Jongeren weten volgens Veiliginternetten.nl dat hacken crimineel is, maar willen het graag proberen. Kans voor werkgevers!

Vijf procent van de Nederlandse jongeren van 12 tot en met 18 jaar heeft weleens zonder toestemming in een computer of netwerk ingebroken. 12% heeft dit nog nooit gedaan, maar denkt wel dat ze het kunnen. Dat blijkt uit onderzoek van Veiliginternetten.nl.

Jongeren vinden hacken spannend. 80% van de jongeren associeert hacken met criminaliteit. Ze weten dat het niet mag. Toch geeft bijna de helft van de jongeren die nog nooit gehackt hebben aan dit wel eens te willen proberen.

Positieve keerzijde fascinatie voor hacken

De fascinatie van jongeren voor hacken heeft een positieve keerzijde. Er groeit een generatie op die beseft wat de risico’s zijn om slachtoffer te worden van cybercriminaliteit. Bovendien weten deze jongeren ook hoe eenvoudig het is om te hacken. Een kind kan het immers zichzelf leren.

Veiliginternetten.nl ziet nog een tweede positieve bijkomstigheid. Hoe mooi zou het zijn als een groot aantal van deze jongeren een opleiding tot cyberssecurityspecialist zou volgen?

Vacature ethical hacker

Er is nu al een tekort aan privacyspecialisten. Bedrijven kunnen moeilijk goed geschoolde gemotiveerde ICT-ers en privacymanagers vinden. Er is grote vraag naar ethical hackers.

Om hackende jongeren te laten zien dat zij met hackvaardigheden juist op een positieve, niet strafbare manier kunnen bijdragen aan onze samenleving, heeft Veiliginternetten.nl twee video’s gemaakt met de oproep: Hacktalent? Doe er iets goeds mee.

Jongeren bezitten uniek talent

“We willen jongeren laten zien dat zij een uniek talent bezitten. Door dit talent op de goede manier in te zetten en te ontwikkelen kunnen zij onze samenleving helpen minder kwetsbaar te worden voor cybercriminaliteit. Daar ligt ook een rol voor ouders en docenten. We hebben om die reden twee video’s ontwikkeld die daar een bijdrage aan kunnen leveren,” zegt Marjolijn Bonthuis, adjunct-directeur van ECP | Platform voor de InformatieSamenleving en een van de initiatiefnemers van Veiliginternetten.nl.

Jongeren vinden hacken crimineel, maar ook slim (27%), spannend (25%) en interessant (24%).

Jongens vinden hacken spannender dan meisjes

Jongens associëren hacken significant vaker met interessant en spannend dan meisjes. “Het is daarom belangrijk dat ouders en docenten met jongeren in gesprek gaan over hacken. Over de mogelijke consequenties voor de toekomst van hacken zonder toestemming, maar juist ook over hoe zij met dit talent organisaties kunnen helpen kwetsbaarheden in hun systemen op te sporen en op te lossen. Er is een groot tekort aan deze skills. Meer inzicht in en aandacht voor jongeren met kennis, ervaring of nieuwsgierigheid naar technologie en ICT is broodnodig.”

Denken versus doen

Een op de vijf Nederlandse jongeren heeft naar eigen zeggen wel eens gehackt.

De groep die aangeeft te kunnen hacken is in veel gevallen twee of drie keer groter. Zo is 3% van de jongeren zonder toestemming het schoolsysteem binnengedrongen en nog eens 12% zegt het niet gedaan te hebben maar wel te kunnen.

5% is wel eens een e-mailaccount binnengedrongen zonder toestemming en 21% geeft aan het te kunnen.

14% is wel eens in een mobiele telefoon binnengedrongen, 21% kan het.

De belangrijkste redenen om daadwerkelijk te hacken zijn het voor de lol proberen of het lukt (40%), nieuwsgierigheid naar gegevens van anderen (32%), testen hoe goed iemands systeem beveiligd is (21%) en anderen laten zien dat het lukt, bijvoorbeeld vrienden of andere hackers (15%).

