Een cyberaanval zit in een klein hoekje
Geplaatst op 16-10-2023 in Kennisbank
Tegenwoordig zijn cybercriminelen steeds op zoek naar nieuwe manieren om toegang te krijgen tot systemen en gegevens. Je hebt vast weleens gehoord van cyberaanvallen zoals van phishing via e-mail of ransomware. Maar er zijn ook genoeg onbekende methoden, die minder voor de hand liggend zijn. In dit blog ontdek je verschillende manieren waarmee cybercriminelen via de achterdeur naar binnen glippen.
1. Social engineering
Bij social engineering proberen cybercriminelen mensen te manipuleren om vertrouwelijke informatie te onthullen. Ze spelen in op de bereidheid om anderen te vertrouwen. Social engineering heeft veel verschillende vormen van cyberaanvallen zoals phishing per mail of telefonisch. Een minder bekende vorm van social engineering is ‘Water-Holing’. Cybercriminelen identificeren websites die vaak worden bezocht door hun doelwitten en proberen ongeautoriseerde toegang tot deze websites te krijgen om malware te verspreiden naar bezoekers. Omdat je deze websites vertrouwt, ben je vaak minder op je hoede voor bedreigingen.
2. Fysieke toegang
Cybercriminelen kunnen, met fysieke toegang tot computers of netwerkinfrastructuur, verschillende aanvallen uitvoeren. Werk je op een openbare plek of op een locatie met flexplekken? Voorkom dat je je laptop onbeheerd achterlaat. Voorbeelden van bedreigingen zijn diefstal van de laptop of een geïnfecteerde USB-stick. Uit een onderzoek op een universiteit is gebleken dat meer dan 65% van de studenten nieuwsgierig zijn naar de inhoud van een USB-stick en zelfs 50% daadwerkelijk kijkt wat erop staat. Laat onbekende USB-stick links liggen.
3. Supply-chain aanvallen
Cybercriminelen proberen binnen te dringen via zwakke schakels in de toeleveringsketen van accountantskantoren, zoals leveranciers of externe dienstverleners. Vertrouw niet blindelings op leveranciers en wees kritisch. Als kantoor is het daarom belangrijk om vragen te stellen aan de leverancier over de veiligheidsmaatregelen. In de whitepaper ‘Blijf cyberrisico’s de baas in het AI-tijdperk’ vind je een checklist met vragen die je kan stellen aan IT-leveranciers.
4. Malvertising
Malware kan worden verspreid via advertenties op legitieme websites. Als je op een geïnfecteerde advertentie klikt, kan je apparaat worden besmet. Een sluwe cybercrimineel richt zich specifiek op de accountancysector door advertentieruimte te verwerven op websites die accountants vaak bezoeken. Vervolgens wordt een voor het oog legitieme advertentie geplaatst. Wanneer een gebruiker deze advertentie bekijkt of erop klikt, kan schadelijke code automatisch worden geactiveerd, zonder dat de gebruiker het doorheeft.
5. Fysieke documenten
Het komt vaak voor dat bedrijven één of meer units huren in een gezamenlijk bedrijfspand. Aan de achterkant van het pand staat vaak een papierbak. Voorkom dat je vertrouwelijke documenten of informatie weggooit zonder het te versnipperen. Deze informatie kunnen cybercriminelen verzamelen en inzetten om toegang te krijgen tot nog meer data.
6. Post-its met wachtwoorden
Laat ook geen post-its met wachtwoorden slingeren. Sommige medewerkers plakken een post-it met het wachtwoord op het scherm of op de laptop. Het komt ook nog weleens voor dat er een foto wordt gedeeld van een werkplek waarbij de post-it zichtbaar is. Niet heel handig. Voorkom dat je gevoelige informatie op post-its schrijft en deze zichtbaar ophangt. Je weet maar nooit wie door een raam gluurt en belangrijke informatie tot zich neemt.
7. Printers als zwakke schakel
Slecht beveiligde printers zijn een toegangspunt voor cybercriminelen om gegevens te stelen of malware te verspreiden. De printers zijn vaak verbonden met het netwerk. Als ze niet goed geconfigureerd zijn of als de firmware niet regelmatig wordt bijgewerkt, vormen ze een zwakke schakel. Criminelen proberen afdrukopdrachten te onderscheppen om gevoelige informatie te stelen. Dit kan informatie zijn die wordt afgedrukt vanuit e-mails, bedrijfsdocumenten of rapporten.
8. IoT apparaten
Internet of Things-apparaten zoals slimme thermostaten, beveiligingscamera’s en slimme verlichtingssystemen of smart-lampen zijn mogelijk slecht beveiligde toegangspunten. Hoewel IoT onze dagelijkse routines efficiënter en handiger maakt, mogen we de potentiële gevaren niet over het hoofd zien. Het niet of onregelmatig updaten van deze apparaten zorgt ervoor dat cybercriminelen via de achterdeur in het netwerk komen. Wil je wel gebruik blijven maken van IoT apparaten? Koppel ze dan aan een ander netwerk dan waar medewerkers op werken en update de firmware regelmatig.
9. Het gevaar van thuiswerken
In de nasleep van COVID-19 werken veel mensen vanuit huis. Thuisnetwerken zijn mogelijk minder goed beveiligd dan bedrijfsnetwerken. Dit geeft cybercriminelen de kans om via thuisnetwerken de bedrijfssystemen te infiltreren. Ook gebruiken in huishoudens meerdere mensen dezelfde apparaten. Dit kan een gevaar zijn omdat niet iedereen even veilig omgaat met spullen van anderen. Uit onderzoek van cyberbeveiligingsbedrijf Kaspersky blijkt dat 71% van de ondervraagde Nederlandse kinderen niet in staat is een of meer phishingmails te herkennen. Het is dus mogelijk dat medewerkers goed geïnformeerd zijn over phishing, maar de kinderen niet.
10. Interne incidenten
Het komt helaas ook voor dat gevoelige informatie lekt door toedoen van medewerkers. Zo ontstond er een datalek bij de politie door een ontslagen medewerker, die telefonisch gevoelige informatie opvroeg. En bij Vattenfall was er een datalek door een externe inhuurkracht. Denk vooral niet: “Dat doen mijn medewerkers niet”. Zorg ervoor dat alleen de juiste mensen toegang hebben tot de juiste documenten en voer hier controles op uit. Een HR-manager mag bijvoorbeeld niet dezelfde toegangsrechten hebben als een accountant.
Wees voorbereid op een cyberaanval
Met de komst van AI is het voor criminelen steeds gemakkelijker om ongeautoriseerde toegang te krijgen. Wees daarom waakzaam. Het is cruciaal om je organisatie te beschermen tegen cybercriminaliteit en je medewerkers bewust te maken van de risico’s. Na het lezen van de whitepaper ‘Blijf cyberrisico’s de baas in het AI-tijdperk’, ben je op de hoogte van de belangrijkste stappen om de cyberveiligheid van jouw kantoor naar een hoger niveau te tillen. Ook weet je hoe je van je medewerker de sterkste schakel maakt.