Volgens het nieuwe Trendsrapport van de Anti-Phishing Working Group (APWG) steeg het aantal phishingaanvallen in het eerste deel van 2018 met 46 procent ten opzichte van eind 2017.
De APWG is in 2003 is opgericht als wereldwijde coalitie van het bedrijfsleven, rechtshandhaving en de overheid. De organisatie richt zich internationale bestrijding van cybercrime door phishing.
In het eerste kwartaal van 2018 werden volgens de APWG in totaal 263 538 phish’s ontdekt. Dat is een stijging ten opzichte van de 180.577 in het vierde kwartaal van 2017.
Het was ook beduidend hoger dan 190.942 die in het derde trimester van 2017 worden gezien.
De phishing-aanvallen van begin 2018 waren meer gericht op gebruikers van onlinebetalingsdiensten dan in welke andere sector dan ook, en waren goed voor 39% van alle phishing-aanvallen.
MarkMonitor, lid van APWG, zag ook een bescheiden toename van phishing gericht op SAAS/webmail-providers (19 procent van het totaal) en sites voor het hosten en delen van bestanden (11 procent).
De volledige tekst van het verslag is hier beschikbaar:
Sommige phishers pasten hun tactiek in de eerste helft van 2018 aan.
“In het eerste kwartaal van 2018 was er een duidelijke toename van het aantal URL-detecties vanaf februari tot en met maart, maar het aantal unieke phishingdomeinen bleef gelijk”, zegt Stefanie Ellis, Marketing Manager fraudeproducten van MarkMonitor.
“Deze toename van URL’s is grotendeels toe te schrijven aan URL’s voor eenmalig gebruik. Deze unieke URL’s worden automatisch gegenereerd door phishers zodat slachtoffers een eenmalige toegang hebben tot een unieke phishing-URL”.
APWG lid RiskIQ analyseerde welke domeinnamen door phishers werden gebruikt.
“Omdat cybercriminelen zich richten op de kosten-batenanalyse van hun activiteiten, registreren ze hun domeinen graag bij de goedkoopste, meest voorkomende registrars”, aldus Yonathan Klijnsma, hoofdonderzoeker bij RiskIQ.
“Dit is de reden waarom het phishing-domeingebruik vaak correleert met het marktaandeel van topleveldomeinen en waarom de webhosters die geassocieerd worden met phishingwebsites – waarvan er veel afkomstig zijn van gecompromitteerde websites – typisch de grootste zijn. Zo was GoDaddy, in het eerste kwartaal van 2018 de grootste hostingprovider, ook de topregistrator die met phishing te maken kreeg.
APWG-lid PhishLabs houdt toezicht op het gebruik van HTTP-bescherming op phishing-websites. In het tweede kwartaal van 2018 werd meer dan een derde van de phishingaanvallen gehost op websites met HTTPS- en SSL-certificaten, wat een weerspiegeling vormt van de algemene toename van de invoering van HTTPS op het internet.
“Volgens het patroon dat we de afgelopen 18 maanden hebben gezien, blijft het percentage phishingsites van HTTPS groeien en omvat het nu meer dan een derde van alle aanvallen wereldwijd”, zegt Crane Hassold, PhishLabs Director of Threat Intelligence.
“Hoewel een deel van deze stijging te wijten is aan de algemene invoering van HTTPS op het web, is een groot deel van deze trend aangewakkerd door dreigers die kwaadaardige domeinen registreren en gratis SSL-certificaten verkrijgen om hun phishingsites legitiemer te doen lijken. Naarmate browsers negatievere visuele indicatoren toevoegen die ervoor zorgen dat algemene webgebruikers minder vertrouwen krijgen in HTTP-websites, verwachten we dat deze trend zich voortzet en waarschijnlijk nog zal versnellen.”
Op 11-12 september 2018 wordt er in de Poolse hoofdstad Warschau een Europees symposium over wereldwijd bewustzijn van cyberveiligheid gehouden:
Het lidmaatschap van de APWG staat open voor gekwalificeerde financiële instellingen, online retailers, ISP’s en Telcos, de rechtshandhavingsgemeenschap, solution providers, multilaterale verdragsorganisaties, onderzoekscentra, handelsverenigingen en overheidsinstanties.
Wereldwijd nemen ruim 2.200 bedrijven, overheden en NGO’s deel aan de APWG.
