Ik kan 5.000 Euro per dag verdienen, meldt een onbekende via Whatsapp. Te mooi om waar te zijn…

Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.

Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.

Het is al het tweede bericht binnen twee weken.

Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?

Ik klik niet. Uiteraard niet. Ik ken de risico’s.

Misschien activeer ik via de link een script dat een virus instaleert.

De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.

Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?

Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.

Volgens privacydeskundige Jeroen Terstegge heeft de CEO-fraude bij Pathé niets van doen met de #AVG. Heeft hij gelijk?

Op Twitter heb ik al enige tijd een interessante ‘discussie’ met de Nederlandse privacydeskundige Jeroen Terstegge van PM Partners over het koppelen van de AVG op deze site aan een bericht over de CEO Fraude bij de bioscoopketen Pathé. “Dit heeft echt niets met de #AVG te maken. Niet elk securityprobleem is een AVG-probleem”, twitterde Terstegge. Ik was stomverbaasd.

Terstegge reageerde op 11 november 2018 op de volgende tweet van mij:

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid goo.gl/FrMcMU #AVG #GDPR #Privacywet

 

Tsja, dan begin je als privacymanager toch aan jezelf te twijfelen. En wat te denken van iedereen die sowieso al twijfelt over de AVG? CEO fraude heeft volgens een van de meest vooraanstaande privacydeskundigen van Nederland dus niets te maken met de Algemene Verordening Gegevensbescherming (AVG)?

Veel mensen zijn geneigd om op Twitter meteen impulsief te reageren. Ik besloot dat niet te doen. Ik besloot om na te denken over de tweet van Terstegge die ik net als veel collega’s hoog heb zitten. En niet voor niets.

Lees zijn bio op de site van PM Partners maar:

Jeroen Terstegge is een van Nederlands meest vooraanstaande privacy juristen. Hij heeft ruim 25 jaar ervaring op privacy gebied en was als Privacy Officer van Philips een van de geestelijk vaders van de Binding Corporate Rules (BCRs). Jeroen’s stijl kenmerkt zich door het grotere plaatje te zien zonder de details uit het oog te verliezen en complexiteit terug te brengen tot de essentie. Jeroen is vertrouwd met privacyvraagstukken in multinationale omgevingen, privacy impact assessments, wet- en regelgeving en stakeholdermanagement in sectoren zoals e-commerce, energie, finance, ICT en HRM.

Waarom heeft CEO fraude niets te maken met de AVG?

Ik begrijp de tweet niet. De AVG verplicht organisaties toch om medewerkers te trainen hoe ze cyberrisico’s kunnen herkennen? De Autoriteit Persoonsgegevens (AP) hamert voortdurend op security awareness.

Twee topmanagers van Pathé worden door gewiekste cybercriminelen via social engineering misleid en bezorgen hun werkgever daardoor een miljoenenstrop.

CEO-fraude.

Social engineering.

Die woorden komen toch echt aan bod bij iedere security awareness training.

Ik besluit op 22 november 2018 Jeroen Terstegge via Twitter om uitleg te vragen.

Hallo Jeroen, ik reageer laat. Bewust. Heb nagedacht over jouw reactie. Was verbaasd. Waarom hier geen AVG? Dit was social engineering cybercrime. Hoort toch bij awareness training?

Jeroen Terstegge antwoordt meteen:

Social engineering is alleen een AVG-probleem als de directeuren in kwestie persoonsgegevens hebben vrijgegeven. In casu is ze geld afhandig gemaakt. Kortom, geen AVG-, wel security-issue. Er is overlap tussen privacy en security, maar die twee zijn niet hetzelfde.

 

 

Terstegge is een jurist, besef ik. Juristen denken anders. Ze kunnen hele wetteksten oprafelen.

Associeren daardoor ook meteen juridisch. Dat zou als volgt kunnen gaan:

  • Twee topmanagers zijn de mist ingegaan door CEO-fraude. Er zijn miljoenen Euro’s verloren gegaan, maar er zijn geen persoonsgegevens verloren gegaan.
  • AVG = persoonsgegevens…
  • Geen persoonsgegevens betekent geen zaak voor de Autoriteit Persoonsgegevens (AP).