Jongeren gevraagd als ethical hacker

Bijna een kwart van de hackende jongeren geeft aan dat zij hacken omdat de eigenaar van het (computer)systeem dat vroeg.

“Volgens acht op de tien jongeren is hacken altijd strafbaar. Ondanks dit gegeven, lijkt de wens te kijken hoe ver ze kunnen komen, nieuwsgierigheid naar wat ze zullen aantreffen, of het idee toch niet gepakt te kunnen worden, groter, voegt Marjolijn Bonthuis toe.”

Hacktalent? Doe er iets goeds mee

Met deze oproep vraagt een groot aantal partijen aandacht voor jonge hackers en hun talent. Dit zijn Veiliginternetten.nl, ECP, het Openbaar Ministerie, de Nationale Politie, Hack Talk, Zerocopter, dcypher, Hack in the Class en Meldknop.nl. Deze partijen hebben meegewerkt aan de totstandkoming van de video’s. Bekijk de video’s.

Safer Internet Days

Om aandacht te vragen voor veilig internetgebruik door jongeren wereldwijd vinden ieder jaar de Safer Internet Days plaats. In Nederland gebruiken we deze dagen om aandacht te vragen voor online veiligheid en digitale vaardigheden van kinderen en jongeren. De eerstvolgende editie van de Safer Internet Days start op dinsdag 5 februari 2019. Kijk voor meer informatie op www.saferinternetcentre.nl/saferinternetday/.

Uber moet in New York recordboete van 126 miljoen Euro betalen voor verzwijgen enorm datalek

Taxidienst Uber moet in New York 126 miljoen Euro boete betalen wegens het verzwijgen van een datalek.

Niet alleen in Europa kunnen sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) dus hoge boetes opgelegd worden na datalekken. Dat gebeurt ook in de Verenigde Staten.

I
n plaats van het publiek te informeren over gegevensdiefstal betaalde Uber geld aan hackers om hun mond te houden.

Met name vanwege de poging de zaak in de doofpot te stoppen krijgt Uber de hoogste straf die ooit in een dergelijk geval is opgelegd.

Het hoge bedrag vloeit voort uit een regeling waarin de procureur-generaal de schade bepaalde die door het datalek bij Uber veroorzaakt is bij ingezetenen van de 50 staten van de VS en het District van Colombia.

Ook worden verdere maatregelen ter verbetering van de gegevensbeveiliging opgelegd, zoals een “integriteitsprogramma” en de aanstelling van externe auditors.

Uber gaf in november 2017 toe sinds oktober 2016 een cyberaanval verborgen gehouden te hebben waarbij hackers gegevens over ongeveer 50 miljoen passagiers en 7 miljoen chauffeurs hadden buitgemaakt.

In plaats van de betrokken partijen en autoriteiten te informeren, betaalde Uber de hackers 100.000 dollar om de buitgemaakte gegevens te vernietigen.

Über accepteert de recordboete schuldbewust. “Deze recordvergelijking geeft een duidelijk signaal: we hebben een nultolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen”, aldus CEO Underwood.

Wil jij cyberspion worden? De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zoekt personeel

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) zoekt via een advertorial op de nieuwssite Nu.nl mensen die cyberspion willen worden. Als je wordt aangenomen mag je thuis niet over je werk vertellen.

“Ben jij ict’er en wil je meewerken in een wereld waar elke dag nieuwe bedreigingen op de loer liggen? Kijk dan snel op werkenvoornederland.nl/security. Of neem direct contact op met mivd@mindef.nl voor meer info over het werk van de MIVD”, staat er aan het eind van het uitgebreide wervende commerciele verhaal van de MIVD.

De MIVD-advertorial luidt als volgt:

Cyberaanvallen voorkomen, hackers onschadelijk maken en de veiligheid van Nederlandse militairen in het buitenland vergroten.

De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) analyseert dreigingen en verzamelt inlichtingen, zodat Nederland niet voor akelige verrassingen komt te staan.

