Vooral jongeren slachtoffer van cybercriminaliteit

Vooral jongeren hebben last van digitale criminaliteit. Van alle jongeren tussen de 12 en 25 jaar oud was 12 procent vorig jaar slachtoffer. Van de 65-plussers werd minder dan 4 procent getroffen.

Dat blijkt uit onderzoek van het Centraal Bureau voor de Statistiek (CBS).

In 2018 waren volgens het CBS 1,2 miljoen Nederlanders slachtoffer van cybercriminaliteit.

Van alle Nederlanders zei 8,5 procent van de internetgebruikers ouder van 12 jaar oud slachtoffer te zijn geweest van cybercriminaliteit.

Bij 4,6 procent van de aanvallen probeerde de aanvaller geld te verdienen door het slachtoffer bijvoorbeeld op te lichten. In 1,8 procent van de gevallen was sprake van een hackaanval.

Mannen en vrouwen waren even vaak slachtoffer. Bij mannen werd vaker geld gestolen, terwijl vrouwen vaak slachtoffer waren van persoonlijke aanvallen waarbij seks in sommige gevallen een rol speelde.

Brabantse hacker hoort officier van justitie drie jaar celstraf eisen

Een 49-jarige hacker uit Boxtel moet wat het Openbaar Ministerie (OM) betreft drie jaar de gevangenis in. De Brabander is hoofdverdachte in een grote fraudezaak waarbij twee bedrijven voor tonnen werden opgrlicht.

De verdachte hackte volgens het OM mailaccounts van een bedrijf in België dat op het punt stond om vliegtuigonderdelen te verkopen aan een bedrijf in Jordanië. In de mailwisseling tussen de bedrijven veranderde de Brabander het rekeningnummer waarop het geld overgemaakt moest worden.

Toen het Belgische bedrijf geen geld ontving, kwam de zaak aan het licht.

Een onderzoek leidde naar een verdachte in Boxtel, die een groot deel van het gestorte bedrag overboekte naar bankrekeningen die op zijn naam stonden.

De verdachte werd in 2018 opgepakt. Hij zegt onschuldig te zijn en noemt Russische criminelen verantwoordelijk. Volgens de officier van justitie blijkt uit niets “dat er anderen bij de oplichting betrokken zijn geweest”.

Het Openbaar Ministerie eiste vier jaar cel, waarvan één jaar voorwaardelijk.

Het OM zegt dat de verdachte ook de geleden schade aan de bedrijven moet terugbetalen.

Duitse energiebedrijven worden vanaf nu in trainingscentrum voorbereid op hackaanvallen

De Duitse stroomnetwerkbeheerder Innogy heeft in Essen een trainingscentrum geopend waar eigen medewerkers en van energieleveranciers worden getraind hoe ze aanvallen van hackers op het elektriciteitsnet kunnen afwenden.

Het belang van het trainingscentrum werd in 2018 duidelijk toen energiebedrijf RWE, dat net als Innogy ook actief is in Nederland, doelwit was van een cyberaanval. Bij een geschil over de bruinkoolwinning in het Hambachwoud, vlakbij de Nederlandse grens bij Limburg, werd de website van RWE platgelegd.

Deskundigen zeggen dat energienetten een aantrekkelijk doelwit zijn voor terroristen.

In het trainingscentrum worden praktijksituaties nagebootst met rollenspellen. Twee teams strijden tegen elkaar. Het ene team vertegenwoordigt de werknemers, het andere team kruipt in de huid van hackers.

Hacker legt alle automatiseringsystemen van Baltimore al een maand lang plat

Het computernetwerk van de Amerikaanse metropool Baltimore is al een maand lang volledig verlamd. Van de waterrekening tot de aankoop van een huis… Niets werkt meer.

Sinds begin mei zijn bijna alle computersystemen in de stad stilgelegd, zelfs e-mails en telefoons zijn dood. De administratie moet het doen met noodoplossingen en papier.

De inwoners van de stad werden op 7 mei voor het eerst ingelicht via Twitter. Vanwege de hack lukte dat niet via mail. Uit de tweet blijkt dat de gemeente op dat moment nog niet de enorme impact van de cybercrime aanval in de gaten had:

“We negeren je niet. Onze e-mail service werkt niet. We werken eraan.”

Werknemers van de stad in de Amerikaanse staat Maryland hadden wel gemerkt dat sommige systemen zich vreemd gedroegen. De IT-beveiligers ontdekten al snel dat tientallen stadsservers door een Trojaan waren versleuteld – en haalden het systeem van het net. Sindsdien kan het hele bestuurlijke en ambtelijke apparaat niets meer doen.

