e-mails
IT

91 procent van de cyberaanvallen begint bij e-mails

We kennen ze allemaal. De e-mails waarin een rijke oom in Tanzania is overleden en hij zijn volledige kapitaal overlaat aan jou. Wat een geluk, zou je denken. Ondertussen weten we beter en beseffen we dat enkele muisklikken ons regelrecht in het ongeluk storten.

Dergelijke voorbeelden zijn misschien doorzichtig en hebben weinig kans op slagen, toch zijn er altijd naïevelingen die klikken. “Maar de hackers worden slimmer en listiger”, vertelt Koert Martens van Kappa Data, een kenniscentrum voor innovatieve en betrouwbare network connectivity, security en IoT-oplossingen. “Ze worden inventiever om slachtoffers gegevens afhandig te maken en gaan subtiel en strategisch te werk. Wist je dat 91 procent van de cyberaanvallen begint met een e-mail?”

User Awareness vergroten

Het feit dat phishing in al zijn vormen blijft bestaan en zelfs aan populariteit wint, is toe te schrijven aan het klikgedrag van medewerkers. “Veel mensen klikken nog steeds klakkeloos”, vertelt Alain Luxembourg namens Barracuda, wereldwijd leider in dataprotectie. “Er wordt te weinig nagedacht als er een ‘vreemde’ mail binnenkomt. Het is belangrijk dat personeel ondersteund wordt en opleidingen krijgt. Op die manier moet de user awareness optimaal worden vergroot. Dit kan al veel onheil voorkomen. Se­cu­ri­ty Awa­re­ness Trai­ning als tool is onderdeel van een com­pleet awa­re­nesspro­gram­ma dat mogelijk op maat voor jouw bedrijf te volgen is. Een com­pleet be­wust­ma­kings­pro­gram­ma dat kan worden af­ge­stemd op de be­hoef­ten van je bedrijf is heel dankbaar. Dat kan via een doe-het-zelfpak­ket of als een al­les-in-éénoplossing voor IT-af­de­lin­gen.”

Phishing is de meest eenvoudige vorm om in te spelen op de dommigheid van mensen”, vult Martens aan. “Mensen klikken veel te snel en voor ze het beseffen hebben ze een e-mailadres, een wachtwoord of logingegevens doorgegeven. Voor een hacker is het dan een koud kunstje om je e-mailadres over te nemen en uit te zoeken waar mogelijk geld afgetroggeld kan worden. Want dat is en blijft helaas hun einddoel. Die awareness vergroten is echt belangrijk. Daarnaast heb je natuurlijk technologie die met Artificial Intelligence en Machine Learning al veel kan onderscheppen, maar het blijft moeilijk om kleine, taalkundige finesses en bepaalde omschrijvingen te detecteren. Artificial Intelligence en Machine Learing zijn dankbare tools, maar staan nog steeds niet op hetzelfde niveau als een mens. En dat zal nog een tijdje zo blijven.”

Venijn in een klein hoekje

Luxembourg: “De beste mogelijke bescherming is investeren in het vergroten van de awareness van je werknemers, in combinatie met een compleet e-mailsecurityplan dat wordt aangeleverd aan de IT-medewerker. Met die tools en applicaties kun je al vrij snel bedreigingen onderscheppen en ook gegevens bekijken van waar de mogelijke contaminatie komt, wat de bedoeling is en hoe je in de toekomst soortgelijke bedreigingen proactief kunt onderscheppen.”

“E-mailaanvallen worden steeds complexer en gevaarlijker”, vertelt Martens. Veel e-mailbedreigingen maken tegenwoordig gebruik van social engineering-tactieken om zich op gebruikers te richten en e-mailbeveiligingsgateways te omzeilen. Je moet cybercriminelen voorblijven om je bedrijf en gegevens te beschermen. Een totaalpakket biedt bescherming tegen e-mailbedreigingen, van spam en ransomware tot social engineered bedreigingen zoals spear phishing, compromittering van zakelijke e-mail en accountovername. Het cybervenijn kan soms in een klein hoekje zitten en nefaste gevolgen hebben voor je volledige organisatie.”

Phishing is de meest eenvoudige vorm om in te spelen op de dommigheid van de mensen.

