phishing en andere cyberfraude
News 14 april 2021

Cyberfraude: de laatste trends en aanvalstechnieken - en wat je eraan kunt doen

Source: Sophos

Shoppen, sociale contacten onderhouden en lekker eten bestellen: we doen het graag digitaal, zeker nu we vaker thuis zijn. Alles online bereikbaar hebben heeft veel voordelen, maar net zo goed een keerzijde: cyberfraude, ook daar. De grote fraudezaken spelen in het bedrijfsleven, maar de nietsvermoedende consument is eveneens een populair doelwit. Daarom kijken we deze keer eens naar de risico's waar we zoal individueel mee te maken kunnen krijgen. Dat doen we opnieuw met John Veldhuis, Senior Sales Engineer bij Sophos Benelux, beveiligingsbedrijf in soft- en hardware – en natuurlijk weer met enkele tips om je ertegen te wapenen.

“Phishing blijft aanvalsstrategie nummer één”, zegt Veldhuis. “Voor dat hengelen naar onze gegevens, en vooral onze spaarcenten, hebben fraudeurs een steeds uitgebreidere trukendoos.” Voorbeeld: een ‘medewerker’ van je bank belt met het ‘echte’ telefoonnummer en zegt dat je snel je geld naar een andere rekening over moet maken om het niet kwijt te raken. Vele honderden consumenten raakten al voor tienduizenden euro’s gedupeerd. Hoe kan dat, hoe weet je dat het foute boel is, en hoe kun je je daartegen wapenen?

Telefoon-spoofing

“Het is prima mogelijk om jouw telefoon zich te laten voordoen als een ander nummer”, zegt Veldhuis. “De technische trucjes zijn misschien iets te uitgebreid om hier te behandelen, maar voor kwaadwillenden is het kinderlijk eenvoudig.”

Het zijn dus geen vreemde telefoontjes met onbekende landcodes uit Azië en Afrika, maar Nederlandstalige bellers met een duidelijk verhaal. “Je ziet de berichten, ‘er is door de politie weer een Nederlander in de kraag gevat’. Bij dit soort fraude wordt steeds vaker met lokale mensen gewerkt. ‘Gewoon’ Nederlandse criminelen dus. Als die dan ook nog bellen ‘vanuit’ jouw bank, dan wordt het heel moeilijk om de fraude te spotten.”

Check, check, dubbelcheck

Het enige wat je in kunt brengen als tegenaanval, is kennis. “Weten wat er speelt, bewust zijn van het feit dat dit soort technieken ingezet worden. Twijfel altijd bij smsjes, telefoontjes, e-mails, en neem altijd – altijd! – contact op via een ander kanaal.”

‘Side-channel’, zo noemt Veldhuis dat: via een ander medium contact opnemen met de schijnbare afzender. “Vreemd sms’je of e-mailtje? Ga dan naar de website van je bank. Als het verzoek namelijk wèl legitiem is, dan mag je ervan uitgaan dat diezelfde informatie ook daar te vinden is. Krijg je een verdacht telefoontje? Bel dan gewoon terug op het officiële nummer van de bank. Ze kunnen het uitgaande nummer namelijk wel vervalsen, maar niet zelf op dat nummer gebeld worden. Je krijgt dus altijd contact met je bank.”

Pretexting

Aanvalstechnieken worden steeds verder aangescherpt. “De rare, grammaticaal dubieuze berichtjes die meestal per e-mail worden verstuurd zijn echt niet meer van deze tijd. Bovendien wordt er veel voorbereid.”

Een voorbeeld is wat de Fraudehelpdesk ‘pretexting’ noemt. Cybercriminelen weten dat je gevoelige informatie ook kan binnenhalen door er simpelweg naar te vragen, en zo’n oplichtingstruc is veel overtuigender als de fraudeur zoveel mogelijk informatie heeft. Via Google, Facebook en je Twitter en LinkedIn wordt een profiel gemaakt. Die kennis wordt vervolgens tegen je gebruikt. Voordat ze zich op WhatsApp begeven en zich als jouw zoon of dochter voordoen, weten ze al precies waar die woont en werkt en met welke valse voorwendselen ze het beste om je geld kunnen vragen. Identiteitsfraude, met name via WhatsApp, was in 2020 de nummer-1 melding bij de Fraudehelpdesk.