Of het nu gaat om de betaling van de waterrekening, een parkeerkaart of de overdracht van een huis aan een nieuwe eigenaar: alles ligt al wekenlang braak in Baltimore.

Er komen geen e-mails meer binnen, zelfs de telefoonsystemen waren deels buiten werking.

Om op de een of andere manier te kunnen werken, creëerden de medewerkers privé-e-mailadressen voor hun werk, waarna de administratie na jaren weer overging op papier om op de een of andere manier verder te kunnen werken.

Gelukkig zijn de politie, de brandweer en de gezondheidszorg niet getroffen.

De gevolgen zullen waarschijnlijk nog enige tijd aanhouden.

Hoewel het voor de autoriteiten inmiddels mogelijk is om een deel van de dagelijkse werkzaamheden te hervatten, zijn de problemen in Baltimore nog steeds niet opgelost. De stad moet met spoed fors investeren om de computersystemen weer veilig te kunnen gebruiken. De redding van de rest van het systeem zou ongeveer vijf miljoen euro moeten kosten, en tegen het einde van het jaar wordt nog eens vijf miljoen euro verwacht.

Het dagblad Baltimore Sun meldt dat er nog eens tien miljoen euro verloren is gegaan door het gebrek aan inkomsten.

Burgemeester wil niet betalen

Burgemeester Bernard C. Young, bekend als “Jack”, was pas enkele dagen in functie toen het losgeldbriefje arriveerde: de aanvaller eiste 13 Bitcoin, wat overeenkomt met ongeveer 90.000 euro.

Individuele systemen zouden worden vrijgegeven voor drie Bitcoin. Maar burgemeester Young weigerde om te betalen. “Wij betalen geen misdadigers voor hun slechte daden”, verklaarde de burgemeester aan de Baltimore Sun.

Het was immers niet bekend of de systemen na betaling überhaupt weer vrijgegeven zouden worden.

In plaats daarvan heeft Young de NSA en de FBI gewaarschuwd en externe consultants ingeschakeld om de problemen op te lossen.

Al snel werd duidelijk dat de hackers het aanvalsgereedschap “Robbinhood” gebruikten, dat al in andere hoogwaardige zaken werd gebruikt.

De verdenking dat ook een gestolen NSA cyberwapen was gebruikt kon niet worden bevestigd door de deskundigen Eric Sifford en Joe Stewart. Zij legden in een blogbericht uit dat hier geen aanwijzingen voor zijn gevonden in de onderzochte programmaonderdelen.

UPS

En iemand anders ontkent het gebruik van NSA-tools: de hacker zelf. Blijkbaar gefrustreerd door de niet-betaling, vroeg hij enkele dagen geleden via Twitter aan burgemeester Young en verschillende gemeenteraadsleden om eindelijk het bedrag te betalen.

Hij zou zelfs een aantal van de servers gratis ontgrendelen, zo bood de hacker aan. Hij wilde laten zien dat het echt mogelijk was om de gegevens te redden. Hij kon bewijzen dat het de dader was met interne documenten van het stadsbestuur, die door de deskundigen als echt werden beschouwd.

Ondertussen is het account door Twitter geblokkeerd. Niet vanwege de hack, maar omdat de vermeende hacker burgemeester Young racistisch beledigde.

De aanpak van de hacker is ongewoon, benadrukken experts volgens “Ars Technica”.

Normaal gesproken zouden dergelijke aanvallers voorkomen dat zij het bewijs van indringing in het systeem leveren en zelfs in het openbaar commentaar geven op het systeem. Zij vermoeden dat de dader een ander motief voor zijn daad heeft. Ze vermoeden dat hij de hack van de stad ziet als een reclamecampagne om de kracht van zijn chantage-instrument te laten zien. Om zich te kunnen verhuren aan derden.

Wat gebeurt er (niet meer) als het internet in heel Nederland plat wordt gelegd? Dit college van professor Aiko Pras moet je zien!

Dit artikel kun je dankzij internet lezen. Waar je ook bent. Als je even geen dekking hebt voor je smartphone vind je dat hoogst irritant. Als je wifi thuis langzaam is scheldt je op je provider. Maar wat doe je als het hele internet plat ligt?

Professor Aiko Pras van de Universiteit Twente legt het uit in een online college. Hij neemt je mee op een vliegreis die dankzij een grote internetstoring niet door kan gaan. Al snel kom je er dan achter hoe kwetsbaar onze moderne samenleving dankzij internet is geworden.