Mensen blijven mensen

Alain Luxembourg toont met een voorbeeld aan hoe eigenlijk niemand mag zeggen dat het hem of haar nooit zal overkomen. “Een klant heeft ons gevraagd om de organisatie te testen. Zo’n testing gebeurt vaak als leerschool voor als echte bedreigingen je bedrijf binnensijpelen. We hadden een valse phishingmail opgezet en doorgestuurd. Wie denk je dat er op de link had geklikt? Precies, de persoon die de opdracht gaf om die nepmail te versturen. Mensen blijven nu eenmaal mensen, en mensen maken fouten. Dat was gisteren zo, dat is vandaag zo en dat zal morgen zo zijn. En dat weten hackers maar al te goed.”

Veel mensen klikken nog steeds klakkeloos.

Luxembourg waarschuwt ook voor hackers met telefoniesystemen. “Voicemailsystemen waar je wordt teruggebeld met de vraag je e-mail te checken, waarin dan een bericht zit met een attachment. Zo’n dingen zijn echt verleidelijk. Tachtig procent gaat daarop in en als de mail een commercieel tintje heeft, lopen zelfs directieleden in de val. Mensen zien er geen kwaad in, terwijl het dus echt wel zo snel kan gaan. Ook hier is het zaak om de awareness verhogen. Het gaat echt veel verder dan de valse oom in Tanzania die je zijn erfenis nalaat.”

“Vaak krijg je te maken met hackers op een hoog niveau en dan moet je maken dat je sterker gewapend bent. Dat doe je door training en bewustwording, in combinatie met een sterk technologisch systeem dat snel kan onderscheppen, schakelen en anticiperen. De combinatie van producten voegt niet al­leen waar­de toe van­we­ge de meer­de­re lagen van beveiliging, ze wer­ken ook samen om de ef­fi­ciëntie en gebruikerservaring dras­tisch te ver­ho­gen.”

Opletten met vertrouwde contacten

Er schuilt vaak ook gevaar in berichten en mails van mensen die je vertrouwt. “Plots sturen zakencontacten je een mail”, gaat Luxembourg verder. “Je ziet er geen graten in, want het komt van een persoon met wie je wekelijks contact hebt en die je echt vertrouwt. Dan ga je snel klikken of het attachment vertrouwen, maar niets is wat het lijkt. Artificial Intelligence wordt ook hier slimmer en kan vaak zo’n dingen onderscheppen als je de juiste technologie in huis hebt. Honderd procent veiligheid garanderen is een utopie. Wij kunnen dat niet garanderen, maar niemand kan dit. Enkel de combinatie van awareness en technologie kan je bedrijf zo goed mogelijk beschermen.”

Martens: “Je kunt je gebruikers het ver­trou­wen geven om adres­sen te whi­te­lis­ten of deze rech­ten juist weg­ne­men. Je kunt ook re­gels in­stel­len die veel fij­ner zijn dan al­leen het whi­te­lis­ten of blac­k­lis­ten van een adres of do­mein. Naast an­ti­spam moet je ook letten op de aanwezigheid van an­ti­vi­rus, an­tiphis­hing, sand­boxing, en­cryp­tie, ali­as­sing van meer­de­re do­mei­nen, link­be­scher­ming, en­ ga zo maar verder.”

17.06.2022
door Fokus Online

In samenwerking met

Kappa Data werd opgericht in 1998 als value-added IT-distributor. Inmiddels telt ons team meer dan 40 collega’s en helpt het bedrijf jaarlijks meer dan 800 klanten. In 2020 kwam IoT als volwaardige derde pijler naast netwerkinfrastructuur en netwerkbeveiliging.
Naast nieuwe distributie contracten met Pozyx en OneLogin, heeft Kappa Data ook twee nieuwe eigen producten gelanceerd: ProxiPass Social Distancing & Proximity Tracing en ccFLEX, een centraal management platform voor ‘reseller’ firewalls. Kappa Data werd genomineerd voor de Trends Gazellen 2020, een award voor de snelst groeiende bedrijven van Vlaanderen.

Ontdek meer

Vorig artikel
Volgend artikel