Updaten – Altijd Updaten

Geen kluis zo hightech of er is wel een boef om hem te kraken. Geldt dat digitaal ook? Lopen we altijd achter de feiten aan? “Nee, zo zwart-wit is het niet”, meent Veldhuis. “Er zijn altijd maatregelen die je kunt nemen om ook voor nieuwe tactieken veilig te zijn.”

Eén van die maatregelen is het updaten van software op telefoons, tablets en computers. “Er zijn miljoenen apps en toepassingen die we op al die apparaten gebruiken, en die moeten aan de lopende band geüpdatet worden. Doe je dat niet, dan loop je direct risico.”

Je wordt al aangeraden om updates altijd direct uit te voeren, hoe irritant die melding ook is. De nieuwste versie van de software is er niet alleen om gebruiksgemak te verbeteren, maar ook om beveiligingslekken te dichten. “Maar dat is niet het enige”, zegt Veldhuis. “Want wat doen die boeven? Die houden die updates en lekken ook in de gaten. Op het moment dat er een nieuwe kwetsbaarheid ontdekt wordt, gaan zij razendsnel aan de slag om die zwakte uit te buiten vóórdat de update het deurtje weer sluit.” Met andere woorden, juist de plotse beschikbaarheid van een update maakt je software gevoelig voor misbruik. “Stel updates daarom nooit uit!”

Apparaatversleuteling

Daarnaast moeten we bewuster met onze apparaten omgaan, meent Veldhuis. “Het belang van sterke wachtwoorden kennen we inmiddels, maar smartphones en tablets zijn negen van de tien keer slechts beveiligd met een 4-cijferige code – terwijl er genoeg mogelijkheden zijn. Op nummer 1? “Apparaatversleuteling.”

“We beveiligen onze toestellen met pincodes, met soms een apart beveiligingslaagje voor je SIM-kaartje. Dat betekent dat je bij het opnieuw aanzetten twee codes in moet voeren. Daar kun je een derde aan toevoegen. Want als een kwaadwillende je telefoon in bezit heeft en deze aan kan zetten, al is het maar tot dat eerste pin-scherm, dan kan het toestel met een kabeltje leeggetrokken worden. Apparaatversleuteling voorkomt dat. Alle gegevens worden omgezet in data die alleen leesbaar is als je eerst de juiste code invoert.”

Je vindt apparaatversleuteling voor Android (vanaf versie 4.4) onder Instellingen > Persoonlijk > Beveiliging. In iOS 8 en nieuwere versies van Apple zit de functie in het Touch ID & Passcode-menu onder Instellingen. Let wel: het kan een uurtje duren, dus zorg dat je toestel voldoende batterij heeft, of aan de lader ligt.

Anti-melders

Tot slot wijst Veldhuis naar virusscanners en zogeheten anti-melders (“niet alleen anti-virus, maar ook anti- allerlei andere troep”). “Dat wordt vaak aangeraden voor computers en laptops, maar malware (gevaarlijke software) kan net zo goed op je telefoon belanden.”

Op je telefoon kun je immers net zo goed op een verkeerd linkje klikken, of een gevaarlijke bijlage uit een e-mailtje halen. In de meeste gevallen gaat het om advertenties in bijvoorbeeld spelletjes. “Android is gevoeliger voor adware dan Apple. De Google Play Store, de enige plek waar je je apps moet downloaden, scant ze weliswaar op malware, maar een foute app kan updates op een later moment ergens anders vandaan halen. “

Een gevaarlijke app wordt dus goedgekeurd als ‘schoon’ door de Play Store, maar een weekje later is er een update en haal je alsnog troep binnen. Veldhuis raadt daarom ook voor mobiele gebruikers anti-melders aan. Een voorbeeld is Intercept X for Mobile van Sophos zelf, maar ook BitDefender, Avira, ESET en Kaspersky hebben gratis apps.

       Lees ook: MKB het volgende doelwit van Ransomware-as-a-Service