Dan begrijp je ook hoe belangrijk die irritante bureacratisch ogende Algemene Verordening Gegevensbescherming (AVG) is. Het internet is zo sterk als de zwakste schakel. En wij zijn als gebruikers allemaal een schakel. Als jij je door een cybercrimineel laat verleiden om te reageren op een phishingmail kun jij de zwakke schakel zijn.

Jij kunt er zelf de oorzaak van zijn dat de digitale soldaten van Poetin er in slagen om malware te installeren op jouw computer of op het netwerk van jouw bedrijf. Een computervirus dat zich vervolgens razendsnel verspreidt over het Nederlandse internet en alle systemen platlegt.

Volgens professor Aiko Pras is de kans op een vernietigende digitale aanval op het internet groter dan we denken en zijn wij als maatschappij niet goed voorbereid op de chaos die dit zou kunnen creëren.

Het college van professor Pras op het YouTube kanaal van de Universiteit van Nederland is een aanrader voor iedereen die twijfelt over het nut van de AVG. In 18 minuten legt Pras uit waarom het zo belangrijk is dat iedereen zich bewust is van de risico’s die we lopen en hoe we ons daar tegen kunnen beschermen.

Miljoenen kinderen zijn dankzij goedkope kinderhorloges met GPS eenvoudig traceerbaar voor pedofielen

Uit angst voor pedofielen kopen veel ouders tegenwoordig een GPS-horloge voor hun kinderen. Zo kunnen ze hun kroost overal volgen. Maar de kinderlokkers waar ze de kinderen juist voor willen beschermen kunnen dat ook. Het hacken van zo’n smartwatch met GPS-tracker en microfoon blijkt namelijk een fluitje van een cent.

De software van veel merken relatief goedkope kinderhorloges kan volgens de Britse ethical hackers Ken Munro en Alan Monie van Pen Test Partners heel eenvoudig op afstand worden gekraakt. Veel producenten maken gebruik van dezelfde standaard software.

De slimme kinderhorloges kunnen via Amazon online besteld worden. Ze worden aangeboden voor prijzen tussen de 12 en 90 Euro. Vele malen goedkoper dan een Apple watch.

 

De app waarmee de locatie van de kinderhorloges op smartphones kan worden uitgelezen is volgens de ethical hackers van Pen Test Partners zo slecht geprogrammeerd dat het voor een hacker een klein kunstje is om in te breken op het online account waarmee de smartwatch in verbinding staat.

Veel ouders hebben een gerust gevoel als ze op ieder moment van de dag weten waar hun kind is. De smartwatch voor kinderen maakt dat mogelijk. Het is eigenlijk een nieuw soort mobiele babyfoon waarmee je niet alleen de kinderkamer live kunt meeluisteren, maar overal waar het kind zich bevindt. Zonder dat de omgeving het weet.

Volgens de Algemene Verordening Gegevensbescherming (AVG) mag dat niet, maar het gebeurt wel. Als er kinderen met zo‘n smartwatch in de buurt zijn weet je nu dus dat je moet oppassen waar je over praat. Big papa en big mama are watching you…

Maar wat mama en papa kunnen, kan een kinderlokker ook. En dan wordt die smartphone een modern paard van Troje. De kindersmartphone kan een nachtmerrie worden.

Kwaadwillenden kunnen kinderen met zo’n horloge dankzij de GPS-tracker ook volgen. Ze weten ook exact waar de kinderen zich bevinden. En via de ingebouwde microfoon kunnen ze dus de kinderen en hun omgeving live afluisteren. Dat is handig als je de rollen omdraait.

 

Kinderlokkers weten zo dus ook of kinderen alleen zijn. Als ze een kind langer volgen kunnen ze gedragspatronen registreren. Ze kennen de routes waarlangs kinderen dagelijks lopen en fietsen. Waar ze spelen.

En ze weten dat mama en papa kunnen zien waar hun kind is en ook kunnen meeluisteren. Als ze het kind dus willen ontvoeren weten ze dat ze het horloge meteen af moeten doen en weggooien. En dan is het ‘veilige’ kind meteen van de radar van mama en papa verdwenen. Misschien hebben ze nog net de laatste woorden van hun zoontje of dochtertje kunnen horen… Horror! Je moet er niet aan denken.

Ach, zo‘n vaart zal het niet lopen, denken sommige mensen nu. Maar volgens Pen Test Partners is het naief om zo te denken. Helemaal als je zoals deze professionele ethical hackers weet hoe cybercriminelen dagelijks dankbaar misbruik maken van de fouten van slordige slechte programmeurs.