Begin oktober maakte het Ministerie van Defensie en de MIVD bekend dat zij in april 2018 een Russische hackoperatie op chemische-wapenwaakhond OPCW in Den Haag hebben verijdeld.

Hoe hebben zij dit gedaan?

Het inlichtingenproces is zeer nauw verweven met ict. Talloze ict-experts werken samen in de digitale jacht naar cyberspionnen uit het buitenland die een bedreiging vormen voor Defensie en defensiebedrijven.

Goedkoop en anoniem

Hacken is goedkoop en – mits goed uitgevoerd – anoniem. Het is populair onder landen die op het gebied van geopolitiek een machtspositie willen verwerven.

Daarom is de MIVD continu bezig het deze hackers zo moeilijk mogelijk te maken en waar mogelijk te ontmaskeren: zo werd de identiteit van de vier Russische spionnen van de hack op OPCW door de MIVD onthuld.

 

Afluisteren, inbreken en kraken

Om dreigingen goed te kunnen onderzoeken, hebben de MIVD’ers bevoegdheden die hun collega’s in het bedrijfsleven niet hebben.

Denk bijvoorbeeld aan afluistertaps plaatsen, op afstand inbreken op laptops van hackers en malware kraken.

Wat precies wel en niet mag, staat omschreven in de Wet op de Inlichtingen- en Veiligheidsdiensten.

Wie werken er bij de MIVD?

Wie de digitale jagers en ict’ers van de MIVD zijn?

Het zijn doorzetters, creatievelingen die hun weg weten te vinden op de digitale snelweg en eindeloos kunnen puzzelen en hun hersenen laten kraken.

Ze werken met geavanceerde technologie, bijvoorbeeld als het gaat om cloudoplossingen, wereldwijde netwerken, big data-analyse, of cryptografische producten.

Daarnaast analyseren en visualiseren ze dagelijks grote hoeveelheden unieke data om zo verbanden te kunnen leggen tussen verschillende zaken.

Wereld veiliger maken

Het is ook belangrijk dat MIVD’ers goed hun mond kunnen houden. Want thuis inhoudelijk over je werk vertellen zit er niet in. Dit komt omdat zij met gevoelige informatie werken om zo samen de wereld veiliger te maken.

Meer dan de helft van mkb-bedrijven slachtoffer van cybercrime. Is jouw bedrijf ook gehackt zonder dat je het weet?

Meer dan de helft van die bedrijven in Nederland was dit jaar doelwit van internetcriminelen. Veel ondernemers hebben niet in de gaten dat ze zijn gehackt door cybercriminelen.

Ondanks de toenemende stroom berichten over cybercrime, datalekken, virussen, malware, spyware en ransomware en de Algemene Verordening Gegevensbescherming (AVG) maakt driekwart van de bedrijven zich nog steeds weinig zorgen om de digitale veiligheid.

Onderzoek Alert Online

Dat blijkt uit een onderzoek dat Alert Online deed op verzoek van de overheid, het bedrijfsleven en de wetenschap 712 mkb’ers over internetcriminaliteit.

Die onbezorgdheid is ook nog eens toegenomen: vorig jaar maakte 65 procent van de bedrijven zich nog weinig zorgen.

Toch had 52 procent van de bedrijven afgelopen jaar last van cybercriminaliteit.

Het ministerie maakt zich zorgen over de lichtzinnigheid bij mkb-bedrijven en trekt daarom 1,2 miljoen euro uit voor voorlichting.

MKB vaak slachtoffer van phishing en acquisitiefraude

Je zou denken dat ondernemers die eenmaal slachtoffer zijn geweest zich voortaan beter beveiligen. Maar uit het onderzoek blijkt meer dan de helft dan nog geen extra maatregelen neemt om te voorkomen dat zoiets in de toekomst nog een keer gebeurt.

Mkb’ers worden het meest bestookt met phishing en acquisitiefraude. Een derde van de kleine bedrijven krijgt weleens dat soort mails, waarbij in één op de vijf gevallen ook echt op een kwaadaardige link wordt geklikt. En een kwart van de kleine bedrijven kreeg spookfacturen voor diensten of spullen die helemaal niet geleverd waren.