 

Als je het Pathéverhaal op die manier juridisch analyseert heeft Terstegge gelijk.

Maar wat hij vergeet is dat de Autoriteit Persoonsgegevens er voortdurend op hamert dat de AVG meer is dan een wet. Meer dan een juridisch instrument.

De AVG moet iedereen ook bewust maken van alle cyberrisico’s die we tegenwoordig lopen. Organisaties moeten aantonen dat ze een goed privacybeleid hebben ontwikkeld. En dat ze dat beleid ook in de praktijk ook uitvoeren.

Wat dat betreft heeft Pathé wel degelijk een AVG-probleem. Hebben de managers die de fout in gingen wel een security awareness training gehad? Een van hen beweerde van niet.

Op 24 november 2018 besloot ik nogmaals te reageren richting Jeroen Terstegge. Het komt zelden voor dat een tweet me zo lang triggert.

Ik denk dat je het artikel niet helemaal hebt gelezen. Pas op het eind wordt een verband gelegd met de AVG, maar dan alleen in verband met de verplichte security awareness trainingen. Wat dat betreft is er natuurlijk wel een link naar de AVG. Maar inderdaad niet qua boetes of AP.

Opnieuw antwoordt Terstegge snel. En opnieuw verbaast het antwoord me:

Het ging mij eigenlijk meer om die hashtags. Die slaan nergens op in dit verband.

 

Jeroen is een topjurist. Ik ben behalve privacymanager ook NextMarketeer. En ik kan daarom heel goed onderbouwen dat Terstegge met dit antwoord de plank volledig misslaat.

De AVG wordt door het grote publiek automatisch geassocieerd met cybercrime. CEO-fraude en social engineering vallen onder cybercrime.

Mensen die op internet naar informatie over cybercrime zoeken maken ook gebruik van de hashtag #AVG.

Als je als privacyspecialist online gevonden wilt worden zul je dezelfde woorden moeten gebruiken als je doelgroep. En dan helpt het ook als marketeers merken dat je hun vak begrijpt.

Qua marketing is het gebruik van de hashtag #AVG dus wel degelijk relevant.

En wat mij betreft zeer zeker ook in relatie tot security awareness. En dat valt toch echt onder de AVG.

Maar dat is mijn bescheiden mening.

No hard feelings, Jeroen.

Wat vind jij? Heeft Jeroen Terstegge gelijk? Moet je CEO-fraude en social engineering niet aan de AVG koppelen? We zijn benieuwd naar jouw reactie.

Wat gebeurt er (niet meer) als het internet in heel Nederland plat wordt gelegd? Dit college van professor Aiko Pras moet je zien!

Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?

Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.

Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.

Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.

Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.

Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.

Deze AVG awareness video moet je echt zien! Een cybercrimineel neemt niet alleen je online leven over, maar ook jouw echte leven

Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.

Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.

Deze week op de agenda bij het managementoverleg bij veel organisaties: “Wat kunnen wij leren van de CEO-fraude bij Pathé?”

Het enorme bedrag van ruim 19 miljoen Euro dat cybercriminelen met CEO-fraude bij de bioscoopketen Pathé hebben buitgemaakt zal deze week in menige managementvergadering worden besproken. En dat is ook belangrijk. We leggen aan de hand van twee vragen uit waarom.

  • Hoe groot is de kans dat onze organisatie ook slachtoffer wordt van CEO-fraude of een andere vorm van cybercrime?
  • Hoe kunnen wij voorkomen dat onze organisatie ooit zelf slachtoffer wordt van cybercriminaliteit of een menselijke fout van onze eigen medewerkers?

Eigenlijk zou deze vraag ruim vijf maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG) helemaal niet gesteld hoeven te worden. Want alle organisaties moeten hun privacybeleid eigenlijk nu op orde hebben.

