Ik kan 5.000 Euro per dag verdienen, meldt een onbekende via Whatsapp. Te mooi om waar te zijn…

Pieppiep. Er komt via Whatsapp een bericht binnen. Ik kan 5.000 Euro per dag verdienen met thuiswerk, meldt een onbekende afzender. Als ik meer wil weten moet ik op een link klikken. Het aanbod is verleidelijk.

Dat weet de onbekende afzender ook. Waarschijnlijk een cybercrimineel die via social engineering probeert om mij te bewegen op de link te klikken.

Het is al het tweede bericht binnen twee weken.

Ik ben uiteraard nieuwsgierig. Niet vanwege het aanbod, maar beroepsmatig. Hoe ziet de website waarmee de cybercrimineel mij in de val wil lokken er uit?

Ik klik niet. Uiteraard niet. Ik ken de risico’s.

Misschien activeer ik via de link een script dat een virus instaleert.

De dader zou ook kunnen proberen om via phishing mij inloggegevens te ontfutselen.

Ik krijg het bericht binnen op mijn iPhone. Die is goed beveiligd. Waarschijnlijk loop ik geen risico als ik toch even op de link klik. Zal ik het doen? Even kijken?

Nee. Want ook met een iPhone loop ik risico. Bovendien bevestig ik zodra ik op de link klik dat ik open sta voor gevaarlijke verleidingen. Dan kan ik nog meer spam verwachten.

Meer actueel awareness nieuws

DigiD phishing mail maakt honderden slachtoffers. Cybercriminelen doen zich voor als overheid

Cybercriminelen hebben afgelopen weekeinde via een phishingmail de inloggegevens van honderden mensen te hebben ontfutseld. Volgens Logius dachten de slachtoffers dat het om een mailbericht van de overheid ging. Logius is de instantie die verantwoordelijk is voor de DigiD-inlogmethode.

Logius-woordvoerder Rick Bron vertelt aan Nu.nl dat er in totaal 361 mensen in de phishingmail zijn getrapt.

“In het afgelopen weekend is er weer een golf aan phishingmails verstuurd”, aldus Bron. Het betrof e-mails die afkomstig leken van MijnOverheid.

In de mails stond dat een bericht van MijnOverheid klaar stond om gelezen te worden. Slachtoffers moesten op een link drukken om via DigiD in te loggen en het bericht te lezen.

In werkelijkheid werden de DigiD-inloggegevens verstuurd naar een kwaadwillende die de mails had verstuurd. Die kreeg hierdoor toegang tot andermans DigiD-accounts, waarmee ze veel privégegevens konden inzien.

In echte e-mails van MijnOverheid staat nooit een link, gebruikers wordt altijd gevraagd in hun browser naar MijnOverheid te gaan. De aanwezigheid van een link een in e-mail is daarom een aanwijzing dat gebruikers mogelijk met phishing te maken hebben.

Alle getroffen accounts zijn van DigiD verwijderd

Bron wil niet zeggen hoe Logius precies wist te achterhalen dat 361 mensen door de phishingactie zijn getroffen. “Maar als we weten waar de site van zo’n aanvaller staat, dan kunnen we al een hoop zien.” Het is ook niet bekend naar hoeveel mensen de phishingmail in totaal is verzonden.

De getroffen accounts zijn inmiddels allemaal van DigiD verwijderd. De slachtoffers krijgen een brief in huis, waarin staat dat ze in een phishingmail zijn getrapt. Gebruikers waarvan een telefoonnummer bekend is, worden opgebeld.

Het is vooralsnog niet bekend wat voor gegevens de criminelen precies van de slachtoffers hebben gestolen. Er zijn volgens Bron nog geen signalen dat de accounts ook op bepaalde manieren zijn misbruikt voordat ze van de servers van DigiD werden verwijderd.

Tweede grote DigiD-phishingaanval dit jaar

Het is de tweede keer dit jaar dat een grote groep DigiD-gebruikers slachtoffer is van een phishingaanval. In juni waarschuwde de overheid voor een vergelijkbare mail, waar toen 203 mensen in waren getrapt.

Hoewel de e-mails erg op elkaar lijken, is het nog niet zeker of de aanvallen van deze week en in juni door dezelfde criminelen werden uitgevoerd. Logius heeft beide keren aangifte gedaan bij de politie, waarbij het onderzoek nog zou lopen.

