Uw bankpas is verouderd. Vraag nu uw nieuwe pas aan!

Over de babbeltruc en bewustzijn.

credit card crime

Informatiebeveiliging is een breed onderwerp. Om structuur aan te brengen is het fijn om te werken vanuit een raamwerk en passende architectuur. Hiertoe is vanuit Conscia het Conscia Cyber Security Framework (CCSF) opgesteld. Dit raamwerk bestaat uit meerdere niveaus en bijhorende ‘bouwblokken’. In een serie van meerdere blogs bespreek ik dit raamwerk. In deze blog kijken we naar een Soft Skill Control, namelijk User Awareness.

 

U zult vast zelf ook wel email berichten ontvangen van uw bank met het bericht dat uw bankpas is verlopen. Door ‘hier’ te klikken kunt u dan een nieuwe aanvragen. Of een bericht dat u gratis kaartjes voor een voorstelling of toegang tot een pretpark heeft gewonnen. ‘Klik hier’ om de kaartjes snel in huis te hebben.

Natuurlijk ruikt u onraad. Dit kan niet kloppen. Maar dit email bericht ziet er wel erg echt uit. Geen taalfouten zoals vroeger, een nette layout. Cyber criminaliteit kent een verdienmodel en hackers zijn een stuk volwassener geworden. Het is dan ook niet vreemd, dat legio mensen er toch intrappen en de link aanklikken.

Onlangs kreeg ik vanuit ‘mijn bank’ een email bericht dat met de komst van de AVG mijn bankpas niet meer voldeed. Als ik niet snel reageerde, dan verliep mijn pas. Geen nood. U kunt ‘hier’ een nieuwe pas aanvragen. De tekst, opmaak, plaatjes. Alles zag er valide uit. Echter het afzenders domein zag er toch wel vreemd uit. Ook de link wees niet naar de bank. Op mijn werkplek werk ik met beveiligingssoftware die direct detecteert of een website ‘phishy’ is. En zo ook hier. Direct een waarschuwing en blokkade van de website.

Fraude met Internetbankieren. Het blijkt nog steeds lucratief te zijn. De website ‘veiligbankieren.nl’ is er volledig aan gewijd.

Er zijn echter meer voorbeelden:

  • Whapsapp fraude
  • Smishing (Phishing via je mobiele telefoon)
  • CEO fraude
  • Sollicitatie emails met een CV als bijlage

En zo kan ik er nog wel meer op noemen. Hackers zijn slim en creatief. Ze weten feilloos in te spelen op de zwaktes van de mens. En dat is onder andere druk, vertrouwen en de wil om iemand te helpen. Bij een geslaagde poging, waarbij de gebruiker toch in de babbeltruc is getrapt, kunnen de gevolgen significant zijn. Denk hier aan financieel verlies, identiteitsdiefstal, backdoor installaties en het wegnemen van toegang tot bestanden door ransomware.

Hoe ons nu te wapenen tegen deze dreigingen? Met technische middelen alleen blijft het een kat- en muis spel tussen de hacker en fabrikant. We zullen het moeten zoeken in een meer gelaagde beveiligingsstructuur. En die eerste laag moet gevormd worden rondom de ‘mens’ zelf.

Er moet bij ons als gebruiker een automatisch bewustzijn komen, dat bepaalde informatie die wij tot ons krijgen niet kan kloppen. Binnen het IT-beveiligingsdomein wordt dit ‘Security Awareness’ genoemd. Deze preventieve maatregel dient een verplicht onderdeel te zijn van elk beveiligingsprogramma binnen een organisatie.

Maar hoe krijgt u het als verantwoordelijke voor elkaar om wellicht honderd tot duizend medewerkers een meer bewuste gedachte te geven. Iedereen naar een training sturen is niet praktisch.

Deze vraag krijgen wij steeds vaker van onze relaties. Vandaar dat wij zijn gaan samenwerken met een beveiligingsspecialist puur gericht op de ‘soft skills’. Een specialist die bewustzijns trainingen verzorgt vanuit de werkplek. Met op maat samengestelde campagnes kunt u uw medewerkers meer bewust maken en zo wapenen tegen deze moderne babbeltrucs. Deze campagnes hebben een herhaal- en herinner karakter. Dus geen eenmalige online training en klaar, maar elke week of maand een korte film met vragen. De kracht zit hem in het herhalen.

Terug naar het Conscia Cyber Security Framework. Maatregelen dienen geïmplementeerd te worden om risico’s terug te brengen naar een door de organisatie geaccepteerd niveau. Eén van deze maatregelen is geënt op de mens. Dit in de vorm van een beveiligingsbewustzijn programma.

Een beveiligingsbewustzijn campagne geeft inzicht in hoe uw organisatie er nu voor staat en draagt vervolgens bij om de beveiligingscultuur intern te verbeteren.

Heeft u een idee hoe het bewustzijn is binnen uw eigen organisatie? Hoeveel collega’s zouden er in een test phishing email trappen?

Wellicht toch een goed idee om een security awareness programma op te zetten. Conscia Nederland kan u hierbij helpen en begeleiden.

Richard van der Graaf
Richard van der Graaf