NIS2: Bent u in het toepassingsgebied?
De nieuwe Belgische cybersecurity-wet wordt binnenkort van kracht. Bekijk het nu.
Cybercriminelen zijn vaak uit op geld en gebruiken daarvoor persoonlijke en professionele informatie. Ze proberen bijvoorbeeld geld te stelen of doen zich voor als een bepaalde persoon om toegang te krijgen tot ongewenste en/of illegale diensten. Om aan geld te geraken, proberen ze hun slachtoffer te benaderen en een reactie uit te lokken, zoals het downloaden van een bestand, het klikken op een link of het geven van een geheime code of wachtwoord. Het slachtoffer kan niet van tevoren weten dat hij het doelwit is van deze kwaadaardige activiteit.
Je kunt worden opgelicht via sms, e-mail of sociale media. Omdat het tijdstip van een mogelijke cyberaanval niet te voorspellen is, moet je voldoende aandacht besteden aan elk onverwacht bericht. De meest bekende cyberaanval waarbij gebruik wordt gemaakt van onverwachte berichten is phishing.
• Is het onverwacht?
• Is het dringend?
• Ken je de afzender?
• Vind je de vraag vreemd?
• Naar waar leidt de link waar je moet op klikken? (er alleen met je muis overheen gaan, niet klikken)
• Staat er een QR-code in het bericht?
• Word je persoonlijk aangesproken?
• Bevat het bericht veel taalfouten?
• Zit het bericht in je Spam/Junk folder?
• Probeert iemand je nieuwsgierig te maken?
• Wordt er gevraagd om een betaling uit te voeren?
Oplichters proberen websites te maken die de interesse van de bezoeker wekken, zoals een webwinkel of een onlinespel, maar ook portaalsites met nuttige informatie voor het bedrijfsleven die ze er zo authentiek mogelijk uit laten zien. Vervolgens proberen ze de bezoekers te verleiden tot de aankoop van een fictief artikel, door ze te laten geloven dat ze
een cadeau of een speciale kortingsbon hebben gewonnen, of bezorgen ze hen een gevraagd document met de bedoeling hun professionele en persoonlijke informatie te stelen waarmee ze geld kunnen verdienen.
De volgende vijf gouden tips en tricks helpen om de legitimiteit van een website te beoordelen en de malafide websites er makkelijker uit te pikken.
Om een website van een organisatie er zo officieel mogelijk te laten uitzien, geven cybercriminelen vaak een adres op dat lijkt op het echte adres van die organisatie (bijvoorbeeld mijnorganisatie [.]be in plaats van mijn[.]organisatie [.]be). Ze kunnen ook een ander topleveldomein gebruiken dan het legitieme (zoals .org in plaats van .com of .be). Daarnaast kunnen ze spelen met letters en cijfers om mensen te laten denken dat ze op de juiste website zitten. Ze kunnen bijvoorbeeld een hoofdletter 'i' gebruiken in plaats van de letter L of het cijfer nul in plaats van de letter o.
Wanneer je het exacte legitieme websiteadres van een organisatie of van een webbron niet kent, kan een snel onderzoek op een van de bekendste zoekmachines helpen om het adres te achterhalen zonder op een verdachte link te moeten klikken.
De website moet bekend zijn bij het publiek: je kunt altijd de IT-verantwoordelijke van je organisatie raadplegen om de legitimiteit van de website te beoordelen. Verder kan je online reviews lezen om er zeker van te zijn dat de aangeboden dienst echt is en geen bedrog. Sommige antimalware-oplossingen kunnen ook een reputatiescore voor websites geven en zijn toegankelijk via de functies van de antimalware.
Oplichters proberen de aandacht van de bezoekers van een website te trekken door overdreven kortingen aan te bieden. Als het te mooi is om waar te zijn, is het waarschijnlijk niet waar.
Wanneer je persoonlijke gegevens moet invullen voor een levering en betaling buiten de oorspronkelijke webwinkel om, kan dat wijzen op oplichting. Ook een verzoek om te betalen via een derde partij, bijvoorbeeld een pakjes- of transportorganisatie, is een veelgebruikte manier van cybercriminelen om geld te ontvreemden zonder dat daar een dienst tegenover staat.