De websites www.apwg.org en education.apwg.org van APWG bieden publiek, bedrijfsleven en overheid praktische informatie over phishing en elektronisch gemedieerde fraude, maar ook aanknopingspunten voor pragmatische technische oplossingen die directe bescherming bieden. APWG is medeoprichter en mede-manager van de Stop. Denk. Verbinden. Boodschappenconventie, de wereldwijde online veiligheid publiek bewustzijn samen te werken <https://education.apwg.org/safety-messaging-convention/> en oprichter / curator van de eCrime-onderzoekers Top, ’s werelds enige peer-reviewed conferentie gewijd specifiek aan elektronische criminaliteit studies <www.ecrimeresearch.org>.
APWG adviseert hemisferische en mondiale handelsgroepen en multilaterale verdragsorganisaties zoals de Europese Commissie, de G8 High Technology Crime Subgroup, het Verdrag inzake cybercrime van de Raad van Europa, het VN-Bureau voor Drugs en Misdaad, de Organisatie voor Veiligheid en Samenwerking in Europa, Europol EC3 en de Organisatie van Amerikaanse Staten.
De meeste ondernemers kunnen zich nauwelijks voorstellen dat zij ooit slachtoffer zullen worden van cybercrime. Zeker ondernemers die denken dat zij nauwelijks online zakendoen. Vergeten wordt dat de mailbox onderdeel is van het moderne zakendoen. Zonder e-mail kan een moderne ondernemer feitelijk geen zaken doen.
De mailbox is meteen een van de grootste bronnen van datalekken. Mede dankzij menselijk handelen overigens.
Welke risico’s loop je met mail?
Wat kan er nou gebeuren als je mailbox gehackt wordt? Wat is het risico als je iets te snel op een link in een betrouwbaar ogend mailtje hebt geklikt, dat blijkt te zijn verstuurd door een cybercrimineel?
Stan Hegt is ethisch hacker in dienst van KPMG. Hij kruipt dagelijks in de huid van cybercriminelen om hun gedrag te kunnen doorgronden en ondernemers te helpen om hun bedrijfsactiviteiten online beter te beschermen.
Hegt geeft op de site van de Kamer van Koophandel drie voorbeelden van cybercrime bij kleinere mkb’ers.
Datalek bij accountant
Bijvoorbeeld van een bedrijf dat door een datalek bij de accountant ruim honderdduizend euro werd afgetroggeld door cybercriminelen. De inloggegevens van de accountant van deze ondernemer kwamen voor in een datalek. De internetcriminelen konden zo in het online boekhoudpakket van de ondernemer komen. Door stamgegevens van leveranciers aan te passen werden facturen niet aan hen maar aan de cybercriminelen uitbetaald.
DDoS aanval op webshop
Een andere mkb’er heeft een goedlopende webshop en is inmiddels goed in de zoekmachines te vinden. Op een gegeven moment lag zijn webshop door een DDoS-aanval een dag lang plat.
De volgende dag kreeg hij een mail van de cybercrimineel: bitcoins betalen of je webshop ligt de volgende keer een hele maand plat. “Dat kan het einde van je bedrijf betekenen’, concludeert Hegt.
Phishingmail Office 365
Tenslotte een voorbeeld van phishing. De ondernemer krijgt een mailtje in Office 365 met een ogenschijnlijk belangrijke bijlage. Om de bijlage te openen moet hij zijn wachtwoord invullen. Pas maanden later blijkt zijn mail al die maanden ook te zijn doorgestuurd naar een mailadres van een cybercrimineel.
Hegt: “De verzamelde informatie leek niet misbruikt, maar je hebt wel een gigantisch datalek. Leg dat maar eens uit aan je klanten. Bovendien ben je verplicht dit datalek te melden bij de Autoriteit Persoonsgegevens.”
“Als ik nou de contactpagina van onze website haal… Moet ik dan ook nog een SSL-certificaat hebben? Wij doen niets met cookies.” De ondernemer zucht. “Wij doen helemaal niets online.”
Kleine middenstanders proberen vertwijfeld onder de druk van de nieuwe privacywet AVG / GDPR uit te komen. Ze zoeken ontsnappingsclausules. Vaak gebaseerd op misverstanden.
Een van die misverstanden is dat de Privacywet alleen iets is voor ondernemers die online ondernemen.
“Hoe communiceert u met uw klanten? Gebruikt u e-mail?”, vraag ik.
“Ja, natuurlijk. Dat doet toch iedereen”, antwoordt de ondernemer. Hij zucht nog eens. Het kwartje lijkt gevallen.
Hebt u een computer?
Dus u heeft een computer? En een smartphone? Hebt u antivirus software geïnstalleerd? Wordt uw software regelmatig geüpdatet?