AVG wekelijks op agenda managementoverleg

Aan de andere kant is het juist uitstekend als managers de AVG standaard op de vergaderagenda hebben staan. Is er deze week nog iets gebeurd waar we qua privacybeleid en AVG iets mee moeten doen?

Als het goed is heeft het management alle risico’s in kaart gebracht en zijn er technische en organisatorische maatregelen genomen om problemen zoals bij Pathé te voorkomen.

Budget vragen voor structurele Security Awareness Trainingen

Naar aanleiding van de CEO-fraude bij Pathé is het daarom uitstekend als managers tijdens het managementoverleg nu aandacht en budget vragen voor structurele Security Awareness Trainingen.

Een eenmalige Security Awareness presentatie van een uurtje is dan onvoldoende. Dat levert niets op. De goed opgeleide financieel manager die bij Pathé de mist in ging had jarenlang bij accountantsbureau KPMG gewerkt, had geen goed gevoel bij de opdrachten die hij per mail kreeg, maar ging toch het schip in.

De mens is de zwakste schakel in het cybersecuritybeleid van iedere organisatie.

Die Security Awareness presentatie moet onderdeel zijn van een trainingsprogramma en een privacycampagne binnen de organisatie. Uit onderzoeken blijkt dat alleen medewerkers die regelmatig getraind worden na een jaar werkelijk alert zijn voor alle signalen dat er iets mogelijk niet klopt.

PrivacyZone kan samen met partners een trainingsprogramma en een privacycampagne voor jouw organisatie opzetten. Wij verzorgen presentaties en trainingen op locatie in combinatie met korte maandelijkse security awareness e-learning modules en phishingtests. Medewerkers worden regelmatig op de proef gesteld. Bel 06-31995740 of mail naar info@privacyzone.nl als je meer wilt weten.

Hoe herken je phishing, vishing, shishing, malware of ransomware?

Leer medewerkers – en dus ook managers – hoe ze kunnen herkennen dat er een poging wordt gedaan om door phishing, vishing, shishing, malware of ransomware binnen te dringen in de systemen van de organisatie.

Hoe hadden de verantwoordelijke managers bij Pathé kunnen herkennen dat er iets niet klopte?

Achteraf weet iedereen het beter. Maar wat had jij gedaan als je als manager binnen een bedrijf niet geacht wordt om vragen te stellen over beslissingen van het topmanagement? Als je geacht wordt opdrachten klakkeloos uit te voeren?

Misschien maakt de eigen bedrijfscultuur het cybercriminelen wel erg gemakkelijk om door social engineering autoriteitsgevoelige medewerkers te manipuleren.

AVG houdt niet op bij de website

Veel managers denken ten onrechte nog steeds dat hun organisatie aan de AVG voldoet als de website op orde is.

Sommige managers denken dat het voldoende is om een verwerkingsregister bij te houden.

Veel managers denken dat de AVG pure bureaucratie is.

Pakkans door Autoriteit Persoonsgegevens groter dan je denkt

Denken dat de pakkans als gevolg van een controle klein is omdat de Autoriteit Persoonsgegevens te weinig mensen zou hebben om iedereen te controleren.

Ze vergeten daarbij dan dat de Autoriteit Persoonsgegevens eigenlijk helemaal niet veel hoeft te doen om zwarte schapen op te sporen.

De Autoriteit Persoonsgegevens wordt geholpen door professionele cybercriminelen, slordige medewerkers van bedrijven en slachtoffers van overtredingen van de AVG.

Autoriteit Persoonsgegevens wordt geholpen door proffessionele cybercriminelen

De Autoriteit Persoonsgegevens wordt geholpen door cybercriminelen? Door ethical hackers zeker… Nee echt, door echte professionele cybercriminelen.

Cybercriminaliteit is de snelst groeiende vorm van criminaliteit ter wereld. Er wordt meer geld verdiend met het hacken van computers dan met drugs.

Het risico om slachtoffer te worden van een cybercrimineel is vele maken groter dan het risico om regulier gecontroleerd te worden door de Autoriteit Persoonsgegevens.