De verbinding die de smartwatch en de app voor smartphones maken met het internet blijkt tot afgrijzen van de ethical hackers onversleuteld te zijn. „Geen encryptie – wat is dit, de jaren negentig?“

Vrijwel alle gegevens worden in platte tekst verstuurd. Iedereen heeft daardoor toegang tot de gegevens.

Het hacken van een ‘slimme’ kinderhorloge blijkt bijzonder eenvoudig. Het gebruikers-ID-nummer kan eenvoudig onderschept worden. Een hacker die een smartwatch voor kinderen koopt kan aan de hand van de inloggegevens van die ene smartwatch inbreken in miljoenen andere smartwatches.

De hacker hoeft enkel te analyseren hoe zijn gekochte smartwatch verbinding maakt met de cloudomgeving. Nadat de onversleutelde communicatie tussen de smartwatch, de app en de backendserver in de cloud met standaard hackersoftware onderschept is hoeft de hacker alleen het ID-nummer te wijzigen om vervolgens toegang te krijgen tot de foto, de verblijfplaats en andere gegevens van een willekeurig kind van dat ID.

Als er miljoenen smartwatches zijn is de kans klein dat ze net die van jouw kind er uitpikken… denken sommige mensen nu. Verkeerd gedacht. Het is heel simpel om kinderen in een bepaalde omgeving te traceren. Kinderlokkers kunnen de smartwatch voor kinderen eenvoudig gebruiken als een soort buienradar voor kinderen. Een online catalogus voor pedofielen.

Ethical hacker Monro van Pen Test Partners zegt dat hij met een eenvoudig zelfgeprogrammeerd C#-programma automatisch de accounts van 12.000 MiSafe horloges had kunnen bekijken en ook een foto van elk kind kon downloaden, plus hun naam, andere persoonlijke gegevens, evenals het telefoonnummer van de ouders en van het horloge zelf.

Munro vertelde de BBC dat een pedofiel met behulp van gemakkelijk verkrijgbare software zich kan voordoen als een van ouders van het kind en rechtstreeks kan communiceren.

“Zodra een hacker het telefoonnummer van de ouder heeft achterhaald kan hij zich voordoen als papa of mama. Hij kan rechtstreeks contact opnemen met het kind en het overtuigen het huis of de speelplaats te verlaten en naar een bepaalde locatie te gaan. Het kind denkt dat papa of mama het zegt en zal de opdracht klakkeloos uitvoeren.”

Pen Test Partners zegt geprobeerd te hebben om met de fabrikant van de MiSafe Kids Watch Plus in contact te komen. Dat is niet gelukt. Het is volgens Pen Test Partners onwaarschijnlijk dat er ooit een beveiligingsupdate voor de kinderhorloges zal komen.

De fabrikant kwam in februari ook al in opspraak vanwege een datalek bij populaire babyfoons.

De kindersmartwatches zijn in Noorwegen inmiddels verboden. De Britse consumentenbond pleit ook voor een verbod.

Advies van de ethical hackers aan ouders die zo’n smartwatch voor hun kinderen hebben gekocht: verwijder de app van je smartphone en vernietig de smartwatch met een hamer of een baksteen.

Unboxing video MiSafe smartwatch voor kinderen

Jongeren weten volgens Veiliginternetten.nl dat hacken crimineel is, maar willen het graag proberen. Kans voor werkgevers!

Vijf procent van de Nederlandse jongeren van 12 tot en met 18 jaar heeft weleens zonder toestemming in een computer of netwerk ingebroken. 12% heeft dit nog nooit gedaan, maar denkt wel dat ze het kunnen. Dat blijkt uit onderzoek van Veiliginternetten.nl.

Jongeren vinden hacken spannend. 80% van de jongeren associeert hacken met criminaliteit. Ze weten dat het niet mag. Toch geeft bijna de helft van de jongeren die nog nooit gehackt hebben aan dit wel eens te willen proberen.

Positieve keerzijde fascinatie voor hacken

De fascinatie van jongeren voor hacken heeft een positieve keerzijde. Er groeit een generatie op die beseft wat de risico’s zijn om slachtoffer te worden van cybercriminaliteit. Bovendien weten deze jongeren ook hoe eenvoudig het is om te hacken. Een kind kan het immers zichzelf leren.

Veiliginternetten.nl ziet nog een tweede positieve bijkomstigheid. Hoe mooi zou het zijn als een groot aantal van deze jongeren een opleiding tot cyberssecurityspecialist zou volgen?