Wat veel ondernemers nog niet lijken te beseffen is dat we in deze digitale tijd allemaal online ondernemers zijn geworden. Zelfs als we geen website hebben.
Onze mailbox zit vol digitale data. Vol persoonsgegevens die we gevraagd en ongevraagd toegezonden krijgen.
We delen offertes, plannen en presenties per mail. We slaan die bestanden automatisch via ons mailprogramma op meerdere plekken op. Die mailprogramma’s downloaden immers vaak voortdurend mail van onze mailserver tegelijk op onze computer, tablet en smartphone.
Ongemerkt hebben we de persoonsgegevens van tientallen mensen al opgeslagen op minimaal zes tot zeven plekken. Computer, smartphone, tablet en mailserver bij onszelf en minimaal ook op de mailserver, computer en smartphone van de persoon waarmee we via mail communiceren.
En dan hebben we het nog maar over een mailbericht…
Wat veel ondernemers ook niet beseffen is dat de privacywet niet alleen over digitale dataverwerking gaat. Ook de administratie in ordners in een archiefkast valt er onder.
En als ondernemer wordt je ook geacht te weten wat andere partijen doen met data die je met hen deelt.
Hoe zit het eigenlijk met die handige software waarmee u werkt? Worden er backups gemaakt? Werkt u in de cloud?
Vorige week gaf ik een awareness training aan bijna zestig ondernemers.
Wie werkt er in de cloud?, vroeg ik.
Geen enkele vinger ging omhoog…
Wie maakt er gebruik van Gmail? Een kwart van de vingers ging omhoog.
Veel ondernemers weten niet wat ‘the cloud’ is. Dat veel applicaties die ze gebruiken via het internet gegevens opslaan op een server die elders in de wereld staat.
Veel ondernemers beseffen zich ook niet dat hun smartphone eigenlijk voortdurend in ‘the cloud’ werkt.
Ze weten niet wat al die handige ‘gratis’ apps op de achtergrond met hun gegevens en hun gedrag doen.
Kortom: ondernemers die hopen dat ze zich kunnen onttrekken aan de invloed van de nieuwe Europese privacywet vergissen zich. Ze zullen toch echt met de GDPR aan de slag moeten.
Als ze dat nog niet hebben gedaan, zijn de drie onderstaande stappen noodzakelijk. Ze zullen meer tijd in beslag nemen dan veel mensen denken. Er gaat een datawereld voor hen open.
Als je er eenmaal mee bent begonnen besef je hoeveel data we eigenlijk dagelijks verwerken. Wij allemaal.
Reinig de database
Over welke persoonlijke gegevens beschikt u al?
Waar kwam het vandaan en met wie heb je het gedeeld?
Waar zijn uw kwetsbaarheden en waar kunt u aansprakelijk voor worden gesteld?
Waar bevinden zich de persoonsgegevens die u gebruikt zich? Waar zijn ze opgeslagen?
Welke classificatie hebben deze gegevens? (Classificatie? Nog nooit van gehoord, denken veel ondernemers nu. Ze hebben geen idee waar het over gaat.)
Zorg ervoor dat u over procedures beschikt om gegevensinbreuken op te sporen, te melden en te onderzoeken.
Begin zo snel mogelijk met uw stappenplan, want zelfs één klachtrapport van een contactpersoon waar u eigenlijk nooit serieus zaken mee heeft gedaan kan de legitimiteit van uw marketingprogramma in twijfel trekken en voor grote problemen zorgen.
Wat doen uw externe leveranciers?
Het is belangrijk om te begrijpen waar precies de persoonlijke gegevens die u hebt verzameld over uw klanten worden gedeeld en overgedragen. Als deze gegevens worden gedeeld naar plaatsen zoals uw CRM-systeem, e-mailserviceprovider of klantondersteuningssysteem, moet u ervoor zorgen dat deze externe providers zelf GDPR-geschikt zijn.
Dit is vaak de zwakste schakel in het traject om privacyproof te worden.
Hier zijn 12 belangrijke vragen aan al uw externe leveranciers met betrekking tot hun niveau van naleving te stellen.
Het is sterk aan te raden om als een van de eerste stappen in uw organisatie een gegevensregister op te zetten. Dit is de basis van uw GDPR compliance project. Als je er eenmaal mee begonnen bent ontdek je voortdurend nieuwe waarover afspraken gemaakt moeten worden. Onderschat niet hoe lang deze stap zal duren, aangezien het waarschijnlijk een afdelingsoverstijgende inspanning zal zijn.
