“Hallo mama, ik heb een nieuwe telefoon. Sla je mijn nieuwe nummer op?” Het is het begin van een WhatsApp gesprek met een oplichter, die jou later vraagt een geldbedrag over te maken. Opgelicht worden via WhatsApp of klikken op een linkje in een spam-mail. “Dat overkomt mij niet”, is een uitspraak die je vaak hoort. Toch vallen er nog altijd genoeg mensen voor de slimmigheden die cybercriminelen gebruiken om bij je binnen te komen. En dat gebeurt niet alleen in privésferen, maar ook op zakelijk gebied. Vaak denken we niet aan de gevolgen van wat we online zetten op social media. En ja, ook jij bent wel degelijk interessant voor cybercriminelen. Het tegenargument is dan vaak: “ik heb geen geheimen of ik ben niet vermogend”. Wat als je echter niet meer bij je foto’s kan? Of wanneer deze foto’s voor een nep-profiel worden gebruikt?
Hoe sociaal is sociaal
Het delen van informatie online, iedereen doet het. Bewust of onbewust. Denk bijvoorbeeld aan LinkedIn, waar je jouw successen en je loopbaan kunt delen met jouw netwerk. Hoe onschuldig het ook lijkt, ook LinkedIn is een platform waar cybercriminelen dankbaar gebruik van maken. Het lijkt misschien onschuldig wanneer je bijvoorbeeld een foto of video deelt, of een bericht plaatst met informatie over waar en met wie je werkt. In de praktijk is deze informatie echter goud waard. Jouw tone of voice en de informatie die je deelt, worden regelmatig gebruikt door cybercriminelen. De gegevens die over jouw beschikbaar zijn, doordat je deze zelf deelt, gebruiken zij om zich in jouw te verplaatsen. Staat bijvoorbeeld op jouw LinkedIn-pagina dat een van jouw taken het beheren van Tripwire is, dan vertel je de wereld dat jouw bedrijf met Tripwire werkt. Door deze informatie te delen, weten cybercriminelen met welke software ze te maken hebben en is het makkelijker om in te breken in het netwerk.
De overtreffende trap van phishing
LinkedIn is niet het enige social media platform dat gebukt gaat onder cybercriminaliteit. Met regelmaat zie je op televisie voorbij komen dat iemand voor duizenden euro’s is opgelicht door cybercriminelen. Een populaire manier waarop dit gebeurt, is phishing. Je ontvangt een bericht met een link waarop je gevraagd wordt te klikken. Of je wordt gevraagd een bijlage te openen. Om de kans te vergroten wordt in sommige gevallen de mail zelfs nagebeld door de cybercrimineel om je te overtuigen jouw gegevens in te voeren. Op deze manier proberen cybercriminelen malware te installeren of vertrouwelijke informatie te verkrijgen, zoals persoonlijke of inloggegevens. Naast phishing zijn overigens ook smishing (SMS) en vhishing of een combinatie van deze manieren erg populair. En zoals recent bij Bunq bleek kunnen cybercriminelen behoorlijk overtuigend zijn door slim gebruik te maken van beschikbare informatie op het internet en het inspelen op je gevoel.
Met de komst van AI worden deze methodes naar een nieuw niveau gebracht. Cybercriminelen gebruiken deze techniek bijvoorbeeld om goede phishingmails te schrijven, zonder taalfouten, en dat niet in een taal, maar in meerdere talen. Ze hebben aan een kort geluidsfragment (3 seconden) van jouw stem voldoende om jouw stem na te bootsen. Dus eenmaal in het bezit van deze gegevens, en met kennis van jouw tone of voice, kan een cybercrimineel proberen om zich als jou voor te doen. Zo kunnen vervolgens weer andere mensen binnen en buiten jouw organisatie worden misleid.
Hoe bescherm jij je organisatie?
Gelukkig zijn er manieren om cybercriminaliteit tegen te gaan en het aanvalsoppervlak van jouw organisatie te verkleinen. Een goed voorbeeld daarvan is om door middel van trainingen de medewerkers bewust te maken van de gevaren op het internet. Neem hen ook mee in de kansen en risico’s die AI met zich meebrengen. Door medewerkers training te bieden die past bij het kennisniveau en het werkgebied wordt het interessant om deze training te volgen. Deze aanpak zorgt er ook voor dat medewerkers meer gemotiveerd zijn om deel te nemen en kunnen zij zich ook verder ontwikkelen. Door daarbij ook aandacht te besteden aan het herkennen en melden van mogelijke verdachte situaties kan een cultuur gecreëerd worden waarbij cybersecurity niet alleen gedragen wordt door een IT-afdeling, maar door de hele organisatie.
Om te zorgen dat medewerkers op de hoogte blijven van de ontwikkelingen op het gebied van cybersecurity, is het verstandig om hun cyberweerbaarheid via een vaste cyclus van trainen en toetsen te vergroten. Immers, ook cybercriminelen ontwikkelen zich en maken gebruik van nieuwe technologieën en manieren om hun doel te bereiken.
Daarnaast is afgelopen jaar wederom gebleken dat cybersecurity een essentiële factor is als het gaat om het waarborgen van de bedrijfscontinuïteit. Zorg er daarom voor dat cybersecurity en het onder controle houden van het aanvalsoppervlak als prioriteiten worden gezien binnen je bedrijf. Niet omdat NIS2 of ISO27001 dat voorschrijft, maar omdat cybersecurity een essentiële pijler is voor het garanderen van de bedrijfscontinuïteit.
Dit is een ingezonden bijdrage van Tesorion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.