Slachtoffers van cybercriminaliteit zijn vanwege de AVG verplicht dat zelf te melden bij de AP

In die zin wordt de Autoriteit Persoonsgegevens geholpen door professionele cybercriminelen. Iedere succesvolle hack door een cybercrimineel heeft voor getroffen organisaties namelijk automatisch tot gevolg dat zij zelf een datalekmelding moeten doen bij de Autoriteit Persoonsgegevens.

Enorme imagoschade door negatieve publiciteit

Daarnaast groeit de kans dat andere slachtoffers van een hack of een datalek door eigen schuld – klanten en medewerkers – een klacht indienen bij de AP en misschien ook publiciteit zoeken.

De directie van Pathé had de CEO-fraude waarschijnlijk graag buiten de media gehouden. De imagoschade is enorm. En daarbij komt nog eens de gigantische financiele schade.

Door de AVG is het echter vrijwel onmogelijk om overtredingen van de privacywet onder de tafel te werken.

Managers lopen persoonlijk enorme risico’s

Managers die dat doen lopen zelf enorme risico’s. Zij zijn volgens de AVG zelf verantwoordelijk en zelfs hoofdelijk aansprakelijk. En ze kunnen door hun werkgever worden ontslagen, weten de managers die slachtoffer waren van de CEO-fraude bij Pathé nu. De rechtbank in Amsterdam heeft het ontslag goedgekeurd.

Neem geen risico. Bel nu met PrivacyZone en maak een afspraak: 06-31995740.

CEO-fraude kost Pathé bioscoopketen 19 miljoen Euro. Directie ontslagen wegens nalatigheid

CEO-fraude levert de bioscoopketen Pathé een schade van maar liefst 19 miljoen Euro op! De Nederlandse directie is volgens de rechtbank in Amsterdam terecht ontslagen wegens nalatigheid.

De gang van zaken bij deze CEO-fraude wordt naar alle waarschijnlijkheid een klassieker bij Security Awareness Trainingen voor managers. Het vonnis van de rechtbank beschrijft stap voor stap hoe de directie in de geraffineerde val van de cybercriminelen stapte.

Bij het lezen van het vonnis vraag je je af hoe de goed opgeleide topmanagers zo naief konden zijn. De financieel directeur had notabene jarenlang bij accountantskantoor KPMG gewerkt.

 

Toch liet hij zich misleiden door de professionele social engineering manipulatie van de professionele oplichter.

De directie van de Nederlandse tak van de Franse bioscoopketen Pathé ontving op 8 maart een e-mail van het ‘hoofdkantoor’ in Parijs. Met het dringende verzoek om meteen 800.000 euro over maken als aanbetaling voor een overname in Dubai. Er werd om strikte vertrouwelijkheid gevraagd. Er mocht niet over gebeld worden. Alleen mailwisseling via hetzelfde mailadres.

Bij iedere manager zouden meteen alle alarmbellen af moeten gaan. En zeker bij managers die in verband met de Algemene Verordening Gegevensbescherming (AVG) een Security Awareness Training hebben gehad.

De Nederlandse directie van Pathé vond het verzoek ook vreemd, maar betaalde desondanks. En werd zo slachtoffer van een klassieke vorm van CEO-fraude die het bedrijf uiteindelijk ruim 19 miljoen Euro heeft gekost.

Pathé is exploitant van bioscopen. Het Franse bedrijf is in Nederland marktleider. Pathé had in 2017 een omzet van 209 miljoen euro. Het aantal werknemers in Nederland is ongeveer 1900.

Beide directieleden werden meteen na de ontdekking van hun grote fout op non-actief gesteld en later op staande voet ontslagen.

De financieel directeur vocht zijn ontslag aan. Tevergeefs. De rechter heeft bepaald dat hij nog tot 1 december 2018 moet worden doorbetaald. Volgens de rechter heeft hij verwijtbaar gehandeld.

Volgens de rechter is niet aangetoond dat de twee ontslagen directieleden zelf betrokken zijn geweest bij de fraude.

“Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers wisten te winnen”, valt te lezen in het vonnis.

