De uitkomsten van dit onderzoek zijn zorgelijk. Want ondoordacht handelen en onveilige gewoonten van medewerkers vormen een substantieel veiligheidsrisico voor organisaties. Natuurlijk zijn er technische maatregelen en oplossingen die deze risico’s al helpen beperken. En met het tijdig installeren van belangrijke systeem-updates worden veel gevaarlijke software-lekken en kwetsbaarheden verholpen. Er is echter weinig bestand tegen medewerkers die zonder na te denken klikken op links in een e-mail of social media-bericht, die e-mail-bijlagen openen of die hun wachtwoorden op post-its schrijven en aan het scherm plakken.

Deze en andere menselijke fouten zijn belangrijke oorzaken van beveiligingsincidenten en datalekken bij organisaties, zo blijkt telkens weer. Maar het is ze wellicht niet helemaal aan te rekenen. Cyber-criminelen worden steeds gewiekster als het erom gaat mensen om de tuin te leiden.

Lange tijd waren vervalste e-mails van cyber-criminelen bijvoorbeeld relatief makkelijk te herkennen. Ze zaten vaak vol taalfouten of slecht geformuleerde zinnen. Maar die tijden zijn voorbij. Er wordt door de criminelen heel veel tijd en aandacht besteed aan het ontwerpen en schrijven van e-mail berichten die zelfs door experts nauwelijks nog worden herkend als phishing mails.

Social engineering

De laatste jaren zien we ook dat criminelen minder vaak standaardberichten naar grote groepen potentiële slachtoffers sturen. In plaats daarvan richten ze zich heel specifiek op bepaalde mensen binnen de organisatie, met zorgvuldig opgestelde berichten. De criminelen doen dan eerst uitgebreid onderzoek naar hun doelwit, bijvoorbeeld via Facebook, Twitter, LinkedIn, ... De persoonlijke informatie die ze daar vinden, gebruiken ze vervolgens om zeer overtuigende phishing mails te schrijven met allerlei persoonlijke of zakelijke details. Zo overtuigt de crimineel het slachtoffer van de authenticiteit van het bericht en is de kans vele malen groter dat hij of zij op een link klikt of een bijlage opent. Met alle mogelijke gevolgen van dien.

Spearphishing

Een andere groeiende trend is het zogenaamde “spearphishing”. Hierbij gaat het er in de meeste gevallen niet om het slachtoffer te verleiden op een link te klikken, maar om hem zover te krijgen dat hij vertrouwelijke informatie geeft of specifieke opdrachten uitvoert. Denk bijvoorbeeld aan een e-mail van de “IT-afdeling” of “de beheerder” met het verzoek de inlog-gegevens voor het bedrijfsnetwerk of bedrijfstoepassingen te verstrekken.

Ook het aantal pogingen tot “ceo-fraude” neemt toe. Daarbij ontvangt het slachtoffer - meestal iemand op de financiële administratie - een belangrijk e-mail bericht van de “ceo” of de “directeur”. Daarin wordt de opdracht gegeven om met spoed een flink geldbedrag over te maken op een rekening, vanwege een belangrijke business deal. Natuurlijk gaat het om een “vertrouwelijke transactie”, vandaar dat het een onbekend rekeningnummer betreft. Ook wordt soms geappelleerd aan de persoonlijke inzet van het slachtoffer (“Ik reken op u!”). Zo krijgt het slachtoffer het idee dat de directeur juist hem of haar heeft geselecteerd voor deze belangrijke opdracht, waarmee eventuele twijfels of zorgen worden overstemd.

Een belangrijke techniek die bij dit soort fraudepogingen wordt toegepast, is het vervalsen van het e-mail domein van de afzender: e-mail domain spoofing. Dit maakt het lastiger om aan het e-mail adres van de afzender te herkennen dat een mail nep is. Gelukkig zijn er inmiddels diverse technische maatregelen die een organisatie kan nemen om zich tegen e-mail domain spoofing te beschermen, maar deze moeten natuurlijk wel worden toegepast.

Regelmatig trainen en voorlichten

De beste manier om het bewustzijn van medewerkers rond cyber-criminaliteit, phishing en spearphishing te vergroten, is door ze regelmatig te trainen. Tijdens zo’n training moeten medewerkers vertrouwd gemaakt worden met de methodes die cyber-criminelen hanteren, bijvoorbeeld aan de hand van concrete voorbeelden. Concrete tips over e-mail hygiëne en veilige procedures bieden de medewerkers houvast en vertrouwen. Bij voorkeur vindt zo’n training iedere zes maanden of ieder jaar plaats, want cyber-criminelen komen voortdurend met nieuwe technieken en methodes.

Social engineering moet een belangrijk onderwerp van deze trainingen zijn, waarbij het er om gaat dat medewerkers altijd nadenken voor ze handelen, ongeacht van wie een e-mail afkomstig lijkt. Zou de directeur of de IT-afdeling zo’n verzoek wel via e-mail doen? Past het wel in het bedrijfsbeleid? Laat ze zaken altijd controleren of om een bevestiging vragen. En natuurlijk is het een goed idee om de alertheid en het bewustzijn ook daadwerkelijk te testen met gesimuleerde aanvalspogingen.

Organisaties kunnen ook bekijken welke functionarissen en medewerkers aantrekkelijke doelwitten vormen voor dit soort aanvallen. Een marketing- of verkoopmedewerker is wellicht minder interessant voor een crimineel dan iemand met toegang tot gevoelige informatie, belangrijke IT-systemen of financiële middelen. De zo geïdentificeerde medewerkers zouden extra getraind moeten worden.

Wanneer organisaties meer grip krijgen op de menselijke factoren die een rol spelen bij cyber-criminaliteit, kunnen ze die risico’s duidelijk terugdringen. Een goed doordachte security-aanpak, effectief beleid en slimme beveiligingsoplossingen maken het geheel compleet. (D.C.)

(Bovenstaande bijdrage kwam tot stand in samenwerking met G DATA Software Belgium B.V.B.A. (Groot-Bijgaarden))

Meer info: 070/350.129 of www.gdata.be.