Blogs

IT-ers moeten deze 3 gevaarlijkste nieuwe beveiligingsrisico’s kennen

Drie nieuwe beveiligingsrisico’s voor it-ers

Jelle Wieringa van KnowBe4 deelt in dit blog drie beveiligingsrisico’s die voor IT-ers relatief nieuw, geraffineerd en zeer schadelijk zijn.

Tijdens KB4-CON in Orlando, het jaarlijkse securitycongres van ons bedrijf, voeren de risico’s waartegen bedrijven en organisaties zich moeten wapenen noodgedwongen de boventoon. Drie beveiligingsrisico’s zijn relatief nieuw, geraffineerd en zeer schadelijk. Daarom wil ik ze graag met IT-ers delen.

1. Phishing en ransomware op gratis platforms
Cybercriminelen bedienen zich constant van nieuwe methodes. Onze ceo Stu Sjouwerman wordt bijna iedere dag benaderd door IT-ers die daar het slachtoffer van worden. Ook onze klanten rapporteren iedere dag actief duizenden gevallen van phishing en social engineering, waar met regelmaat nieuwe varianten uit naar voren komen. Zo noemde Sjouwerman op de conferentie het gevaar van phishing en ransomware op gratis platforms als Dropbox en Google Docs. Dat zijn omgevingen waarin gebruikers argeloos bestanden openen. Maar die bestanden kunnen wel degelijk geïnfecteerd zijn. Zo’n 13 procent van alle phishing- en ransomware-aanvallen verloopt al op deze manier.

2. Het dark web als informatiebron
De snelheid en professionaliteit waarmee datalekken van het dark web naar het deep web gaan en vervolgens het ‘gewone’ internet bereiken is de laatste maanden enorm toegenomen. Dit is problematisch. Het is nog nooit zo makkelijk geweest om aan informatie van potentiële slachtoffers te komen. Cybercriminelen, en ook de buurjongens of concurrenten van IT-ers, kunnen via Google en open source intelligence (er zijn gratis tools te downloaden via bijvoorbeeld GitHub) in vele oude en recente datalekken zoeken en zo eenvoudig e-mailadressen, gebruikersnamen en wachtwoorden achterhalen. Ook geboortedata en huisadressen zijn voldoende te vinden. Al die informatie kan worden ingezet voor spear phishing-aanvallen: aanvallen die specifiek gericht zijn op één persoon of organisatie.

3. Deep fakes
Met deep fakes breekt voor cybercriminelen en IT-ers een heel nieuw tijdperk aan. Een filmpje waarin Jennifer Lawrence opeens het hoofd van collega-acteur Steve Buscemi heeft is grappig. Maar het is weinig amusant als medewerkers, klanten en journalisten een niet van echt te onderscheiden videoboodschap van de ceo in hun mailbox krijgen. Stel dat die video nieuwe software aankondigt waarin mensen per direct kunnen inloggen met hun bestaande inloggegevens (de cybercriminelen krijgen in een paar minuten een stortvloed aan credentials binnen!). Of dat de ceo zogenaamd een overname of winstwaarschuwing aankondigt en de beurskoers van het bedrijf rap naar beneden glijdt?

Valt hier voor IT-ers nog wel tegenaan te beveiligen? Ja en nee. Zoals mijn Amerikaanse collega Erich Kron het omschrijft: beveilig de organisatie (en jezelf) in ieder geval dusdanig dat een cybercrimineel het liever een eindje verderop probeert. Technologie alleen is daarvoor niet voldoende; zeker met bovenstaande scenario’s in het achterhoofd is het noodzakelijk dat medewerkers bekend zijn met en getraind zijn op de nieuwste vormen van cybercriminaliteit.

Naar boven