Vacature ethical hacker

Er is nu al een tekort aan privacyspecialisten. Bedrijven kunnen moeilijk goed geschoolde gemotiveerde ICT-ers en privacymanagers vinden. Er is grote vraag naar ethical hackers.

Om hackende jongeren te laten zien dat zij met hackvaardigheden juist op een positieve, niet strafbare manier kunnen bijdragen aan onze samenleving, heeft Veiliginternetten.nl twee video’s gemaakt met de oproep: Hacktalent? Doe er iets goeds mee.

Jongeren bezitten uniek talent

“We willen jongeren laten zien dat zij een uniek talent bezitten. Door dit talent op de goede manier in te zetten en te ontwikkelen kunnen zij onze samenleving helpen minder kwetsbaar te worden voor cybercriminaliteit. Daar ligt ook een rol voor ouders en docenten. We hebben om die reden twee video’s ontwikkeld die daar een bijdrage aan kunnen leveren,” zegt Marjolijn Bonthuis, adjunct-directeur van ECP | Platform voor de InformatieSamenleving en een van de initiatiefnemers van Veiliginternetten.nl.

Jongeren vinden hacken crimineel, maar ook slim (27%), spannend (25%) en interessant (24%).

Jongens vinden hacken spannender dan meisjes

Jongens associëren hacken significant vaker met interessant en spannend dan meisjes. “Het is daarom belangrijk dat ouders en docenten met jongeren in gesprek gaan over hacken. Over de mogelijke consequenties voor de toekomst van hacken zonder toestemming, maar juist ook over hoe zij met dit talent organisaties kunnen helpen kwetsbaarheden in hun systemen op te sporen en op te lossen. Er is een groot tekort aan deze skills. Meer inzicht in en aandacht voor jongeren met kennis, ervaring of nieuwsgierigheid naar technologie en ICT is broodnodig.”

Denken versus doen

Een op de vijf Nederlandse jongeren heeft naar eigen zeggen wel eens gehackt.

De groep die aangeeft te kunnen hacken is in veel gevallen twee of drie keer groter. Zo is 3% van de jongeren zonder toestemming het schoolsysteem binnengedrongen en nog eens 12% zegt het niet gedaan te hebben maar wel te kunnen.

5% is wel eens een e-mailaccount binnengedrongen zonder toestemming en 21% geeft aan het te kunnen.

14% is wel eens in een mobiele telefoon binnengedrongen, 21% kan het.

De belangrijkste redenen om daadwerkelijk te hacken zijn het voor de lol proberen of het lukt (40%), nieuwsgierigheid naar gegevens van anderen (32%), testen hoe goed iemands systeem beveiligd is (21%) en anderen laten zien dat het lukt, bijvoorbeeld vrienden of andere hackers (15%).

Jongeren gevraagd als ethical hacker

Bijna een kwart van de hackende jongeren geeft aan dat zij hacken omdat de eigenaar van het (computer)systeem dat vroeg.

“Volgens acht op de tien jongeren is hacken altijd strafbaar. Ondanks dit gegeven, lijkt de wens te kijken hoe ver ze kunnen komen, nieuwsgierigheid naar wat ze zullen aantreffen, of het idee toch niet gepakt te kunnen worden, groter, voegt Marjolijn Bonthuis toe.”

Hacktalent? Doe er iets goeds mee

Met deze oproep vraagt een groot aantal partijen aandacht voor jonge hackers en hun talent. Dit zijn Veiliginternetten.nl, ECP, het Openbaar Ministerie, de Nationale Politie, Hack Talk, Zerocopter, dcypher, Hack in the Class en Meldknop.nl. Deze partijen hebben meegewerkt aan de totstandkoming van de video’s. Bekijk de video’s.

Safer Internet Days

Om aandacht te vragen voor veilig internetgebruik door jongeren wereldwijd vinden ieder jaar de Safer Internet Days plaats. In Nederland gebruiken we deze dagen om aandacht te vragen voor online veiligheid en digitale vaardigheden van kinderen en jongeren. De eerstvolgende editie van de Safer Internet Days start op dinsdag 5 februari 2019. Kijk voor meer informatie op www.saferinternetcentre.nl/saferinternetday/.

Wil jij cyberspion worden? De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zoekt personeel

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zoekt via een advertorial op de nieuwssite Nu.nl mensen die cyberspion willen worden. Als je wordt aangenomen mag je thuis niet over je werk vertellen.