Meer actueel awareness nieuws

Deze AVG awareness video moet je echt zien! Een cybercrimineel neemt niet alleen je online leven over, maar ook jouw echte leven

Het lijkt het scenario van een film. Een cybercrimineel kopieert op basis van online gegevens jouw gedrag en steelt jouw inloggegevens. Vervolgens plundert hij niet alleen jouw bankrekening. Hij wordt een levensechte nachtmerrie. Een menselijke clone van jou.

Je kunt het je waarschijnlijk niet voorstellen dat jou zoiets in het echt zou overkomen. Dat dit echt mogelijk is. Toch is het zo. Iemand anders kan op een dag dankzij online gegevens zo jouw leven stelen. Zoals bij Tom! Deze AVG awareness video is een aanrader.

Meer actueel awareness nieuws

Ruim 50 procent van de cybercriminelen die voor de rechtbank komen heeft geen ICT-opleiding

Hacken is kinderspel. Een fluitje van een cent. Iedereen kan het. Zelfs mensen zonder ICT-opleiding. Zelfs huismoeders die om financiele redenen besluiten cybercrimineel te worden. Toch onderschatten veel mensen de risico’s.

Dat blijkt uit onderzoek van de Oostenrijkse Donau-universiteit Krems. De onderzoekers analyseerden alle rechtbankdossiers van het Strafhof Wenen van strafzaken die te maken hadden cybercriminaliteit in de periode van 2006 tot 2016.

“Meer dan 60 procent van de strafbare feiten die onder “cybercriminaliteit” betreffen identiteitsdiefstal”, vertelde Edith Huber van de Donau-universiteit tijdens een discussie tijdens de Berlijnse wetenschapsweek. Het betreft volgens haar vaak kleine criminelen die grote schade kunnen aanrichten.

 

De onderzoekers hebben drie daderprofielen geïdentificeerd:

  • Meer dan 50 procent en daarmee de grootste groep aanvallers heeft geen ICT-opleiding. 
  • De tweede groep is beter opgeleid en gesitueerd en handelt vaak uit persoonlijke motivatie om het bedrijf terug te betalen.
  • De derde, iets kleinere groep betreft vrouwen die voornamelijk om financiële redenen cybercrimineel worden.

En dan zijn er daarnaast nog de ‘professionele’ cybercriminelen die met financiele ondersteuning van landen als China, Iran, Noord-Korea en Rusland proberen in te breken in bedrijfsnetwerken.

91 hackergroepen die in opdracht van overheden werken

Volgens een analyse van Cambridge Analytics zijn 91 hackergroepen bekend die in opdracht van overheden – uiteraard nooit officieel – systemen hacken. Hun belangrijkste doelwitten zijn spionage of het manipuleren van informatie. Op internationaal niveau wordt de hackergroep “APT 28” (“Cozy Bear”) beschouwd als de meest actieve op dit gebied.

Thomas Stubbings van het Cyber Security Platform Oostenrijk denkt dat het een illusie is om te denken dat organisaties zich met alleen technische maatregelen kunnen beschermen tegen cybercriminaliteit.

Absolute ICT-beveiliging bestaat niet

“Absolute ICT-beveiliging bestaat niet”, zegt Stubbings. “Het creëren van veilige ICT-systemen om kritieke infrastructuur te beschermen is misschien een nobel doel, maar het is een ontoereikende aanpak.”

Er is volgens Stubbings behoefte aan een paradigmaverschuiving van pure preventie naar een snelle reactie op cyberaanvallen.

Preventieve inzet van professionele ethical hackers

Volgens de deskundigen is een nieuwe strategie nodig. “We moeten het spel van onze aanvallers spelen”, legt Stubbings uit. Aan de ene kant betekent dit investeren in systemen die aanvallen en risico’s onmiddellijk kunnen identificeren en niet alleen wanneer het te laat is. Stubbings ziet de inzet van ethical hackers die proberen de eigen ICT-systemen te kraken als een belangrijke preventieve maatregel.

Moet alles echt aan het netwerk gekoppeld worden?