Een webadres moet beginnen met https en niet met http. Dit geeft aan dat de informatie die de bezoekers verstrekken alleen door de website zelf kan worden gelezen. De 'S' moet er altijd staan als je online surft, maar zelfs met https kan een website nog steeds kwaadaardig zijn.
Sommige persoonsgegevens zijn niet nodig voor specifieke diensten. Het is bijvoorbeeld niet nodig een socialezekerheidsnummer te verstrekken om iets te kopen. Als een website vraagt om ongebruikelijke informatie voor de geleverde dienst, kan dat erop wijzen dat er sprake is van oplichting.
Persoonsgegevens zijn zeer waardevolle informatie voor cybercriminelen. Ze kunnen ze gebruiken om zich voor te doen als bepaalde personen of om collega's, klanten of leveranciers van een organisatie als doelwit te nemen. Ze kunnen ze ook gebruiken om criminele zaken te doen onder de identiteit van iemand anders, of om toegang te krijgen tot bankrekeningen, mobiele providers en nog veel meer. Persoonsgegevens behoren tot de belangrijkste informatie waarover iemand beschikt en moeten dan ook als zodanig worden behandeld.
Met openbare wifi's kan iedereen overal verbinding maken met het internet. Het is een handige oplossing omdat mensen bijna overal toegang hebben tot zakelijke informatie, online kunnen shoppen, websites kunnen bekijken of hun sociale media kunnen beheren. Maar, zoals de naam al aangeeft, is het openbaar en heeft iedereen er toegang toe, ook oplichters en criminelen. Met een valse configuratie kan een openbare wifi worden gebruikt om de activiteiten van de geconnecteerde personen te controleren en hun informatie te stelen door de gegevens die worden verzonden te onderscheppen.
Dat geldt bijvoorbeeld ook wanneer je online informatie wil raadplegen wanneer je in een luchthaven, een treinstation, bar, restaurant of winkel bent.
Cybercriminelen kunnen de wifinaam van een organisatie nabootsen om mensen ertoe te verleiden zich ermee te connecteren. Organisaties moeten altijd een professioneel beveiligd wifinetwerk implementeren om een veilige toegang tot hun interne bronnen te garanderen. Naast deze professionele wifi kan een andere worden geïmplementeerd voor persoonlijke of gastactiviteiten waarvoor een account moet worden aangemaakt om toegang te krijgen. Dit onderscheid is belangrijk om ervoor te zorgen dat alleen de juiste mensen toegang hebben tot de informatie van de organisatie. Je kunt altijd de IT-verantwoordelijke van je organisatie raadplegen om er zeker van te zijn dat de beschikbare wifi daadwerkelijk bij de organisatie hoort.
Een Virtual Private Network is een oplossing die helpt om het internetverkeer te versleutelen en te verbergen voor al wie zou kunnen proberen om de gegevens die worden doorgestuurd "af te luisteren". De IT-verantwoordelijke van een organisatie kan altijd worden geraadpleegd om te zien of een VPN-oplossing vanuit de organisatie kan worden geleverd.
Zet een speciaal netwerk op waarmee medewerkers en bezoekers verbinding kunnen maken met hun persoonlijke apparaten. Dit specifieke netwerk moet gescheiden zijn van het interne bedrijfsnetwerk om te voorkomen dat dit in gevaar komt. De toegang mag alleen worden verleend door unieke referenties (d.w.z. een gebruikersnaam en een wachtwoord) te geven aan de geregistreerde personen. Een goede praktijk om te controleren welke gebruikers op een bepaald moment toegang hebben, is deze toegang te beperken in de tijd (bijvoorbeeld 24 uur).
Meld elk incident altijd aan je IT-verantwoordelijke, ook als je er enkel getuige van was of als er de minste twijfel over is. Hoe sneller de juiste mensen erop kunnen reageren, hoe kleiner de gevolgen van het incident.
Het doel van deze inhoud is om goede cyberbeveiligingspraktijken te delen en onder de aandacht te brengen.
Sommige van deze adviezen kunnen anders van toepassing zijn, afhankelijk van de context van uw organisatie.
Houd u altijd aan het beleid en de instructies die binnen uw organisatie van kracht zijn.
Vraag bij twijfel altijd eerst advies aan uw IT-manager.