Ministerie van Justitie steekt 1,2 miljoen in awareness campagne voor MKB

Het ministerie van Justitie trekt 1,2 miljoen euro uit om mkb’ers voor te lichten en te trainen. Dat bedrag is onderdeel van het totaalbedrag dat het ministerie reserveerde voor de bestrijding van cybercrime.

Über betaalt 148 miljoen dollar boete voor verzwegen datalek

Taxidienst Über moet in de VS een enorm hoge boete betalen voor het verzwijgen van een hack van ongeveer 60 miljoen klantengegevens in oktober 2016.

De advocaat-generaal van New York, Barbara D. Underwood, maakte bekend dat Über in een schikking met de Amerikaanse autoriteiten een boete van 148 miljoen US dollar heeft aanvaard.

Het zou de hoogste boete te zijn die ooit in een dergelijke zaak is opgelegd. Daarnaast moet Über voldoen aan eisen om de gegevensbeveiliging te verbeteren.

Über gaf in november 2017 toe een losgeld van 100.000 US dollar te hebben betaald aan cybercriminelen die de systemen van de internationale taxidienst hadden gehackt.

Ze hadden toegang weten te krijgen tot een archief met gegevens van miljoenen chauffeurs en passagiers.

Later namen ze contact op met het Amerikaanse taxibedrijf en eisten ze een losgeld van 100.000 dollar voor de data die ze hadden buitgemaakt.

Het bestand bevatte de namen, e-mailadressen en telefoonnummers van meer dan 50 miljoen Uber-gebruikers.
De rijbewijzen van meer dan zeven miljoen taxichauffeurs was in handen van de cybercriminelen.

“Deze recordschikking geeft een duidelijke boodschap: we tonen geen tolerantie voor degenen die de wet omzeilen en consumenten- en werknemersgegevens in gevaar brengen,” legt Underwood uit.

Tony West, de hoofdrechter, sprak zijn tevredenheid uit in een verklaring dat hij een akkoord had bereikt met de kantoren van de openbare aanklager.

Volgens de huidige wetgeving had Uber ten minste de autoriteiten, maar mogelijk ook individuele klanten of bestuurders over het incident moeten informeren.

In het verleden moest de onderneming een boete betalen voor het niet correct melden van een inbraak.

Cybercriminelen vragen heel brutaal de salarisadministratie om je salaris naar een andere rekening te boeken

De Fraudehelpdesk waarschuwt voor cybercriminelen die mailboxen van personeel hacken en vervolgens de salarisadministratie vragen het salaris voortaan op een andere bankrekening te storten.

“Werkt u op de salarisadministratie? Wees dan alert als u per mail een verzoek krijgt het salaris van een medewerker op een ander rekeningnummer te storten”, meldt de Fraudehelpdesk op zijn site.

Er zouden al meerdere medewerkers van diverse bedrijven slachtoffer geworden zijn van deze nieuwe phishingmethode van cybercriminelen.

De fraude kwam aan het licht toen verschillende werknemers geen salaris ontvingen en hierover bij de administratie navraag deden. Daar bleek dat zij zelf een mail zouden hebben gestuurd met het verzoek het salaris op een ander rekeningnummer te storten. In alle gevallen bleek het mailaccount van de werknemer gehackt.

Advies Fraudehelpdesk
In de afgelopen jaren hebben enkele tientallen datalekken plaatsgevonden bij grote bedrijven zoals LinkedIn, Yahoo en Dropbox.

Via de site Have I been Pwned kunt je kijken of je gegevens zijn gelekt.

Ook de politie heeft een dergelijke tool.

Als blijkt dat je inloggegevens niet op beide genoemde sites worden gemeld wil dat volgend de Fraudehelpdesk niet zeggen dat jouw gegevens en wachtwoord(en) niet in handen van criminelen zijn gevallen.