Een van de belangrijkste problemen om de IT-beveiliging te waarborgen is de enorme complexiteit van de systemen. Dit is precies waar Lutz Prechelt van de Freie Universität Berlin zou beginnen. “Men kan er in ieder geval van uitgaan dat er geen 100 procent IT-beveiliging is. Dit roept de vraag op naar de organisatie van de systemen: Moet alles wat genetwerkt is echt genetwerkt worden?”

Privacy Awareness trainingen van groot belang

Alle wetenschappers zijn het over één ding eens. Wie zich wapenen wil tegen cybercriminaliteit moet beginnen met het plannen van regelmatige privacy awareness trainingen voor medewerkers. Het is het beste om te beginnen met het vergroten van het bewustzijn van IT-risico’s.

Digitale ‘Fukushima’ ramp

De onderzoekers zijn bang dat er eerst een digitale ‘Fukushima’ ramp moet komen voor dat dat doordringt bij organisaties en bedrijven. De enorme risico’s die we als moderne ICT-afhankelijke samenleving lopen worden onderschat. Ook omdat veel mensen het technische jargon van ICT-ers en hackers niet begrijpen. ICT-ers spreken een eigen taal en dat ook nog eens in het Engels.

“Ga een keer de straat op en vraag het iemand: Heb je ooit een phishing-aanval gehad?”

De Berlijnse wetenschapsweek is een internationaal evenement waarbij wetenschappers hun onderwerpen aan het publiek presenteren in ongeveer 100 evenementen van 1 tot 10 november. Veel van deze discussies kunnen via een livestream gevolgd worden.

INFO: http://berlinscienceweek.com

Meer actueel awareness nieuws

Chinese cyberspionnen vormen een risico voor kleine en grote ondernemingen

Het ministerie van Binnenlandse Zaken van de Duitse deelstaat Baden-Württemberg is sinds 2012 op de hoogte van 8 gevallen van industriële spionage uit China. Dat blijkt uit het antwoord op vragen van de Duitse liberale partij FDP.

De Duitse Autoriteit Persoonsgegevens –
het Federaal Bureau voor Informatiebeveiliging (BSI) neemt het rapport zeer serieus.

Hoewel de cijfers laag lijken, heeft de ervaring geleerd dat er waarschijnlijk veel vaker sprake is van industriële spionage vanuit China dan gemeld wordt.

“Beveiligingsincidenten in de IT-omgeving worden vaak niet gemeld door bedrijven, bijvoorbeeld uit angst voor reputatieschade,” aldus de overheid in Baden-Württemberg.

De Chinese bedrijfsspionnen richten zich niet alleen op middelgrote ondernemingen.

Eén van de spionagezaken die ontdekt is betreft een “cyberaanval op een voertuigfabrikant uit Stuttgart”.

In Stuttgart bevindt zich het hoofdkantoor van Mercedes-Benz.

Zes cyberspionagezaken in de Duitse deelstaat zijn nog in onderzoek. De advocaat-generaal heeft in vier van deze zaken een procedure ingeleid.

Spyware per e-mail

De Chinese cyberspionnen maken gebruik van social engineering om binnen te komen. De “menselijke factor” is nog steeds het grootste zwakke punt. Dit geldt zowel voor geïnfiltreerde medewerkers als voor bezoekers die bijvoorbeeld een demonstratie van de productiefaciliteiten krijgen.

De e-mails of berichten in sociale netwerken zijn zo ontworpen dat er interesse wordt gewekt en spyware via direct contact kan worden binnengesmokkeld.

In sociale netwerken zouden ook profielen worden gecreëerd om contact te leggen met westerse tegenhangers.

De FDP riep de federale regering van Baden-Württemberg op om de mogelijke effecten van industriele spionage door Chineze te verduidelijken.

Meer actueel awareness nieuws

Datalek bij VieCuri Medisch Centrum in Limburg veroorzaakt door verpleegkundige die patiëntenlijst verloor

Het Limburgse VieCuri Medisch Centrum onderzoekt samen met de Functionaris Gegevensbescherming hoe de interne procedure rond datalekmeldingen verbeterd kan worden.

Het Venlose ziekenhuis kwam donderdag in opspraak toen de Limburgse regionale omroep L1 meldde dat zondag papieren met persoonsgegevens van patienten op straat waren gevonden door een passant.

