Toen Outlook.com werd gehackt hebben hackers geen inhoud van e-mails buitgemaakt, maar juist veel e-mailadressen. Microsoft waarschuwt gebruikers dan ook voor een toename in phishingberichten. Veel organisaties worden vroeg of laat slachtoffer van een phishingaanval. Hoe bestendig zijn uw medewerkers tegen een dergelijke aanval? En heeft uw organisatie nagedacht over beleid omtrent hacks en phishing?
Op goed vertrouwen?
Recent kwam een bericht naar buiten over een Nederlandse man die gehackt is. Voor ruim €1.700,- is er ontfutseld via WhatsApp phishing. Hij ontving een WhatsApp-bericht van iemand die zich voordeed als zijn dochter met een nieuw telefoonnummer. Ze had een storing bij de bank. Of papa via een Tikkie wat geld kon overmaken? Door slim gebruik van openbare profielen op sociale media verkrijgen hackers persoonlijke informatie waarmee ze heel persoonlijke phishing-aanvallen opzetten. Hoe reageert u wanneer een familielid u een bericht stuurt vanaf een nieuw telefoonnummer? Durft u dan te twijfelen aan de echtheid?
Te weinig mensen zijn zich bewust van hun zwaktes ten opzichte van phishing-aanvallen. Doordat steeds meer informatie online beschikbaar is kunnen hackers op maat gemaakte aanvallen opzetten. Wanneer je een bericht ontvangt van een familielid met een nieuw nummer wil je niet direct deze persoon in twijfel trekken. Op de werkvloer zien we dat werknemers zonder nadenken inloggen op een onbetrouwbare website met hun intranet-inloggegevens, waarmee ze effectief hackers toegang geven tot het intranet. Welke risico’s loopt u wanneer vreemden toegang hebben tot uw intranet?
Erken je kwetsbaarheid
In deze tijd van digitalisering is het belangrijk dat werknemers bewust zijn van de risico’s van digitaal werken en hun eigen – menselijke – kwetsbaarheden hierin. Wanneer een van uw medewerkers valt voor een goed geplande phishing-actie zou dit hackers toegang tot veel kwetsbare gegevens kunnen opleveren. De implicaties van gehackt worden kunnen flink oplopen. Door aandacht te besteden aan de interne autorisatiematrix kunt u een deel van de effecten voortvloeiend uit een dergelijke actie ondervangen, maar er zijn meer voorbeelden van situaties waarbij vreemden eenvoudig bij gevoelige gegevens zijn gekomen. Heeft u bijvoorbeeld een beleid voor telefonische verzoeken? En hoe verifieert u of u gegevens met de juiste persoon deelt? Hoe zit het met de fysieke beveiliging van uw organisatie? Kunnen vreemden zo naar binnen lopen, of heeft men voor elke deur een pasje nodig?
De Audittrail oplossing
Dit soort vragen komen vroeg of laat bij elke organisatie op. Om informatiebeveiliging op orde te krijgen, maar ook in het kader van privacy- en risicomanagement, is het belangrijk antwoorden te krijgen. Bij Audittrail hebben we hier veel ervaring mee, en hebben we een speciale methode ontwikkeld: de Mystery box. Zoals de naam al doet vermoeden, is de Mystery box een breed pakket aan onbekende tests die wij op uw organisatie loslaten. Afhankelijk van hoe uw medewerkers op deze tests reageren starten we gezamenlijk een interne bewustwordingscampagne. Deze zal onder andere bestaan uit een informatieve presentatie met resultaten van de Mystery box tests maar kan worden aangevuld met interactieve sessies. Aan het eind van het traject zijn uw medewerkers weerbaar tegen de meest voorkomende phishing-initiatieven en heeft u een goed vertrekpunt om medewerkers bewuster te maken en te houden.
Benieuwd naar het geheim van de Mystery box? Of wilt u meer weten over de andere mogelijkheden op het gebied van awareness en social engineering? Bel ons eens op 071 – 747 17 17 of mail naar koffie@audittrail.nl. Wij komen graag bij u langs voor een kopje koffie met advies.
