De laatste trends op het gebied van oplichting
Nou nog een truc dan. Om het af te leren! Eén van de meest bekende trucs in de industrie is de Starbucks-hack. De truc wordt overigens bij verschillende koffiezaken uitgehaald en dus niet specifiek bij Starbucks. Hoe werkt het? Je komt een koffiezaak binnen en het eerste wat je doet is zoeken naar WiFi-toegang. In de lijst met beschikbare punten kom je Starbucks-Free WiFi tegen. Daar maak je snel verbinding mee. Het punt is dat Starbucks hun WiFi vrijwel nooit zo noemt. Je loopt hier het risico verbonden te zijn met een crimineel, die een WiFi-punt beschikbaar stelt en die op deze manier al jouw online acties kan volgen en dus ook kan zien welke wachtwoorden je op welke plekken gebruikt.
Ook de mails uit Afrika van een lang verloren familielid zijn populair. Heerlijk dat deze besloten heeft z’n geld aan jou na te laten. Je gelooft het bijna niet, maar hier trappen nog altijd mensen in! Via deze mensen wordt dan vervolgens weer toegang gekregen tot bedrijven waar ze werken of via de persoonlijke werkmailaccount worden acties uitgelokt. Een mooi voorbeeld hiervan is ‘whaling’, ook wel CEO Fraude genoemd. Whaling is een vorm van phishing waarbij criminelen zich voordoen als hooggeplaatste personen binnen een organisatie om geld, klantgegevens en vertrouwelijke bedrijfsgegevens te verkrijgen. Dit bedrijf mocht het aan den lijve ondervinden. Whaling gebeurt voornamelijk via e-mail. Bedrijfseigenaren, directeuren en belangrijke medewerkers zijn de belangrijkste doelwitten van deze phishingmethode. De manier waarop dit zich meestal afspeelt, is dat een e-mail zogenaamd van de directeur aan de boekhoudafdeling wordt verstuurd met een instructie om geld van de ene rekening naar de andere over te maken.
Niet al je medewerkers of collega’s zijn zich bewust van de risico’s
Ik denk dat ik na drie deelblogs wel mag concluderen dat mensen de zwakke schakel vormen in informatiebeveiliging. Hopelijk heb ik jou als lezer daarvan ook doordrongen. Maar als dat dan de conclusie is: waarom staan deze mensen dan achteraan in de rij voor wat betreft de investering in informatiebeveiliging. Bewustwording is cruciaal en zeker niet eenmalig. Natuurlijk moet de boekhouder niet zo maar na een mailtje van de directeur een groot bedrag overmaken! Natuurlijk moet hij eerst even met hem bellen. “Gert weet je het zeker? Klopt dit wel?”. De praktijk is echter weerbarstiger.
Bewustwording los je niet op met een eenmalige instructie op papier of met huisregels. Het is een proces en vergt een plan. Personeel moet altijd op de hoogte zijn van de laatste trends in oplichting. Computercriminaliteit moet continue op de agenda staan en voortdurend onder de aandacht worden gebracht. En dat kan! Dat is niet alleen voorbehouden tot grote organisaties met enorme securityafdelingen. Ieder bedrijf kan en moet dat doen. Vooral het MKB is kwetsbaar. MKB bedrijven hebben vaak geen eigen IT-afdelingen, zijn direct afhankelijk van leveranciers die ook niet altijd vinden dat het hun verantwoordelijkheid is en komen er dus altijd te laat achter dat ze een probleem hebben. Hoe is dat bij jouw organisatie geregeld?
