Feit: 100 % van de bedrijven krijgt te maken met cybercriminaliteit
100%. Dat is dus ieder bedrijf. Ook dat van u! Want ga maar na, ook bij uw organisatie is wel eens een phishingbericht of ransomware mailtje binnengekomen toch? Hopelijk was men op tijd dit te signaleren, of erger, was het kwaad al geschied. Met alle nare gevolgen van dien.
WAAROM WORDT ER GEHACKT?
Het is goed om te realiseren dat cybercriminelen vaak vanuit de volgende intenties handelen:
+ 95% van de aanvallen is niet doelgericht op een persoon;
+ het doel van de hacker is bijna altijd financieel gewin óf
+ het verkrijgen van concurrentiegevoelige informatie,
+ het plegen van identiteitsfraude en
+ afpersing
We zien helaas nog steeds dat de weerbaarheid van organisaties nog achterblijft op de groei van deze dreiging, dus de kans dat een hacker slaagt is relatief groot.
SOCIAL ENGINEERING: MISBRUIK MAKEN VAN DE MENS ALS ZWAKTSTE SCHAKEL
Social engineering is een techniek waarbij een cybercrimineel computersystemen probeert aan te vallen via de zwakste schakel in de computerbeveiliging, namelijk de mens. Criminelen proberen vertrouwelijke informatie via medewerkerste verkrijgen, waarmee men in staat is de hierboven benoemde doelen te realiseren. Ze spelen daarbij gehaaid in op menselijke eigenschappen zoals vertrouwen, nieuwsgierigheid, angst, hebzucht en onwetendheid.
Verder is uit onderzoek is gebleken dat bijna alle werknemers (92%) het volste vertrouwen hebben in de technische beveiligingsmaatregelen die de werkgever heeft geïnstalleerd. Werknemers gaan er dan ook vanuit dat zij zelf vrijwel niets hoeven te doen als het gaat om security op de werkvloer. Daar schuilt dan ook direct het gevaar: veel veiligheidsincidenten ontstaan door onwetendheid en onachtzaam handelen door eigen medewerkers.
Daarom is het belangrijk om uw medewerkers te trainen op het signaleren van mogelijke dreigingen en ze bewust te laten worden van hun rol hierin.
EYE OPENER: SOCIAL ENGINEERING ONDERZOEK
Via een zogenaamd social engineering onderzoek kunnen we de risico’s en aandachtspunten van de menselijke factor van informatiebeveiliging bij uw organisatie in kaart brengen. Wij onderzoeken hiermee in hoeverre uw medewerkers gemanipuleerd kunnen worden om vertrouwelijke informatie af te geven. De technische factor laten wij hierbij buiten beschouwing.
Zo kunnen wij bijvoorbeeld testen of uw personeel:
+ Verleid kan worden om op links te klikken of bijlages te openen in een e-mail;
+ Zorgvuldig omgaat met vertrouwelijke data en bestanden;
+ Alert is, als gevraagd wordt om netwerk- en/of inloggegevens te delen;
+ Op de hoogte is van bekende en minder bekende ‘human hacking’ methoden
DE MEEST GEBRUIKTE HACKING METHODES VOOR U IN KAART
In overleg met u kunnen wij een aantal veelgebruikte methodes voor u testen, bijvoorbeeld:
Phishing e-mail
De meest populaire vorm van internetfraude waarbij via e-mail wordt ‘gevist’ naar inlog- of andere gegevens. Wij stellen voor u een risicoloze phishingmail op die binnen uw organisatie wordt verstuurd. Vervolgens monitoren we het percentage medewerkers dat de mail opent, op links klikt en/of gegevens achterlaat.
Sms phishing
Criminelen gebruiken steeds vaker sms, WhatsApp of Facebook om slachtoffers te phishen. Veel ontvangers verwachten deze vorm van phishing niet, waardoor het in de praktijk erg succesvol blijkt. Wij versturen voor u een veilige phishing sms, waarbij we doen alsof de ontvanger een voicemail (1233)* heeft ontvangen. De sms bevat een “besmette” link die verwijst naar een landingspagina. Vervolgens monitoren we het aantal kliks.
* Dit vervalsen wordt ‘spoofen’ genoemd: een vervalsing van een op het eerste oog betrouwbare afzender. Hiermee proberen criminelen het vertrouwen van de ontvanger te winnen en hem of haar vervolgens schadelijke links of bijlagen te laten openen
Mystery guest
Een van onze onderzoekers komt bij u langs op locatie, bijvoorbeeld in de rol van printermonteur, om uw organisatie te infiltreren. We brengen in kaart in hoeverre er: ongeautoriseerd toegang tot het pand en werkruimtes verkregen kan worden, werkstations vergrendeld zijn, inloggegevens achterhaald kunnen worden en toegang is tot vertrouwelijke informatie en dossiers van printers, papierbakken en bureaus.
Vishing: Telefonische phishing
Bij telefonische phishing (vishing genoemd), wordt gekeken in welke mate gegevens of informatie wordt afgegeven als uw medewerkers benaderd worden door één van onze onderzoekers die zich bijvoorbeeld voordoet als ICT-medewerker. Door het vertrouwen te winnen van de betreffende medewerker wordt gekeken in hoeverre onze “crimineel” vertrouwelijke informatie kan achterhalen.
USB-test
Het komt nog steeds voor dat USB-sticks en harde schijven gedeeld en uitgewisseld. Dit kan leiden tot verlies of infectie van vertrouwelijke documenten en data. Door risicoloze USB-sticks te verspreiden of ‘per ongeluk’ te laten vinden kunnen wij monitoren hoeveel werknemers verleid kunnen worden om een USB-stick, die geïnfecteerd had kunnen zijn met malware, aan te sluiten op hun werkstation.
GRATIS Module Security awareness: Hoe ‘security aware’ bent u?
Denkt u nu, dit is ook interessant voor mijn organisatie en wilt u meer weten over het belang van security awareness? Wilt u op een laagdrempelige manier meer inzicht krijgen in de risico’s en consequenties van menselijk handelen? Informeer dan naar onze security awareness demo! Ook vertellen wij u graag meer over onze onderzoeksmogelijkheden
Inphos+ security oplossingen: Complete beveiliging, op elk gebied
Wij helpen organisaties met hun digitale transformatie door het creëren van een moderne, op cloud gebaseerde ICT-omgeving. Een werkplek die gericht is op de standaarden van nu, maar ook flexibel en aanpasbaar is ten aanzien van toekomstige ontwikkelingen. Hierin staat een optimale afstemming tussen slim samenwerken en de juiste beveiliging centraal. Wij bieden oplossingen waarmee medewerkers sneller, makkelijker en veiliger kunnen samenwerken. Daarbij zetten wij in op securitymaatregelen die gebaseerd zijn op drie pijlers: de techniek, proces maar bovenal de mens. Wij nemen onze klanten daarin bij de hand en begeleiden hen in hun route naar het bedrijf van de toekomst, in een tempo dat past bij de klant.