37 procent van alle ransomware hacks is gericht op de zorgsector

37 procent van de ransomware-aanvallen is gericht op de zorgsector, meldt de cybersecurity verzekeringsmaatschappij Beazley Breach Response (BBR). De hoogste losgeldeis bedroeg maar liefst 2,8 miljoen dollar.

De extreem hoge losgeld eisen zijn volgens BBR gelukkig nog zeldzaam. De gemiddelde eis van cybercriminelen ligt momenteel rond de 10.000 dollar. Dit is beduidend hoger dan het gemiddelde van 1000 dollar dat in oktober 2016 werd gerapporteerd in de Breach Insights.

Volgens BBR is het aantal ransomware meldingen in september bijna verdubbeld ten opzichte van augustus.

In de eerste drie kwartalen van 2018 was 71% van de ransomware-incidenten die door BBR Services werden afgehandeld, bestemd voor het midden- en kleinbedrijf.

Er is volgens BBR momenteel ook een enorme groei van ransomaanvallen in de financiele en administratieve sector zichtbaar.

Een aantal ransomware-aanvallen in het derde kwartaal werden in verband gebracht met de campagnes van Ryuk en BitPaymer.

Er wordt veel BitPaymer ransomware gedetecteerd op netwerken die ook geïnfecteerd waren met banktrojans. Deze computer virussen worden gebruikt om gegevens te stelen van online platforms van banken.

BitPaymer ransomware besmette Schotse ziekenhuizen, verlamde de infrastructuur van een kleine stad in Alaska en sloot computers bij de Professional Golfers’ Association of America.

Ryuk, een variant van Hermes ransomware die werkt via speer phishing, besmette gezondheidszorgorganisaties in Canada en een watervoorziening in North Carolina.

Zo’n 71 procent van de ransomware-aanvallen was gericht op kleine en middelgrote bedrijven, wat aantoont hoe belangrijk het is voor alle bedrijven, ongeacht hun omvang, om meerdere, bijgewerkte back-ups bij te houden en serieus te investeren in IT.

De speer phishing aanvallen maken duidelijk hoe belangrijk het is om medewerkers te trainen in cybersecurity in een kantooromgeving.

Over ons

Wat mag je van PrivacyZone verwachten?

De een vindt de privacywet duidelijk, efficiënt en praktisch. De ander diffuus, bureaucratisch en onwerkbaar. Privacy management is maatwerk. Voor iedere afdeling. Voor iedere doelgroep.

Dat is het uitgangspunt en de uitdaging van PrivacyZone.nl bij de ontwikkeling van privacybeleid op basis van de privacywet AVG / GDPR.

PrivacyZone.nl is een marketing & communicatiebureau dat gespecialiseerd is in privacymanagement en privacymarketing.

Kunnen we misschien van de nood een deugd maken en dankzij de AVG nieuw beleid ontwikkelen waarmee meer omzet gegenereerd kan worden?

PrivacyZone helpt bij het vinden van effectieve oplossingen en zorgt er samen met jou voor dat je organisatie aan de Algemene Verordening Gegevensbescherming voldoet.

  • Welke mogelijkheden biedt privacybeleid voor verbetering, innovatie en zelfs new business?
  • Hoe combineren we juridisch en ethisch verantwoord handelen met het optimaal benutten van technische mogelijkheden om consumenten gepersonaliseerd te bedienen, 24/7, waar dan ook?
  • Welke (nieuwe) technische ontwikkelingen zijn er om het inzicht van organisaties in consumentengedrag, interesses, voorkeuren, attitudes en beleving op individueel niveau te achterhalen?
  • Welke impact hebben de ontwikkelingen voor HR, marketing, sales, customer service?

Geïnteresseerd? Neem dan nu contact met ons op.

Bel 06-31995740 of mail naar info@privacyzone.nl.

PrivacyZone.nl analyseert op basis van de Europese privacywetgeving samen met het management de custumer journey en werkprocessen om privacy risico’s en kansen in beeld te brengen.