Herziening van marketingstrategie
Vergeet die uitgebreide adressenbestanden die u via internet kon kopen. Die adressen mag u niet gebruiken. Ten strengste verboden, want de personen die opgenomen zijn in deze bestanden hebben er zeer waarschijnlijk geen weet van dat hun persoonsgegevens verkocht zijn. Zij hebben geen toestemming gegeven voor het gebruik wat u voor ogen zou kunnen hebben. En dan bent u dus in overtreding.
De GDPR bepaalt dat u moet weten wanneer de toestemming werd verkregen (bijvoorbeeld gegevens en tijdstempel), en voor welk specifiek doel de toestemming werd gegeven.
Hebt u zo’n uitgebreide maillijst vol contactgegevens van mensen die u ooit een keer gesproken hebt, maar waar u nooit nadrukkelijk toestemming hebt gekregen om ze via e-mail reclame te sturen? Dan weet u nu dat u deze adressen niet meer kunt gebruiken. Eigenlijk kunt u uw adressenbestand in uw telefoon en uw mailprogramma beter meteen opschonen.
Nog een paar stappen
De volgende stappen zijn even essentieel in het streven naar GDPR-bereidheid. Deze hebben betrekking op de interne procedures binnen een bedrijf, de regels die iedereen die werkt met klantgegevens, vanaf nu moet kennen en toepassen. Elke dag. Elke minuut.
De GDPR gaat veel verder dan een paar verklaringen in de footer van een website. Het gaat om gedragsverandering. Bewustwording. Negentig procent van de datalekken ontstaat door menselijke fouten. Medewerkers die te lichtzinnig op een phishinglink in een mail klikken bijvoorbeeld. Of die vertrouwelijke mail toch maar even delen met een bekende.
Bewustzijn opbouwen
Zorg ervoor dat het senior management zich bewust is van GDPR en de waarschijnlijke impact op uw organisatie. Vergeet niet om tijdens dit proces uw medewerkers en personeel te informeren en voor te lichten. En zorg er voor dat u de medewerkers ook scherp houdt.
Voorkom dat na verloop van korte tijd alles weer zoals vanouds wordt gedaan. “Omdat dat gemakkelijker is. Omdat we het altijd zo gedaan hebben. Omdat we toch niet gecontroleerd worden.” Het management is hoofdelijk aansprakelijk voor overtredingen. Niet het personeel.
De mentaliteit veranderen
Volgens recent onderzoek vraagt slechts 47% van de ondervraagde ondernemers hun klanten altijd om hun toestemming voordat ze contact met hen opnemen. Erger nog, slechts 50% van de respondenten maakt het klanten gemakkelijk om hun toestemming in te trekken.
Vanaf 25 mei heeft de klant recht op:
Vergeten worden, geïnformeerd worden, persoonsgegevens laten wissen, een kopie van hun persoonsgegevens hebben (binnen een maand, gratis)
Recht op gegevensportabiliteit – gegevens die elektronisch in een algemeen gebruikelijk leesbaar formaat aan hen worden gezonden
Recht om geautomatiseerde beslissingen en profilering te beperken
Recht van bezwaar
U mag gewoon blijven communiceren
Onthoud dat de GDPR niet ontworpen is om bedrijven te laten stoppen met communiceren met hun klanten. De GDPR is bedoeld om misbruik van persoonsgegevens tegen te gaan.
De GDPR zal leiden tot een verbetering van de datakwaliteit, en dat is de reden waarom de beste en meest vindingrijke marketeers het grotere geheel zien. De GDPR is een kans is om meer vertrouwen en respect te krijgen van klanten die het waarderen dat hun persoonlijke gegevens serieus worden genomen en dat hun rechten volledig worden gerespecteerd.
Airbnb-klanten moeten oppassen voor een nieuwe phishing-fraude waarbij hackers misbruik maken van de komende algemene gegevensbeschermingsverordening (GDPR) om mensen te verleiden persoonlijke en financiële gegevens te delen, meldt Redscan.
De cybercriminelen maken waarschijnlijk gebruik van mailadressen die willekeurig van internet zijn geplukt.
De phishingmail ziet er uit alsof ze van Airbnb is.
In de mail staat vermeld dat Airbnb geen nieuwe boekingen kan goedkeuren tot gebruikers het nieuw privacybeleid van het bedrijf aanvaarden.
Als mensen op de link klikken waarmee zij kunnen instemmen met de privacyvoorwaarden komen zij op een pagina waarop gevraagd wordt om persoonlijke informatie in te voeren, waaronder betaalkaartgegevens en accountgegevens.
