u inlogt op uw laptop in de trein of een restaurant. Of het verspreiden van besmette usb-sticks.

Voorbeelden

Wat zijn voorbeelden van fouten die u en uw collega’s makkelijk kunnen maken?

• Op een schadelijke link in een e-mail klikken.
• Een bijlage openen die malware bevat.
• Onveilige software installeren.
• Een USB-stick gebruiken waar een virus op staat.
• Vergeten de computer te vergrendelen bij het verlaten van uw werkplek.
• Een spookfactuur betalen.
• Een verzoek uit een e-mail van een collega of leverancier opvolgen, wat in werkelijkheid afkomstig is van criminelen.
• Informatie geven aan de telefoon, waarbij u denkt met bijvoorbeeld de bank te spreken.

5 stappen om uw bedrijf te beschermen

Hoewel een menselijke fout makkelijk te maken is, kunt u wel degelijk maatregelen nemen om het risico te verkleinen. Er zijn 5 stappen die we adviseren om te nemen.

1.   Laat u goed adviseren

Cybersecurity is een vak apart. Ontwikkelingen gaan snel en zijn niet bij te houden als het niet uw expertise is. Bespreek daarom samen met uw IT-partij regelmatig wat de risico’s voor uw bedrijf zijn. Besteed niet alleen aandacht aan de technische kant, maar ook aan de menselijke factor. Organiseer trainingen voor medewerkers. Of laat eens een test uitvoeren om te kijken of u en uw medewerkers alert genoeg zijn.

2.   Faciliteer medewerkers

Veilig gedrag bevordert u door medewerkers goed te faciliteren. Zeker nu er veel thuis gewerkt wordt, is het belangrijk daar aandacht aan te besteden. Medewerkers loggen wellicht in op een privé device of hebben een slecht beveiligde internetverbinding. Dat maakt uw bedrijf extra kwetsbaar.

Maakt u trouwens al gebruik van de Hupra Online Werkplek dan hoeft u zich daar niet druk over te maken. Uw gegevens zijn dan versleuteld en beter beveiligd, ongeacht het netwerk en het gebruikte apparaat.

3.   Afspraken over veilig gedrag

Maak intern afspraken over veilig gedrag. Een aantal tips:

• Als het nog niet gebeurd is, leg dan vast wie in uw bedrijf toegang heeft tot welke gegevens. Verwerkt uw bedrijf veel persoonsgegevens, dan is een functionaris gegevensbescherming verplicht.
• Vergeet de flexibele schil niet: zorg dat ook stagiairs, vakantiekrachten, ingehuurde zzp’ers en uitzendkrachten weten hoe ze veilig werken.
• Spreek af om computers te vergrendelen als iemand van zijn werkplek afgaat. Spreek elkaar daar ook op aan.
• Ga bewust om met informatie die u deelt op social media. Bespreek dat ook met medewerkers. Zorg dat iedereen zich in ieder geval realiseert dat informatie gebruikt kan worden door cybercriminelen.
• Besteed aandacht aan hoe gegevens op papier weggegooid worden. Ook ogenschijnlijk onbelangrijke informatie kan gebruikt worden. Met simpele maatregelen zoals een papierversnipperaar of afsloten vuilcontainer kunt u dat voorkomen.
• Maak er een gewoonte van om bij enige twijfel over iemands identiteit, zelf telefonisch contact op te nemen. Zo kunt u nagaan of een verzoek daadwerkelijk van die persoon of instantie afkomstig is.
• Wordt er een wijziging doorgegeven door een bedrijf? Bijvoorbeeld een nieuw bankrekeningnummer? Maak de afspraak om hier altijd over te bellen. Ook al krijgt u het bericht van iemand die u vertrouwt. Liever een keer te vaak bellen, dan geld overmaken naar een verkeerd rekeningnummer.

4.   Alert zijn op psychologische trucs

Welke psychologische trucs gebruiken cybercriminelen om u te verleiden? Als u en uw medewerkers hier bewust van zijn, kunt u een poging beter herkennen. In de praktijk zijn er vele varianten, maar ze zijn vaak gebaseerd op dezelfde principes. We geven u 10 veelgebruikte methodes.

1. Voordoen als een vertrouwde instantie

Nep e-mails, nep webpagina’s, nep telefoontjes: ze zijn moeilijk van echt te onderscheiden tegenwoordig. Microsoft is het meest geïmiteerde merk en wordt gebruikt bij 57% van de phishing-aanvallen.

2. Tijdsdruk

Er moet direct gehandeld worden om iets vervelends te voorkomen, daardoor kan een slachtoffer niet goed nadenken over een beslissing.

3. Een vertrouwensband opbouwen

Door bijvoorbeeld het noemen van een gezamenlijke vriend, dezelfde oude werkgever, hobby of sport.

4. Verwijzen naar iemand met gezag

Hierbij doet iemand alsof het verzoek van bijvoorbeeld de directeur afkomstig is, vaak in combinatie met dat er snel gehandeld moet worden.

5. Misleidende kleding en accessoires

Als iemand fysiek binnen wil komen kan bepaalde nette kleding of een werkoveral helpen om gemakkelijk door te kunnen lopen.

6. Een hulpverzoek

Bijvoorbeeld een bezoeker die vraagt iets te printen dat op een usb-stick staat, die malware bevat.

7. Doen alsof alle collega’s ook al zijn ingegaan op het verzoek

Als anderen iets zogenaamd ook al hebben gedaan, zijn mensen geneigd dezelfde keuze te maken. Het komt daarmee over als een heel normaal verzoek dat niet in twijfel getrokken hoeft te worden.

8. Persoonlijk voordeel, korting, cadeaus

Iemand kan bijvoorbeeld een cadeaubon verdienen met een enquête en zo verleid worden om op de link in de e-mail te klikken.

9. Een wederdienst creëren

Als iemand iets voor je gedaan heeft, zelfs al was dat ongevraagd, is het lastig om daarna niet iets terug te doen.

10. Het verzoek brengen als een concessie

Door in eerste instantie om meer te vragen, kan iemand op je inspelen om wel akkoord te gaan met een concessie.

5.   Maak het bespreekbaar

Slachtoffers van cybercrime schamen zich soms dat ze zich hebben laten verleiden. Dat maakt het niet makkelijk om een melding te maken of voor een fout uit te komen. Het is daarom goed om binnen uw bedrijf te zorgen dat er geen taboe op ligt. Cybercriminelen gaan zo sluw te werk, dat het tegenwoordig iedereen kan overkomen.

Er open over praten met elkaar, zorgt ook voor meer bewustzijn. U kunt bijvoorbeeld zorgen voor een plek waar valse e-mails, facturen en andere verdachte zaken gedeeld worden. Zodat iedereen alerter is op deze zaken.

Altijd en overal gerust aan het werk

Uiteindelijk gaat het erom dat u en uw collega’s altijd en overal gerust aan het werk kunnen. Dat u zich niet druk hoeft te maken over de veiligheid van uw IT, omdat het goed geregeld is. Een goede partner is daarbij onmisbaar. Ontwikkelingen in cybersecurity gaan zo snel dat alleen specialisten het nog kunnen bijhouden. Als ICT partner stelt Hupra de veiligheid in combinatie met gebruikersgemak altijd voorop.