“Ben jij ict’er en wil je meewerken in een wereld waar elke dag nieuwe bedreigingen op de loer liggen? Kijk dan snel op werkenvoornederland.nl/security. Of neem direct contact op met mivd@mindef.nl voor meer info over het werk van de MIVD”, staat er aan het eind van het uitgebreide wervende commerciele verhaal van de MIVD.

De MIVD-advertorial luidt als volgt:

Cyberaanvallen voorkomen, hackers onschadelijk maken en de veiligheid van Nederlandse militairen in het buitenland vergroten.

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) analyseert dreigingen en verzamelt inlichtingen, zodat Nederland niet voor akelige verrassingen komt te staan.

Begin oktober maakte het Ministerie van Defensie en de MIVD bekend dat zij in april 2018 een Russische hackoperatie op chemische-wapenwaakhond OPCW in Den Haag hebben verijdeld.

Hoe hebben zij dit gedaan?

Het inlichtingenproces is zeer nauw verweven met ict. Talloze ict-experts werken samen in de digitale jacht naar cyberspionnen uit het buitenland die een bedreiging vormen voor Defensie en defensiebedrijven.

Goedkoop en anoniem

Hacken is goedkoop en – mits goed uitgevoerd – anoniem. Het is populair onder landen die op het gebied van geopolitiek een machtspositie willen verwerven.

Daarom is de MIVD continu bezig het deze hackers zo moeilijk mogelijk te maken en waar mogelijk te ontmaskeren: zo werd de identiteit van de vier Russische spionnen van de hack op OPCW door de MIVD onthuld.

 

Afluisteren, inbreken en kraken

Om dreigingen goed te kunnen onderzoeken, hebben de MIVD’ers bevoegdheden die hun collega’s in het bedrijfsleven niet hebben.

Denk bijvoorbeeld aan afluistertaps plaatsen, op afstand inbreken op laptops van hackers en malware kraken.

Wat precies wel en niet mag, staat omschreven in de Wet op de Inlichtingen- en Veiligheidsdiensten.

Wie werken er bij de MIVD?

Wie de digitale jagers en ict’ers van de MIVD zijn?

Het zijn doorzetters, creatievelingen die hun weg weten te vinden op de digitale snelweg en eindeloos kunnen puzzelen en hun hersenen laten kraken.

Ze werken met geavanceerde technologie, bijvoorbeeld als het gaat om cloudoplossingen, wereldwijde netwerken, big data-analyse, of cryptografische producten.

Daarnaast analyseren en visualiseren ze dagelijks grote hoeveelheden unieke data om zo verbanden te kunnen leggen tussen verschillende zaken.

Wereld veiliger maken

Het is ook belangrijk dat MIVD’ers goed hun mond kunnen houden. Want thuis inhoudelijk over je werk vertellen zit er niet in. Dit komt omdat zij met gevoelige informatie werken om zo samen de wereld veiliger te maken.

Meer dan de helft van mkb-bedrijven slachtoffer van cybercrime. Is jouw bedrijf ook gehackt zonder dat je het weet?

Meer dan de helft van die bedrijven in Nederland was dit jaar doelwit van internetcriminelen. Veel ondernemers hebben niet in de gaten dat ze zijn gehackt door cybercriminelen.

Ondanks de toenemende stroom berichten over cybercrime, datalekken, virussen, malware, spyware en ransomware en de Algemene Verordening Gegevensbescherming (AVG) maakt driekwart van de bedrijven zich nog steeds weinig zorgen om de digitale veiligheid.

Onderzoek Alert Online

Dat blijkt uit een onderzoek dat Alert Online deed op verzoek van de overheid, het bedrijfsleven en de wetenschap 712 mkb’ers over internetcriminaliteit.

Die onbezorgdheid is ook nog eens toegenomen: vorig jaar maakte 65 procent van de bedrijven zich nog weinig zorgen.

Toch had 52 procent van de bedrijven afgelopen jaar last van cybercriminaliteit.

Het ministerie maakt zich zorgen over de lichtzinnigheid bij mkb-bedrijven en trekt daarom 1,2 miljoen euro uit voor voorlichting.

MKB vaak slachtoffer van phishing en acquisitiefraude

Je zou denken dat ondernemers die eenmaal slachtoffer zijn geweest zich voortaan beter beveiligen. Maar uit het onderzoek blijkt meer dan de helft dan nog geen extra maatregelen neemt om te voorkomen dat zoiets in de toekomst nog een keer gebeurt.

Mkb’ers worden het meest bestookt met phishing en acquisitiefraude. Een derde van de kleine bedrijven krijgt weleens dat soort mails, waarbij in één op de vijf gevallen ook echt op een kwaadaardige link wordt geklikt. En een kwart van de kleine bedrijven kreeg spookfacturen voor diensten of spullen die helemaal niet geleverd waren.