Als je het idee hebt dat je mailaccount is gehackt kun je het beste onmiddellijk de wachtwoorden van je mailaccount en alle andere accounts, zoals bank, webshops en dergelijke wijzigen.

Gebruik hiervoor het liefst een wachtwoordmanager. Die moet je dan wel weer beveiligen met een sterke wachtwoordzin.

Cybercriminelen herontdekken Microsoft Office. Mogelijke aanvalsscenario’s via Office-bestanden…

Cybercriminelen hebben Microsoft Office ‘herontdekt’ als tool om in bedrijfsnetwerken te infiltreren. Dit blijkt uit onderzoek van Unit42, de afdeling cybersecurity van het Amerikaanse bedrijf Palo Alto Networks. Eerste tip: pas op met bestanden met de extensie .docm.

Verderop in dit artikel zetten we de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Aanvalpogingen met behulp van speciaal voorbereide Microsoft Office bestanden zijn op zich niet nieuw. Op dit moment nemen de pogingen van criminelen om kwetsbaarheden in bedrijfsnetwerken via dergelijke bestanden uit te buiten volgens Unit42 echter weer toe.

Het is daarom voor organisaties van belang om medewerkers via awareness traimingen bewust te maken van de risico’s van het openen van Office documenten van onbekende afzenders.

Mensen openen Office-documenten die bijgevoegd zijn in mailberichten meestal instinctief. Voor ze zich het beseffen hebben ze vrijwel automatisch met hun muis op het Word of Excel bestand geklikt.

Dit geldt ook als deze bestanden afkomstig zijn van afzenders die niet bekend zijn bij de ontvanger. Dit wijst op een gebrek aan kennis over de mogelijke gevaren.

Maar zelfs een bekende en betrouwbare afzender beschermt niet tegen malware-infecties. Het systeem van de verzender kan het het geïnfecteerde Microsoft bestand ook ongemerkt versturen.

Mogelijke aanvalsscenario’s via Office-bestanden

 

Pogingen tot aanvallen via Office-bestanden zijn zeer veelzijdig geworden. Kennis van deze scenario’s draagt bij tot een effectieve preventieve bescherming van netwerken. Het is voor organisaties daarom van groot belang om medewerkers via awareness trainingen te informeren over de risico’s. PrivacyZone kan daarbij helpen.

We zetten de mogelijke aanvalsscenario’s via Office-bestanden op een rij.

Macro’s

Microsoft Office bevat een optie om zelf macroscripts te schrijven waarmee processen en handelingen kunnen worden geautomatiseerd. Dat kan met de scriptengine die is geïntegreerd in MS-Office (Visual Basic for Applications). Dit is nog steeds de gemakkelijkste manier voor aanvallers om het systeem van de gebruiker in gevaar te brengen.

De scripts kunnen direct na het openen worden uitgevoerd zonder dat het slachtoffer een actie hoeft uit te voeren. Mits macro’s zijn geactiveerd op het systeem van de gebruiker.
Microsoft Office kan zo ingesteld worden dat standaard voorkomen wordt dat de macro’s na het klikken op een bestand automatisch worden uitgevoerd. Er moet dan altijd eerst nog via een popupvenster bevest worden dat het script mag worden uitgevoerd.

De ervaring leert dat veel medewerkers achterdochtig worden bij zo’n popup. Maar de kans bestaat dat ze dan naief toch nog de macroactie goedkeuren. Met alle mogelijke gevolgen van dien.

Kantoorgebruikers dienen zich er daarom van bewust te zijn dat Office-bestanden met macro’s een andere bestandsextensie (.docm) hebben. En dat ze bij deze bestanden altijd achterdochtig moeten zijn.

Ingebedde Flash-bestanden

Externe objecten uit andere programma’s en bronnen kunnen in Office-documenten worden ingesloten. En daarmee automatisch de kwetsbaarheden van deze applicaties. Er zijn succesvolle pogingen gedaan om aan te vallen met behulp van Flash-bestanden die zijn opgenomen in Excel-documenten, waarbij gebruik is gemaakt van een kwetsbaarheid in Flash Player.

