Cybercriminelen maken overuren tijdens feestdagen

Voordat mensen inloggen via een pc, Mac of mobiel toestel moeten consumenten volgens McAfee stilstaan bij de Kerstzwendels, de gevaarlijkste online zwendels rond de feestdagen. McAfee laat zien waar men de komende weken attent op moet zijn (bron).

De titel van het originele bericht doet vermoeden dat het artikel ook echt in gaat op de specifieke aspecten van cybercriminaliteit tijdens de feestdagen. Lees je door dan zie je uiteindelijk dat deze criminaliteit op iedere willekeurige andere dag gepleegd kan worden. Jammer, ik verwachtte zelf toch wat meer, bijvoorbeeld voorbeelden van aanvalsmethodieken die kerst gebruiken om mensen binnen te lokken. Nee, de conclusie wordt getrokken omdat men tijdens de feestdagen meer actief is op internet en meer aankopen doet. Blijkbaar kan er nog veel geld verdient worden aan de verkoop van software voor mobiele apparatuur als tablets en smartphones. Maar goed, we kunnen natuurlijk wel algemene lessen trekken:

“Consumenten maken reisplannen, zoeken online naar cadeaus en de beste koopjes, updaten hun Facebook en leggen contact met vrienden. Het overgrote merendeel heeft echter geen beveiliging ingesteld voor hun smartphones of tablets, ondanks het feit dat juist deze tijdens de feestdagen extra vaak worden gebruikt.

Mobiele gebruikers moeten weten dat op mobiele apparatuur gerichte malware aan een opmars bezig is, en Android smartphones lopen het meeste risico. Nieuwe malware werd onlangs aangetroffen die zich richt op QR-codes, een digitale streepjescode die consumenten kunnen scannen via hun smartphone om de beste deals te vinden, of gewoon om informatie te krijgen over producten die ze willen kopen.

Ook apps verdienen de aandacht. Er zijn mobiele apps die puur ontwikkeld zijn om informatie te stelen van smartphones, of om dure sms-berichten te versturen zonder toestemming van een gebruiker. Gevaarlijke apps worden meestal gratis aangeboden onder het mom van leuke applicaties, zoals games.

Ook moeten mensen bedacht zijn op Smishing, oftewel sms-phising. Oplichters sturen hun valse berichten via een sms-melding naar een telefoon, om een nietsvermoedende consument zogenaamd te waarschuwen dat er iets aan de hand is met zijn of haar bankrekening. De cybercriminelen instrueren de consument vervolgens om een telefoonnummer te bellen om zijn of haar rekening opnieuw te activeren en verzamelen zo persoonlijke gegevens van de gebruiker, zoals burgerservicenummer, adres en rekeninginformatie.

Ach, we hebben toch weer een korte opsomming gekregen van zaken waar we rekening mee moeten houden, niet alleen tijdens de feestdagen, maar gewoon 365 dagen per jaar. Wil je deze problemen oplossen dan heeft McAfee vast een geschikte oplossing voor je. Ze willen in ieder geval erg graag bij jou onder de kerstboom liggen.

Kijk vooral naar het menselijk element

Computercriminaliteit is een samengaan in tijd en ruimte van een gedreven dader, geschikte slachtoffers en een afwezigheid van geschikte beschermers. Dat is de conclusie van een onderzoek van wetenschappers aan de A. James Clark School of Engineering and Institute for Systems Research en het College of Behavioral and Social Sciences (bron).

Een mooie conclusie die op zich natuurlijk niet heel vernieuwend is maar die wel de essentie goed weergeeft. Je hebt dus nodig een dader, een slachtoffer en het moet ontbreken aan geschikte beschermmiddelen. Daarbij kijken we natuurlijk in de praktijk nog erg vaak naar die beschermmiddelen en dat noemen we dan al snel beveiliging. Jammer genoeg zit het probleem hem niet zozeer in die beschermmiddelen maar juist in het bijbehorende woord: geschikte.

Te vaak staren we ons blind op allerlei technische beveiligingsmaatregelen om er, na een incident, achter te komen dat we toch niet helemaal de meest efficiënte combinatie hadden gekozen. Helaas dringt dit nog te weinig door en blijven we in ons vaste stramien zitten. Wat we moeten doen (en waar hem ook de echte uitdaging voor security professionals zit) is de zoektocht naar de combinatie van geschikte middelen.

Daarbij moeten we dan ook direct onderscheid maken in het soort dader. Voor een scriptkiddie zal een basis beveiligingsniveau misschien voldoende zijn. Die komt niet door jouw buitenste schil en zal op zoek gaan naar een ander potentieel slachtoffer. Voor de meer ervaren cybercrimineel voldoet het basis niveau wellicht al niet meer om over professionele aanvallen van andere landen nog maar te zwijgen.

Hiermee komt dan ook automatisch weer het geaccepteerde risico om de hoek kijken. Voor de fysieke beveiligingswereld doen we dat ook en als we dat nu eens als voorbeeld nemen dan wordt het een en ander duidelijker. Willen we ons gebouw beveiligen tegen een amateur, een gelegenheidsdader, een professional of zelfs tegen terroristen? En zo ja, met welke aanvalsmiddelen willen we dan dat ze onze muren niet doorbreken? Beschermen we ons zelf tegen een steen die door de ruit wordt gegooid? Of gaan we verder en zorgen we ervoor dat we beveiligd zijn tegen handgereedschap en zelf thermische lansen?

Kijken we op deze manier naar informatiebeveiliging dan kunnen we natuurlijk ook daderprofielen opstellen. Waarna we kunnen besluiten wat ons beveiligingsniveau moet zijn. Zo kijken we ineens tegen een heel ander geaccepteerd risico aan. We hebben de grootste risico’s afgedekt en accepteren de restrisico’s.

Maar goed, we dwalen wat af van het menselijk aspect, zoals dat in het onderzoek bedoeld is. Laten we nog even kijken wat er verder voor opmerkelijks geschreven staat: Uit het onderzoek blijkt volgens de onderzoekers onder meer dat cyberaanvallen vooral tijdens de werkuren worden geregistreerd en nauwelijks tijdens de nacht of in de weekends. “Tijdens de werkuren zijn de potentiële slachtoffers met hun computers actief op netwerken,” merken Cukier en Maimon op. “Daardoor worden de netwerken blootgesteld aan aanvallen. Alleen al door het online browsen, worden internet-adressen en poorten zichtbaar voor mogelijke aanvallers. Het gedrag van de individuele gebruiker beïnvloedt dan ook de veiligheid van de hele organisatie.

Als dat inderdaad zo is, dan betekent het dat je netwerk dus veiliger is gedurende de avond en weekenduren. En dat alleen maar omdat er dan minder mensen actief zijn. Blijkbaar richten de aanvallen zich dus inderdaad op de menskant van het geheel. Ehm, interessante gedachte die wat mij betreft verder onderzocht mag worden.