Cybersecurity: welke maatregelen op locatie zijn nodig?

Cybercrime klinkt als hightech. Je denkt al snel aan een hacker die op afstand allerlei ingewikkelde codes intypt. In werkelijkheid kiezen cybercriminelen vaak een gemakkelijkere weg: via uw medewerkers.

‘Fijne avond!’ Marlies groet vanaf de receptie een man die naar buiten loopt. Hij heeft een petje op en een werkbroek aan. Zo te zien hoort hij bij de klusmannen die vandaag bezig waren in het pand. Pas als hij richting zijn auto loopt, vraagt Marlies zich ineens af of dat wel klopt. De andere mannen zijn al een paar uur daarvoor vertrokken. Ze rent naar de deur en probeert het kenteken te zien, maar de auto staat te ver weg en de man rijdt vlot weg.

Marlies kan zichzelf wel voor haar hoofd slaan. Maar ze is niet de enige die dit overkomen is. In dit blog kijken we naar misleiding die in de fysieke omgeving plaatsvindt. En met welke maatregelen u dit risico kunt verkleinen. Vaak is het een kwestie van goede gewoontes. Maar laten we eerst kijken hoe cybercriminelen social engineering inzetten.

Wat is social engineering?

Social engineering is het gebruik van manipulatie en bedrog om toegang te krijgen tot vertrouwelijke informatie. Cybercriminelen zetten psychologische trucs in om medewerkers te bedriegen. Ze spelen in op de emotie en maken gebruik van de angst om bijvoorbeeld fouten te maken of iemand te beledigen. Zo verleiden ze medewerkers om de standaard beveiliging te doorbreken. Bijvoorbeeld door op een link te klikken, ongemerkt een geïnfecteerd bestand te downloaden of vertrouwelijke informatie te geven.

Fysieke en digitale social engineering

Er zijn 2 soorten social engineering: fysieke en digitale. Fysieke social engineering vindt op locatie plaats. Het doel is om informatie te achterhalen die later bij een digitale aanval van dienst kan zijn. Digitale social engineering gaat op afstand, bijvoorbeeld via internet of telefonisch.

In dit blog gaan we verder in op de fysieke vormen van social engineering. Hoe gaan cybercriminelen te werk?

1.    Besmette USB-sticks

Handig, die USB-sticks. Even die ene presentatie opslaan of die bedrijfsvideo mee overzetten. Cybercriminelen maken daar dankbaar gebruik van en verspreiden USB-sticks met schadelijke software. In de hoop dat een van uw medewerkers hem oppakt en in de computer steekt. Bijvoorbeeld uit nieuwsgierigheid of om de eigen collectie aan USB-sticks uit te breiden.

Zodra een medewerker de USB-stick in zijn computer doet, start automatisch de installatie van malware. Zo krijgen criminelen toegang tot de computersystemen of kunnen ze het netwerk gijzelen met ransomware.

2.    Voordoen als iemand anders

Impersonatie, oftewel: je voordoen als iemand anders. Het is een manier waarop criminelen soms verrassend makkelijk binnenkomen bij een bedrijf. Bijvoorbeeld door zich voor te doen als monteur of pakketbezorger. Met de juiste kleding en accessoires zetten ze medewerkers op het verkeerde ben. Om vervolgens in te breken op computers of gegevens te achterhalen die ze later kunnen gebruiken.

Wat denkt u: hoe makkelijk kom je overal binnen met een ladder?

3.    Tailgating en piggybacking

Tailgating houdt in dat iemand achter een medewerker aan naar binnen glipt. Dat kan ongemerkt gebeuren, door een deur die dichtvalt tegen te houden. Of de insluiper gaat bijvoorbeeld bij een groepje rokers staan en loopt met ze mee terug naar binnen. Dat laatste noem je piggybacking.

Net als bij andere social engineering technieken spelen psychologische trucs hier een rol. Misschien vindt een medewerker het wel vreemd dat iemand achter hem aanloopt, maar durft hij of zij er niets van te zeggen. Criminelen maken er gebruik van dat mensen liever geen fout maken in het aanspreken van anderen.

4.    Shoulder surfing

Shoulder surfing is een vorm van social engineering waarbij iemand over uw schouder meekijkt. Het kan u overkomen als u onderweg bent of op een openbare plek werkt. Bijvoorbeeld als u in de trein zit. Terwijl u een wachtwoord intypt of werkt met vertrouwelijke informatie kijkt een crimineel mee. Deze informatie gebruikt hij later voor het hacken.

5.    Afval doorzoeken

Een hacker kan ook in het afval op zoek naar vertrouwelijke informatie. Deze techniek heet dumpster diving. De bedrijfsgegevens gebruikt een hacker vaak om zijn verhaal geloofwaardiger te maken. Bijvoorbeeld als hij via de telefoon probeert om verder te komen.

Hoe kunt u het voorkomen?

Een menselijke fout is gemakkelijk gemaakt, maar u kunt gelukkig wel maatregelen nemen om het te voorkomen. In het artikel Cybercrime: trappen uw medewerkers in de trucs? hebben we 5 stappen beschreven die we adviseren.

Als we specifiek kijken naar fysieke vormen van social engineering, hebben we nog een aantal concrete tips voor u:

• Maak gebruik van een papierversnipperaar of een container met een slot.

• Laat bezoekers nooit zomaar binnen. Spreek af dat jullie altijd iemand bellen om te controleren of het verhaal klopt.

• Spreek met medewerkers af dat ze goed opletten als ze ergens werken waar andere mensen zijn. Een screenprotector met privacy filter op een laptop of telefoon voorkomt dat andere mensen kunnen meekijken. HP heeft bijvoorbeeld verschillende producten met HP Sure View geïntegreerd. Dit is een elektronische privacy filter die bescherming biedt tegen Visual Hacking.

• Spreek af om laptops en computers altijd te vergrendelen bij het verlaten van de werkplek.

• Hoe zou iemand bij uw bedrijf binnen kunnen komen? Sta daar samen met uw collega’s eens bij stil. Kunt u afspraken maken om dat te voorkomen?

Laat een test doen

Tot slot hebben we nog een gouden tip voor u: laat ethische hackers een test doen. Wij doen dat zelf ook om onder andere de Hupra Cloud werkplek te testen. Ethische hackers weten precies hoe hackers denken en proberen een weg te vinden om binnen te komen. U kunt ook vragen om daarbij te testen hoe veilig de fysieke locatie is. Wilt u een tip voor een goede partij hiervoor, laat het ons dan weten.

Altijd en overal gerust aan het werk

Uiteindelijk gaat het erom dat u en uw collega’s altijd en overal gerust aan het werk kunnen. Dat u zich niet druk hoeft te maken over de veiligheid van uw ICT, omdat het goed geregeld is. Een goede partner is daarbij onmisbaar. Ontwikkelingen in cybersecurity gaan zo snel dat alleen specialisten het nog kunnen bijhouden. Als ICT partner stelt Hupra de veiligheid in combinatie met gebruiksgemak altijd voorop.