Het is vermeldenswaard Airbnb verstuurt e-mails om gebruikers te waarschuwen over GDPR-gerelateerde veranderingen, maar de legitieme kennisgevingen bevatten meer details en geen vragen om de geloofsbrieven van gebruikers.
Cybercriminelen juichen volgens een topambtenaar van het Amerikaanse Witte Huis de invoering van de Europese privacywet GDPR toe.
Online misdadigers zouden volgens internetcoördinator Rob Joyce er veel baat bij hebben dat de GDPR er toe leidt dat de WHOIS database, die informatie bevat over de registranten en exploitanten van websites, in Europa niet goed kan functioneren.
Op de website WHOIS kun je achterhalen wie de eigenaar is van een domeinnaam. WHOIS lijkt een beetje op het handelsregister van de Kamer Koophandel. Er staat vermeld wanneer een domeinnaam is geregistreerd en door wie.
De vermelding van persoonsgegevens door WHOIS is op basis van de GDPR niet toegestaan zonder toestemming van de eigenaren van de domeinnamen. WHOIS dreigt nu zijn site in Europa te moeten sluiten.
Cyberspecialisten voorspellen dat als de WHOIS-database wordt gesloten de hoeveelheid spam, phishing en vrijwel elke vorm van cybercriminaliteit aanzienlijk zal toenemen.
internetcoördinator Rob Joyce van het Amerikaanse Witte Huis onderschrijft de vrees van experts op het gebied van cybercrimebestrijding. “De GDPR gaat een belangrijk instrument ondermijnen voor het identificeren van kwaadaardige domeinen op het internet”, aldus Joyce.
Onderzoekers op het gebied van cyberbeveiliging gebruiken de WHOIS-informatie vaak om hackers te identificeren en hostingbedrijven aan te sporen hun sites af te sluiten.
“Omdat de WHOIS-databank niet in overeenstemming zal zijn met het GDPR, zal het ofwel de gevolgen onder ogen moeten zien of de gegevens moeten zuiveren die het nuttig maken om slechte actoren te vinden”, aldus de cyberambtenaar
Op basis van de domeinnaam denk je dat je bij een betrouwbare webwinkel bent beland. Maar pas op.
De schijn van het internetadres en de professioneel ogende webshop kan duur uitpakken, waarschuwt de Consumentenbond.
In een video op YouTube toont de Consumentenbond hoe internetcriminelen massaal gebruik maken van oude, vrijgekomen domeinnamen om nepproducten verkopen.
De Consumentenbond toont ook hoe je de nepshops kunt herkennen.
De Consumentenbond spoorde 2000 verdachte sites op en liet er 850 offline halen.
De Consumentenbond deed voor de Digitaalgids onderzoek naar webwinkels die zogenaamd met hoge kortingen merkkleding of luxe producten verkopen, maar in werkelijkheid nepproducten of soms zelfs helemaal niets leveren.
In veel gevallen maken deze winkels gebruik van bestaande, in onbruik geraakte domeinnamen.
Het voordeel van een bestaand domein is dat dit webadres al bekend is bij Google en dus hoger in de zoekresultaten komt.
Uit het onderzoek blijkt dat de overgrote meerderheid van de sites (92%) is aangemeld via slechts 4 hostingpartijen, zogenoemde registrars. Het gaat om Public Domain Registry (PDR) uit India, het Amerikaanse GoDaddy, 1API uit Duitsland en het Nederlandse Registrar.eu.
Domeinnaam Registratie
De Consumentenbond stelde een lijst op van 2000 verdachte sites en speelde die door naar 1API, Registrar.eu en de Stichting Internet Domeinregistratie Nederland (SIDN).
SIDN beheert de nl-domeinnamen. 1API en Openprovider (het bedrijf achter Registrar.eu) haalden 850 sites die bij hen geregistreerd stonden offline. SIDN is in overleg met de andere 2 registrars om ook deze nepsites offline te krijgen.
Vooral nepshops merkkleding
Malafide webshops vormen een aanzienlijk probleem. Naast de 90.000 bonafide webwinkels die zich op de Nederlandse markt richten, zijn er naar schatting zo’n 25.000 tot 35.000 fout.
Dat is minstens 1 op de 5. Wereldwijd zijn er naar schatting 700.000 nepshops actief. De nepwinkels bieden vooral schoenen, kleding, tassen en zonnebrillen aan van bekende merken, zoals Nike, Adidas, Hugo Boss, Ralph Lauren en Tommy Hilfiger.
