NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet wordt binnenkort van kracht. Bekijk het nu.
Cybercriminelen vallen leidinggevenden van organisaties aan om alweer een nieuwe vorm van oplichting toe te passen: ceo-fraude.
Ceo-fraude vindt plaats in twee stappen: verkenning en uitvoering. Cybercriminelen vergaren eerst lange tijd online informatie en doen onderzoek om meer te weten te komen over een organisatie en haar medewerkers. Vervolgens proberen ze via e-mail, chat of telefonisch contact op te nemen met deze medewerkers om specifieke informatie te weten te komen over de leidinggevenden van de organisatie, de processen voor het uitvoeren van een betaling, de klanten en leveranciers. Nadat ze alle nodige informatie voor hun oplichting hebben vergaard, nemen cybercriminelen de identiteit van een hooggeplaatst persoon binnen de organisatie over, om het vertrouwen van de medewerkers te winnen zodat ze minder snel zullen twijfelen aan de herkomst van het ontvangen bericht. Zodra ze de identiteit van de ceo of van een leidinggevende hebben overgenomen en het vertrouwen van het slachtoffer hebben gewonnen, zullen de oplichters proberen om geld en/of vertrouwelijke gegevens te stelen.
De medewerkers van een bedrijf vormen de eerste verdedigingslinie. Je medewerkers moeten in staat zijn om oplichting en valse boodschappen te herkennen om de juiste reflexen te ontwikkelen. Cybercriminelen kunnen verschillende technieken gebruiken om te proberen de contactgegevens van de medewerkers te stelen en zo toegang te krijgen tot de bronnen van een organisatie. Phishing-e-mails zijn een van de meest voorkomende vormen van oplichting. Cybercriminelen proberen hun slachtoffer ervan te overtuigen zijn wachtwoorden of vertrouwelijke informatie te delen. Het is dus belangrijk om regelmatig informatiesessies te organiseren om de medewerkers te leren niet te veel informatie te delen op sociale media en niet op een link te klikken of een bestand te openen zonder eerst de herkomst te analyseren.
Wanneer het verzoek in een bericht betrekking heeft op ongebruikelijke transfers of er sprake is van hoge bedragen of wanneer er ongebruikelijke redenen of uitzonderlijke omstandigheden worden aangevoerd om het verzoek toe te lichten, gaat het waarschijnlijk om oplichting.
3. Maak je werknemers bewust van veilig telewerken
Telewerk is de nieuwe norm, wat ceo-fraude in de hand werkt. Cybercriminelen profiteren van individuele medewerkers omdat het gemakkelijker is hen te overtuigen een betaling uit te voeren. Het telewerken kan echter wel veilig gebeuren door middel van verschillende goede praktijken, zoals het gebruik van sterke wachtwoorden en multifactorauthenticatie voor alle toegangen op afstand. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.
Daarnaast moet de organisatie richtsnoeren en regels voor telewerk opstellen, zodat de medewerkers zich de juiste reflexen eigen maken, bijvoorbeeld hun werkpost vergrendelen wanneer ze deze verlaten of geen geschreven en toegankelijke wachtwoorden achterlaten.
Tot slot dient de organisatie beveiligingscontroles uit te voeren, zoals het versleutelen van al het verkeer van/naar de telewerker, het installeren van een antivirus en een lokale firewall op de apparaten met toestemming om op afstand in te loggen, het updaten van alle apparaten en software zodra dit mogelijk is, het regelmatig back-uppen van de kritieke bedrijfsmiddelen en het beveiligen van de werkposten door de elementen te controleren waartoe toegang op afstand mogelijk is.
4. Stel duidelijke procedures op voor de identificatie van de personen die een transactie aanvragen en de goedkeuring van de uitvoering van een transactie, en deel deze procedures
Ongeacht wie om informatie vraagt, de medewerkers moeten op de hoogte zijn van het geldende beleid inzake de gegevensclassificatie, de overdracht en uitwisseling van informatie en het aanvaardbare gebruik van informatie. Bovendien verkleint het invoeren van een goedkeuringsprocedure voor elektronische overmakingen het risico op dit soort oplichting, omdat een medewerker uiteindelijk altijd zal merken dat het verzoek fake is en er geen gevolg aan moet worden gegeven. Ten slotte moet er ook een procedure worden ingevoerd om de identiteit van de afzender te controleren, bijvoorbeeld door zijn naam of bankrekening te vergelijken met een lijst die intern wordt bijgehouden of door te proberen hem op een andere manier te bereiken. Elke wijziging van deze interne lijst moet worden goedgekeurd door een hiërarchische meerdere.
5. Let op wat je online publiceert
Via sociale media en de website van een organisatie kunnen veel klanten worden bereikt. Het is echter niet altijd mogelijk om het publiek dat toegang heeft tot de gepubliceerde informatie en berichten volledig te controleren. Persoonlijke of vertrouwelijke informatie hoort niet thuis op deze platformen, omdat ze voor kwaadwillige doeleinden zou kunnen worden gebruikt, bijvoorbeeld om medewerkers van de financiële dienst te identificeren die waarschijnlijk beter in staat zijn om een dringende overschrijving naar hun ceo uit te voeren.
6. Beveilig de toegang tot je accounts
Accounts zijn een toegangspoort tot de gehele omgeving van een organisatie. Daarom moeten ze worden beschermd met sterke, verschillende wachtwoorden voor elke account. Een sterk wachtwoord bestaat uit ten minste twaalf tekens en een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Multifactorauthenticatie dient zoveel mogelijk te worden geactiveerd, in combinatie met sterke wachtwoorden. Bij multifactorauthenticatie moet een gebruiker minstens twee verschillende methodes hanteren (bv. een wachtwoord en pincode, een pincode en een code via sms) om zijn identiteit te controleren en toegang te krijgen.
Meld oplichting via mail altijd aan je IT-verantwoordelijke en aan de bevoegde nationale autoriteit (verdacht@safeonweb.be (NL/DE); suspect@safeonweb.be (FR); suspicious@safeonweb.be (EN) en verwijder de e-mail onmiddellijk.
Het doel van deze inhoud is om goede cyberbeveiligingspraktijken te delen en onder de aandacht te brengen.
Sommige van deze adviezen kunnen anders van toepassing zijn, afhankelijk van de context van uw organisatie.
Houd u altijd aan het beleid en de instructies die binnen uw organisatie van kracht zijn.
Vraag bij twijfel altijd eerst advies aan uw IT-manager.