  • We leren je ontwikkelingen aanvoelen
  • Wat je daarvan kunt leren
  • Wat er mogelijk is
  • Hoe je kunt reageren
  • Hoe je marktvragen kunt voorspellen en zo voldoen aan de klantvraag of deze zelfs kunt genereren
  • Hoe je eenvoudiger internationaal zaken kunt doen
  • Hoe je rust binnen jouw organisatie creëert met heldere processen en duidelijke afspraken
  • Hoe je aantrekkelijker wordt als werkgever door een transparant HR-beleid
  • Hoe je efficiënter kunt ondernemen door meer inzicht in jouw bedrijfsvoering
  • Hoe je doelmatig en datadriven kunt werken
  • Hoe je jouw imago kunt verbeteren

Wie van de nood een deugd maakt hoeft niet bevreesd te zijn voor hoge kosten of hoge boetes. Privacy wordt dan een investering waarmee je kosten kunt besparen en meer omzet en winst kunt genereren.

De AVG / GDRP biedt, wanneer goed gemanaged, volgens PrivacyZone een groeikans.

PrivacyZone werkt samen met zelfstandige specialisten op diverse vakgebieden die kennis delen, vergaren en duiden om klanten optimaal te kunnen ondersteunen bij de ontwikkeling van een doelgerichte privacy strategie.

Geïnteresseerd in de werkwijze van PrivacyZone? 

Bel 06-31995740 of mail naar info@privacyzone.nl.

FAQ

Het gaat er niet om of je wel of niet iets te verbergen hebt, het gaat er ook niet om of de overheid of bedrijven wel of niet te vertrouwen zijn. Het gaat wel om jouw vrijheid. Mensen die weten dat ze misschien bekeken worden, gedragen zich anders dan mensen die weten dat ze niet bekeken worden. Dit conformeren naar gewenst gedrag, beperkt de vrije ontwikkeling van ideeën en ondermijnt daarmee de vrije samenleving. (bron: Bits of Freedom)

Load More

Partners PrivacyZone

AVG Awareness test: op welk phishing e-mail onderwerp zou jij geklikt hebben? Phishing top 10

KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.

Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.

 

Social engineering

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.

Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Nieuwsgierigheid is een risico

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.

“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”

Gesimuleerde phishingtests

In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.

Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.

Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:

  • Controleer uw wachtwoord – 34%.
  • Je hebt een spraakbericht – 13%
  • Uw bestelling is onderweg – 11%.
  • Wijzig uw wachtwoord onmiddellijk – 9%.
  • Deactivering van uw e-mailbox – 8%.
  • UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
  • Herziene reis- en ziekterichtlijnen – 6%.
  • U heeft een document ontvangen om te ondertekenen – 5%.
  • Spam hint: 1 nieuw bericht – 4%
  • {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.

Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.

  • U heeft een nieuw versleuteld bericht 
  • IT: Synchronisatiefout – geretourneerde berichten
  • HR: Contactgegevens
  • FedEx: We hebben u gemist.
  • Microsoft: Meerdere aanmeldingspogingen
  • IT: Belangrijk – Nieuwe server back-up
  • Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
  • LinkedIN: Uw account is in gevaar!
  • Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
  • Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie

Tijd voor professioneel privacybeleid?

PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.

Awareness campagne banken tegen phishing mail helpt nog niet echt. Schade door cybercrime verdubbeld

In een jaar tijd is het bedrag dat internetcriminelen door phishing via internetbankieren hebben buitgemaakt verdubbeld.

De Nederlandse Vereniging van Banken en Betaalvereniging Nederland melden dat in de eerste zes maanden van 2018 door cybercriminelen 1,56 miljoen euro van bankrekeningen is geroofd.

Fraude via internetrekeningen kostte in de eerste helft van 2017 nog 679.000 euo.

Van dat geld werd zo’n 85 procent gestolen via phishingmail.

Bij phishing hengelen computercriminelen via valse e-mails, appjes of telefoontjes naar toegangscodes voor internetbankieren.

 

Volgens de brancheverenigingen zijn de vervalste e-mails steeds moeilijker te onderscheiden van echte berichten van bijvoorbeeld banken of overheidsinstanties.