Deze passant gaf te kennen dat er door de omroep druk op hem was uitgeoefend om geen ruchtbaarheid aan zijn vondst te geven.

Persbericht VieCuri Medisch Centrum

Het ziekenhuis ontkent dat. In een persbericht wordt de zaak nu vanuit het oogpunt van VieCuri Medisch Centrum toegelicht.

„Dit kan en mag niet gebeuren. Patiëntgegevens mogen het ziekenhuis niet op een onbeveiligde manier verlaten. Wij balen hier enorm van en hebben uiteraard een grondig onderzoek ingesteld“, schrijft het ziekenhuis.

Melding bij Autoriteit Persoonsgegevens (AP) en Inspectie Gezondheidszorg en Jeugd

“Uiteraard wordt hier melding van gemaakt bij de daartoe bevoegde instanties, te weten Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd. Daarnaast bekijken we samen met onze Functionaris Gegevensbescherming of de huidige procedure rond dit soort meldingen verbeterd kan worden. Voor al onze collega’s moet het heel helder zijn hoe te handelen als zoiets zich voordoet.“

Intussen is bekend hoe de papieren verloren zijn geraakt. „Om snel te kunnen handelen tijdens haar dienst, had een zorgverlener van de kinderafdeling een patiëntenlijst bij zich (géén patiëntendossiers). Deze lijst zat in haar broekzak en heeft ze tijdens haar pauze onbewust en onbedoeld mee naar buiten genomen. Toen ze vervolgens werd gebeld om met spoed terug te komen naar het ziekenhuis, is de lijst uit haar broekzak gevallen.“

Slordige communicatie

Volgens VieCuri Medisch Centrum is zondag met de melder afgesproken dat hij de gevonden papieren diezelfde dag zou komen brengen. „Helaas is dat niet gebeurd en doordat het ziekenhuis geen gegevens had van de melder, kon hij niet worden teruggebeld. Toen de melder gisteren (woensdag, red.) zelf nog eens contact zocht, is daar meteen op gehandeld door de functionaris gegevensbescherming van VieCuri.“

Het ziekenhuis geeft dus aan door slordigheid in de communicatie geen contactgegevens van de vinder van de papieren te hebben genoteerd. Dat zou de reden zijn waarom niet direct opnieuw contact met de man kon worden opgenomen. Er zou dus geen sprake van zijn dat de zaak stilgehouden moest worden, zoals de melder bij L1 verklaarde.

Alle patiënten en ouders/verzorgers worden geinformeerd

“We herkennen ons niet in het beeld van de melder en diens signaal dat hij niet serieus zou zijn genomen. We zijn de melder juist dankbaar dat hij zich meldde bij ons, dat hij integer is omgegaan met de gegevens en deze niet verder naar buiten zijn gebracht. Door het bij ons te melden, kunnen we bovendien alles in het werk stellen om te voorkomen dat dit nog eens gebeurt“, schrijft het ziekenhuis. „Dit is een zeer serieuze kwestie die we ons zeer aantrekken. Alle patiënten en ouders/verzorgers die op de lijst stonden, worden persoonlijk geïnformeerd over deze kwestie.“

Tweede datalekmelding bij VieCuri Medisch Centrum dit jaar

Het is overigens de tweede keer dit jaar dat VieCuri Medisch Centrum een datalekmelding moest doen. Eerder werd het computersysteem van het ziekenhuis gehackt via phishingmail. Volgens VieCurie zijn de patiëntgegevens bij deze hack niet in gevaar gekomen.

De phishing-mail kwam bij medewerkers binnen. Een aantal medewerkers heeft op een kwaadaardige link in de mail geklikt en zo het virus toegang gegeven tot het computernetwerk van het ziekenhuis.

Nieuw wachtwoord voor personeel

Alle medewerkers van het ziekenhuis hebben na deze hack een nieuw wachtwoord gekregen. Er zou dus geen gevaar zijn geweest voor het ziekenhuis en de patiënten. Wel is er melding gedaan bij de Autoriteit Persoonsgegevens.

Meer actueel awareness nieuws

AVG Awareness test: op welk phishing e-mail onderwerp zou jij geklikt hebben? Phishing top 10

KnowBe4 heeft de top 10 van phishing e-mail onderwerpregels bekend gemaakt waar in het derde kwartaal van 2018 het meest op is geklikt. KnowBe4 is een Amerikaans bedrijf dat wereldwijd privacy awareness trainingen verzorgt en trainingstools aanbiedt.