Ministerie van Justitie steekt 1,2 miljoen in awareness campagne voor MKB

Het ministerie van Justitie trekt 1,2 miljoen euro uit om mkb’ers voor te lichten en te trainen. Dat bedrag is onderdeel van het totaalbedrag dat het ministerie reserveerde voor de bestrijding van cybercrime.

Über betaalt 148 miljoen dollar boete voor verzwegen datalek

Taxidienst Über moet in de VS een enorm hoge boete betalen voor het verzwijgen van een hack van ongeveer 60 miljoen klantengegevens in oktober 2016.

De advocaat-generaal van New York, Barbara D. Underwood, maakte bekend dat Über in een schikking met de Amerikaanse autoriteiten een boete van 148 miljoen US dollar heeft aanvaard.

Het zou de hoogste boete te zijn die ooit in een dergelijke zaak is opgelegd. Daarnaast moet Über voldoen aan eisen om de gegevensbeveiliging te verbeteren.

Über gaf in november 2017 toe een losgeld van 100.000 US dollar te hebben betaald aan cybercriminelen die de systemen van de internationale taxidienst hadden gehackt.

Ze hadden toegang weten te krijgen tot een archief met gegevens van miljoenen chauffeurs en passagiers.

Later namen ze contact op met het Amerikaanse taxibedrijf en eisten ze een losgeld van 100.000 dollar voor de data die ze hadden buitgemaakt.

Het bestand bevatte de namen, e-mailadressen en telefoonnummers van meer dan 50 miljoen Uber-gebruikers.
De rijbewijzen van meer dan zeven miljoen taxichauffeurs was in handen van de cybercriminelen.

“Deze recordschikking geeft een duidelijke boodschap: we tonen geen tolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen,” legt Underwood uit.

Tony West, de hoofdrechter, sprak zijn tevredenheid uit in een verklaring dat hij een akkoord had bereikt met de kantoren van de openbare aanklager.

Volgens de huidige wetgeving had Uber ten minste de autoriteiten, maar mogelijk ook individuele klanten of bestuurders over het incident moeten informeren.

In het verleden moest de onderneming een boete betalen voor het niet correct melden van een inbraak.

Cybercriminelen vragen heel brutaal de salarisadministratie om je salaris naar een andere rekening te boeken

De Fraudehelpdesk waarschuwt voor cybercriminelen die mailboxen van personeel hacken en vervolgens de salarisadministratie vragen het salaris voortaan op een andere bankrekening te storten.

“Werkt u op de salarisadministratie? Wees dan alert als u per mail een verzoek krijgt het salaris van een medewerker op een ander rekeningnummer te storten”, meldt de Fraudehelpdesk op zijn site.

Er zouden al meerdere medewerkers van diverse bedrijven slachtoffer geworden zijn van deze nieuwe phishingmethode van cybercriminelen.

De fraude kwam aan het licht toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten. In alle gevallen bleek het mailaccount van de werknemer gehackt.

Advies Fraudehelpdesk
In de afgelopen jaren hebben enkele tientallen datalekken plaatsgevonden bij grote bedrijven zoals LinkedIn, Yahoo en Dropbox.

Via de site Have I been Pwned kunt je kijken of je gegevens zijn gelekt.

Ook de politie heeft een dergelijke tool.

Als blijkt dat je inloggegevens niet op beide genoemde sites worden gemeld wil dat volgend de Fraudehelpdesk niet zeggen dat jouw gegevens en wachtwoord(en) niet in handen van criminelen zijn gevallen.

Als je het idee hebt dat je mailaccount is gehackt kun je het beste onmiddellijk de wachtwoorden van je mailaccount en alle andere accounts, zoals bank, webshops en dergelijke wijzigen.

Gebruik hiervoor het liefst een wachtwoordmanager. Die moet je dan wel weer beveiligen met een sterke wachtwoordzin.

Cybercriminelen herontdekken Microsoft Office. Mogelijke aanvalsscenario’s via Office-bestanden…

Cybercriminelen hebben Microsoft Office ‘herontdekt’ als tool om in bedrijfsnetwerken te infiltreren. Dit blijkt uit onderzoek van Unit42, de afdeling cybersecurity van het Amerikaanse bedrijf Palo Alto Networks. Eerste tip: pas op met bestanden met de extensie .docm.