Daarnaast zijn dit jaar veel meer phishingberichten verzonden.

AVG-awareness humor: Met de AVG-kennis van nu was Michael Jackson dus niet okay…

“Michael Jackson understood the requirements for continuous monitoring…”, tweet @malwarejake. Malware specialist Jake Williams krijgt in korte tijd ruim 1400 likes en fantastische awareness reacties voor deze grappige tweet met muzikale AVG-doordenker.

Annie, are you ok?

So, Annie are you ok

Are you ok, Annie

Annie, are you ok?

So, Annie are you ok

Are you ok, Annie

Annie, are you ok?

 

De tekst komt uit het nummer Smooth Criminel. Heel toepasselijk ook.

“If Annie fails to respond, there’s a problem; a smooth criminal perhaps”, reageert privacyspecialist Gareth Nibblett uit Estland.

 

Risk Management Consultant Rebecca Harness antwoordt via haar Twitteraccount @rebeccaharness ludiek met het nummer Breed van Nirvana.

I don’t care, I don’t care, I don’t care

….don’t care if it’s old

I don’t mind, I don’t mind, I don’t mind

I don’t mind…

Get away, get away, get away

Get away…

I’m afraid, I’m afraid, I’m afraid

I’m afraid, afraid, ghost!

 

Heb jij ook nog leuke songteksten die een AVG Awareness associatie te weeg brengen kunnen? Meldt jouw suggestie in de reacties.

Veiliginternetten.nl vergeet certificaat te verlengen en is daardoor onveilig. Wel mooie onbedoelde AVG awareness campagne

De overheidswebsite Veiliginternetten.nl gaf maandagochtend niet zo’n goed voorbeeld als zou moeten. Wie de site bezocht kreeg de melding te zien dat het ssl-certificaat voor – jawel – een veilige internetverbinding was verlopen.

 

„Foutje, bedankt!“, zou Rijk de Gooier gezegd hebben. „Ieder nadeel heb zijn voordeel“, zou Johan Cruijff hebben aangevuld.

Want geluk bij een ongeluk is natuurlijk wel dat de blunder van Veiliginternetten.nl juist heel veel media aandacht genereert met uitleg over het belang van een geldig veiligheidscertificaat voor een website.

Een betere AVG Awareness guerillacampagne had niemand kunnen bedenken.

Certificaat veilige website verlopen

Het certificaat van Veiliginternetten.nl was in de nacht van zondag op maandag verlopen.

Hierdoor waarschuwden veel browsers dat de de site Veiliginternetten.nl onveilig was.

Dat duurde tot en met maandag om 12 uur ‘s middags, toen het probleem werd opgelost.

Tips hoe je veilig kunt internetten

Op Veiliginternetten.nl staan tips over hoe Nederlanders veilig online kunnen browsen.

De site is een initiatief van onder andere het ministerie van Economische Zaken en Klimaat en het ministerie van Justitie en Veiligheid.

Ook het Nationaal Cyber Security Centrum werkt er aan mee.

Hoe herken je een veilige internetsite?

Websites gebruiken certificaten om de verbinding te beveiligen. Je kunt een veillige website met geldig certificaat herkennen aan een domeinnaam met een https::// en een slotje ervoor. Zoals bij Privacyzone.nl.

Bij een beveiligde https (de s staat voor secure) verbinding wordt het dataverkeer met de site versleuteld. Als je een bericht naar de site stuurt, iets online koopt en betaalt of inlogt op een forum of cursus kan niemand dan op afstand meekijken wat jij invult op de site.

Cybercrimineel kan versleuteld dataverkeer niet lezen

“Als een cybercrimineel de gegevens zou onderscheppen, kan hij ze in ieder geval niet lezen”, aldus een uitleg van de getroffen website zelf.

Als het certificaat is verlopen laten webbrowsers als Google Chrome tegenwoordig meteen een waarschuwing zien. Zij kunnen de echtheid van de site dan niet meer garanderen.