Cloud-apps, mobiele apparaten en e-mails: een paradijs voor hackers  

Barry Cutts

16/08/2017

In juni van dit jaar werd het e-mailsysteem van het Britse parlement gehackt. Je zou denken, of hopen, dat het bastion van de democratie op het gebied van cyberbeveiliging een onneembare veste was. Maar als parlementariërs en senatoren niet veilig zijn voor hackers, hoe staan wij er dan voor?

De bron van alle hacks?

Hackers kunnen het hele internet afstruinen en net zo lang in een netwerk prikken tot ze een ingang vinden in iemands privéwereld. Ze hebben er financieel waarschijnlijk meer aan als ze een bedrijf treffen, maar ook privépersonen zijn het doelwit. Individuen kunnen laaghangend fruit zijn, aangezien zij waarschijnlijk minder goed beveiligd zijn dan grote bedrijven.

De meeste ondernemingen zijn op de hoogte van de minimale beveiligingsmaatregelen die ze moeten treffen. Thuisgebruikers zijn vaak minder veiligheidsbewust. Aangezien de onderneming ook uit gewone mensen bestaat, ontstaat er een overlap wanneer degenen die niets weten over beveiligingsrisico’s hun eigen internetgewoonten- en gebruiken mee naar het werk nemen of naar de bedrijfsapparaten waarmee zij werken.

Een parlementaire woordvoerder zei over de cyberaanval op Westminster dat de 90 gehackte e-mailaccounts met zwakke wachtwoorden beveiligd waren. In de nasleep van de WannaCry-ransomwareaanval kwam ook naar voren dat er niet zo nauw werd omgegaan met de beveiliging.

Ransomware komt overal

Ransomware is in de afgelopen jaren sterk toegenomen. Het National Cyber Security Centre meldt een drievoudige toename van ransomware-varianten in de eerste helft van 2016, vergeleken met het hele jaar 2015. Hoe komen deze aanvallers binnen? Ze moeten binnen zien te komen voor ze hun eisen kunnen stellen, en op dit punt lopen ondernemingen én privépersonen de grootste risico’s.

Hier komt phishing bij kijken, een techniek waarmee aanvallers hun slachtoffers overhalen te reageren op aantrekkelijk lijkende berichten, via e-mail, sms of instant messaging. Het beveiligingscentrum voor webapps, Imperva Incapsula, geeft twee voorbeelden van phishing-aanvallen:

  • Een nagebootste (‘spoofed’) e-mail die van myuniversity.edu afkomstig lijkt, wordt naar zoveel mogelijk universitaire personeelsleden gestuurd.
  • De e-mail beweert dat het wachtwoord van de gebruiker binnenkort verloopt. Er worden instructies gegeven om naar myuniversity.edu/renewal te gaan om het wachtwoord binnen 24 uur te vernieuwen.

Het moge duidelijk zijn dat iedere gebruiker van elk type computer of elk ander apparaat dat met internet verbonden is, de verantwoordelijkheid heeft een goed wachtwoord te kiezen. Maar dit soort advies wordt door veel mensen in de wind geslagen. Dat komt deels doordat het proces om een nieuw wachtwoord aan te maken, vervelend is. Je krijgt vaak irritante mededelingen als je een nieuw wachtwoord instelt: “Gebruik een hoofdletter” of “Gebruik symbolen én cijfers”. Het probleem is dat dit soort wachtwoorden moeilijk te onthouden is.

Wees obscuur, heel obscuur

Veel mensen kiezen dus voor een gemakkelijk te onthouden wachtwoord. Helaas creëert dit een veel groter probleem. Gemakkelijk te onthouden wachtwoorden zijn ook eenvoudig te kraken. Dit advies van een hacker over wachtwoordbeveiliging is het opvolgen waard.

Hoe obscuurder je wachtwoord (geen enkele verwijzing naar verjaardagen, tweede voornaam, geboorteplaats of ander persoonlijk feit die een slimme hacker uit een andere bron kan halen), des te moeilijker te kraken. Hackers besteden liever geen tijd aan een ingewikkelde uitdaging als ze ook een makkelijke prooi kunnen kiezen die minder acht slaat op goed advies.

Verdwijn onmiddellijk van de radar

Hieronder volgen vijf betrouwbare en eenvoudige maatregelen voor zowel individuen als bedrijven om het risico tot een minimum te beperken:

  1. Maak je wachtwoorden obscuur en verander ze vaak.
  2. Varieer je wachtwoorden, zodat er niet één is die je hele internetbestaan kan blootleggen.
  3. Als een aanbieding te mooi lijkt om waar te zijn, is dat ook zo.
  4. Verwijder e-mails van onbekende personen of organisaties of uit landen waar je niemand persoonlijk kent.
  5. Beveilig alles en maak een back-up van alles wat je niet wilt verliezen. Gebruik minstens twee eigen apparaten (externe vaste schijf/USB-stick) en een onafhankelijke derde voor back-up en herstel in de cloud.

Misschien heb je geluk. Wellicht krijg je op een dag een e-mail van de meest obscure eilandrepubliek ter wereld, boordevol grammatica- en spelfouten, waarin staat dat er 5 miljoen euro van een onbekende weldoener op je ligt te wachten en blijkt het nog waar te zijn ook. Maar misschien ook niet.

DIT VINDT U MISSCHIEN OOK INTERESSANT

Het kantoor in 2020

Wat organisaties van de 21e eeuw moeten weten.