Verderop in dit artikel zetten we de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Aanvalpogingen met behulp van speciaal voorbereide Microsoft Office bestanden zijn op zich niet nieuw. Op dit moment nemen de pogingen van criminelen om kwetsbaarheden in bedrijfsnetwerken via dergelijke bestanden uit te buiten volgens Unit42 echter weer toe.

Het is daarom voor organisaties van belang om medewerkers via awareness traimingen bewust te maken van de risico’s van het openen van Office documenten van onbekende afzenders.

Mensen openen Office-documenten die bijgevoegd zijn in mailberichten meestal instinctief. Voor ze zich het beseffen hebben ze vrijwel automatisch met hun muis op het Word of Excel bestand geklikt.

Dit geldt ook als deze bestanden afkomstig zijn van afzenders die niet bekend zijn bij de ontvanger. Dit wijst op een gebrek aan kennis over de mogelijke gevaren.

Maar zelfs een bekende en betrouwbare afzender beschermt niet tegen malware-infecties. Het systeem van de verzender kan het het geïnfecteerde Microsoft bestand ook ongemerkt versturen.

Mogelijke aanvalsscenario’s via Office-bestanden

 

Pogingen tot aanvallen via Office-bestanden zijn zeer veelzijdig geworden. Kennis van deze scenario’s draagt bij tot een effectieve preventieve bescherming van netwerken. Het is voor organisaties daarom van groot belang om medewerkers via awareness trainingen te informeren over de risico’s. PrivacyZone kan daarbij helpen.

We zetten de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Macro’s

Microsoft Office bevat een optie om zelf macroscripts te schrijven waarmee processen en handelingen kunnen worden geautomatiseerd. Dat kan met de scriptengine die is geïntegreerd in MS-Office (Visual Basic for Applications). Dit is nog steeds de gemakkelijkste manier voor aanvallers om het systeem van de gebruiker in gevaar te brengen.

De scripts kunnen direct na het openen worden uitgevoerd zonder dat het slachtoffer een actie hoeft uit te voeren. Mits macro’s zijn geactiveerd op het systeem van de gebruiker.
Microsoft Office kan zo ingesteld worden dat standaard voorkomen wordt dat de macro’s na het klikken op een bestand automatisch worden uitgevoerd. Er moet dan altijd eerst nog via een popupvenster bevest worden dat het script mag worden uitgevoerd.

De ervaring leert dat veel medewerkers achterdochtig worden bij zo’n popup. Maar de kans bestaat dat ze dan naief toch nog de macroactie goedkeuren. Met alle mogelijke gevolgen van dien.

Kantoorgebruikers dienen zich er daarom van bewust te zijn dat Office-bestanden met macro’s een andere bestandsextensie (.docm) hebben. En dat ze bij deze bestanden altijd achterdochtig moeten zijn.

Ingebedde Flash-bestanden

Externe objecten uit andere programma’s en bronnen kunnen in Office-documenten worden ingesloten. En daarmee automatisch de kwetsbaarheden van deze applicaties. Er zijn succesvolle pogingen gedaan om aan te vallen met behulp van Flash-bestanden die zijn opgenomen in Excel-documenten, waarbij gebruik is gemaakt van een kwetsbaarheid in Flash Player.

Microsoft Equation Editor

Der Formel-Editor (Equation Editor) von Microsoft ist ein Hilfsprogramm für das Zeichnen und Schreiben mathematischer Ausdrücke. Dessen Dateien werden ebenfalls direkt in die Office-Dateien eingebettet. Doch auch auf diesem Weg gab es bereits erfolgreiche Exploit-Versuche. Da der Editor aus Sicht des Betriebssystems und des Office-Programms als eigener Prozess angesehen wird, greifen die im Office-Paket eingebauten Schutzfunktionen nicht.

Microsoft’s Equation Editor is een hulpprogramma voor het tekenen en schrijven van wiskundige uitdrukkingen. Deze bestanden worden rechtstreeks in Office-bestanden opgenomen. Cybercriminelen buiten deze bestanden uit om malware in te verstoppen.

Hoe kun je je als organisatie wapenen tegen dit soort aanvallen via Microsoft Office? Een softwarepakket waarmee vrijwel iedereen werkt.

Vraag als eerste uw ICT-afdeling of een extern ICT-bedrijf om Microsoft Office veilig in te stellen en laat ook actuele antivirus software installeren.

En plan vervolgens een awareness training in voor medewerkers. Zo’n awareness training is overigens volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht.

PrivacyZone biedt Awareness Trainingen aan. Wil je meer weten? Neem contact met ons op. Telefoon: 06-31995740 of mail: info@privacyzone.nl.