Een van de tools die KnowBe4 aanbiedt is een phishingtest waarbij bedrijven een fake phishingmail naar hun medewerkers kunnen laten sturen. Zo kunnen ze in de praktijk testen of medewerkers iets hebben opgestoken van een AVG privacy awareness training.

 

Social engineering

Cybercriminelen maken gebruik van social engineering. Ze passen psychologische manipulatieve trucs toe om hun slachtoffers in een phishingval te laten trappen.

Volgens Kwow2Be spelen cybercriminelen de laatste tijd bij phishingmail overduidelijk in op de angst bij gebruikers om gehackt te worden. Mensen zijn sneller geneigd te reageren op een oproep om een wachtwoord te wijzigen.

Nieuwsgierigheid is een risico

Daarnaast wordt ook ingespeeld op nieuwsgierigheid naar een nieuwe voicemail of online bestelling.
“Cybercriminelen profiteren van de wens van een individu om bewust of goed geïnformeerd te blijven op het gebied van veiligheid door met zijn psyche te spelen”, zegt Perry Carpenter, Chief Evangelist en strategisch medewerker bij KnowBe4.

“Ze doen dit door iemand te laten geloven dat hij of zij risico’s loopt of dat iets onmiddellijk aandacht nodig heeft. Dit type aanval is effectief omdat het ervoor zorgt dat een persoon snel reageert voordat hij of zij logischerwijs nadenkt over de legitimiteit van de e-mail. Het wordt steeds moeilijker om het voortdurende probleem van social engineering te overwinnen, omdat aanvallers menselijke emoties zoals angst en nieuwsgierigheid opwekken.”

Gesimuleerde phishingtests

In het derde kwartaal van 2018 onderzocht KnowBe4 tienduizenden e-mailonderwerpen uit gesimuleerde phishingtests om uit te vinden wat een gebruiker erop doet klikken.

Het bedrijf heeft ook onderzoek gedaan naar de werkelijke onderwerpregels die aantonen dat de e-mails die gebruikers ontvangen en aan hun IT-afdelingen melden verdacht zijn.

Top 10 meest geklikte phishing e-mail onderwerp regels wereldwijd voor Q3 2018:

  • Controleer uw wachtwoord – 34%.
  • Je hebt een spraakbericht – 13%
  • Uw bestelling is onderweg – 11%.
  • Wijzig uw wachtwoord onmiddellijk – 9%.
  • Deactivering van uw e-mailbox – 8%.
  • UPS-levering 1ZBE312TNY00015011 – 6% – UPS-levering
  • Herziene reis- en ziekterichtlijnen – 6%.
  • U heeft een document ontvangen om te ondertekenen – 5%.
  • Spam hint: 1 nieuw bericht – 4%
  • {Actie vereist} – Mogelijke schending van de Gebruiksvoorwaarden 4%.

Onderstaande E-mailonderwerpen zijn een combinatie van gesimuleerde phishingberichten die door KnowBe4 voor klanten zijn gemaakt.

  • U heeft een nieuw versleuteld bericht 
  • IT: Synchronisatiefout – geretourneerde berichten
  • HR: Contactgegevens
  • FedEx: We hebben u gemist.
  • Microsoft: Meerdere aanmeldingspogingen
  • IT: Belangrijk – Nieuwe server back-up
  • Wells Fargo: Onregelmatige activiteiten op uw creditcard rekening
  • LinkedIN: Uw account is in gevaar!
  • Microsoft/Office 365: {herinnering}: Uw gecodeerd bericht
  • Coinbase: uw Crypto Valuta portemonnee: het veranderen van Two-Factor Authenticatie

Tijd voor professioneel privacybeleid?

PrivacyZone is gespecialiseerd in privacymanagement en privacymarketing. Wij ondersteunen bij DPIA’s, algemene voorwaarden, verwerkersovereenkomsten, privacy- en cookiebeleid, actieplannen en praktijkgerichte awareness trainingen. Meer weten? Neem contact met ons op via info@privacyzone.nl of bel 06-31995740.

Meer actueel awareness nieuws