Microsoft Equation Editor

Der Formel-Editor (Equation Editor) von Microsoft ist ein Hilfsprogramm für das Zeichnen und Schreiben mathematischer Ausdrücke. Dessen Dateien werden ebenfalls direkt in die Office-Dateien eingebettet. Doch auch auf diesem Weg gab es bereits erfolgreiche Exploit-Versuche. Da der Editor aus Sicht des Betriebssystems und des Office-Programms als eigener Prozess angesehen wird, greifen die im Office-Paket eingebauten Schutzfunktionen nicht.

Microsoft’s Equation Editor is een hulpprogramma voor het tekenen en schrijven van wiskundige uitdrukkingen. Deze bestanden worden rechtstreeks in Office-bestanden opgenomen. Cybercriminelen buiten deze bestanden uit om malware in te verstoppen.

Hoe kun je je als organisatie wapenen tegen dit soort aanvallen via Microsoft Office? Een softwarepakket waarmee vrijwel iedereen werkt.

Vraag als eerste uw ICT-afdeling of een extern ICT-bedrijf om Microsoft Office veilig in te stellen en laat ook actuele antivirus software installeren.

En plan vervolgens een awareness training in voor medewerkers. Zo’n awareness training is overigens volgens de Algemene Verordening Gegevensbescherming (AVG) verplicht.

PrivacyZone biedt Awareness Trainingen aan. Wil je meer weten? Neem contact met ons op. Telefoon: 06-31995740 of mail: info@privacyzone.nl.

Cybercriminelen hebben vrij toegang tot 47 miljoen Nederlandse privébestanden

Bedrijfsgeheimen, privégegevens, loonstrookjes, belastingaangiften, contactgegevens, patiëntlijsten en gegevens van kassa’s van miljoenen Nederlanders staan onbeschermd online.

Dat blijkt uit onderzoek van het internationale onderzoeksbedrijf Digital Shadows.

De bestanden staan onder meer op Amazon-opslagruimte, ftp-servers en opslagapparaten die mensen thuis hebben staan.

Cybercriminelen kunnen de bestanden misbruiken voor bijvoorbeeld fraude of bedrijfsspionage.

Het is niet duidelijk of dat is gebeurd, en hoeveel bestanden al in verkeerde handen waren gevallen.

Digital Shadows raadt mensen aan om apparaten af te sluiten van het internet als dat kan, sterke wachtwoorden te gebruiken waar die nodig zijn, en instellingen van apparaten en diensten goed te controleren.

Volgens de onderzoekers gaat het om meer dan 47 miljoen Nederlandse bestanden met privé-informatie.

Wereldwijd gaat het om ruim 1,5 miljard bestanden. Die zijn bij elkaar ,,meer dan vierduizend keer zo groot als de Panama Papers”, aldus Digital Shadows.

Een op de drie bestanden komt uit de Europese Unie. En daarbinnen behoort Nederland tot de koplopers.

In Duitsland zou het gaan om bijna 123 miljoen bestanden, in Frankrijk om ruim 115 miljoen. Italië en Groot-Brittannië hebben elk ongeveer 65 miljoen bestanden onbeschermd staan.

Daarnaast zijn er bijna 240 miljoen bestanden uit de Verenigde Staten te vinden.

3 groepen hackers: cybercriminelen, protestbewegingen en overheden

Als je in de jaren 80 in het communistische Oost-Duitsland eigenaar was van een schrijfmachine moest je die laten registreren bij de overheid. Je moest een voorbeeldblad met tekst van je schrijfmachine laten registreren. Zodat de overheid altijd kon nagaan waar tekst vandaan kwam.

Als de Stasi (de Oost-Duitse geheime dienst)  een tekst vond met wat hen betreft verkeerde ideeën, konden ze aan de hand van de bijzondere kenmerken van de typemachine achterhalen van wie die tekst was.

Wij in het Westen konden niet begrijpen hoe iemand zoiets kon doen,onze vrijheid van meningsuiting zozeer beperken. Wij zouden dat nooit doen in onze eigen landen.