Manieren om te voorkomen dat je telefoon gehackt wordt

Je hebt waarschijnlijk in het nieuws gezien dat particulieren met vermogen, beroemde atleten en entertainers favoriete doelen worden van telefoonhackers. In sommige gevallen, wanneer beveiligingsexperts het niet eens kunnen worden, is dit omdat forensisch onderzoek van mobiele apparaten zo beperkt is dat ze zelfs niet kunnen bevestigen dat iemand is gecompromitteerd en kunnen reconstrueren wat er precies is gebeurd.

Voor zakenmensen is het de hoogste tijd om aandacht te besteden aan mobiele beveiliging. Het laatste wat je wilt, is dat je in verlegenheid gebracht wordt of professioneel in gevaar komt.

Doelwit

Mobiele telefoons zijn een vruchtbaar en verrassend gemakkelijk doelwit voor hackers aan het worden. Vroeger gaven bedrijven aan hun leidinggevenden werktelefoons die alleen zakelijke applicaties gebruikten. Maar tegenwoordig is de kans net zo groot dat onze telefoons memo’s voor intellectueel eigendom bevatten als de mogelijkheid om muziek te luisteren. 

Hackers begonnen met het zoeken naar spraakmakende foto’s en beschamende sms-berichten, maar nu zijn ze overgestapt op mobiele malware, ransomware en identiteitsdiefstal gericht op het binnendringen van bedrijfsnetwerken en het exfiltreren van missie-cruciale data op de telefoons van CEO’s, bestuursleden en politieke leiders.

Laten we duidelijk zijn: de meest gevoelige en bedrijfseigen data van je organisatie lopen risico, grotendeels omdat je deze routinematig gebruikt via je mobiele telefoon. En de hackers weten het. We moeten de omvang en de potentiële impact van dit probleem erkennen en beslissende stappen nemen om onze cyberdefensie te versterken.

Bedreigingen voor mobiele telefoons evolueren

Wanneer we onze mobiele telefoons gebruiken voor werktaken, breiden we het landschap van cybersecurity-bedreigingen uit. Dit is van cruciaal belang om te erkennen, want de meeste organisaties hebben niet alleen een gebrek aan goed begrip van bedreigingen voor mobiele telefoons, maar ook aan ervaren personeel om het probleem aan te pakken met meer dan alleen basistools voor beheer van mobiele apparaten.

Er zijn twee grote uitdagingen in verband met mobiele cybersecurity-bedreigingen:

• De wolf in schaapskleren. Het enorme aantal toepassingen dat we op onze telefoons kunnen gebruiken, explodeert. Apple en Google doen uitstekend werk met het beveiligen van hun besturingssystemen, maar het beveiligen van applicaties van derden blijft een grote uitdaging. We hebben veel functionaliteit aan onze telefoons toegevoegd, maar veel van die extra functies hebben het voor aanvallers veel gemakkelijker gemaakt om toegang te krijgen tot dingen zoals onze werkcontacten en hun telefoonnummers. Omdat hackers onze telefoons binnendringen via frauduleuze applicaties die plotseling een tweede leven ontwikkelen of misbruik maken van kwetsbaarheden in veel voorkomende applicaties zoals WhatsApp, is het geen grote sprong om professionele malware te installeren voor jailbreaking, spionage, ransomware of data-exfiltratie.
• Geen plaats meer om te verbergen. Ik zal je de technische details besparen, maar houd er rekening mee dat mobiele netwerken afhankelijk zijn van kwetsbare roamingprotocollen zoals SS7 of Diameter, die gemakkelijke doelen zijn voor cyberdreigingen. Door simpelweg toegang te hebben tot je telefoonnummer kunnen hackers met een kleine investering je locatie vrij gemakkelijk traceren … of zelfs je inkomende oproepen of sms-berichten of WhatsApp-berichten overnemen. Deze aanvalsmethoden worden al lang gebruikt, niet alleen voor professionele spionage, maar ook voor grootschalige fraude bij internetbankieren. Dit is ook de reden waarom banken SMS niet meer beschouwen als een beveiligde twee-factor authenticatie. Al met al is het erg moeilijk om jezelf te beschermen tegen locatietracering of aanvallen via telefoon of sms.

Beveiligingsarchitectuur

Maar het goede nieuws is dat de staat van cyberbeveiliging voor mobiele telefoons niet zo somber is als het klinkt in de pers. De mobiele telefoons van vandaag hebben op apparaatniveau een sterke beveiligingsarchitectuur. De ecosystemen voor de meest populaire telefoons – Apple iPhone en Google Android – zijn zeer veilig, met sterke op hardware gebaseerde beveiligings- en isolatiebenaderingen. En, in tegenstelling tot andere software-exploits, zou code misbruiken om een mobiel apparaat te compromitteren zonder je interactie aanvallers miljoenen kosten. Een hacker moet een enorme investering doen als hij je mobiele telefoon in gevaar wil brengen om je gegevens te exfiltreren.

Ga je toch een kans wagen om de meest kritieke gegevens van je onderneming bloot te leggen vanwege lakse cybersecurity-frameworks en -praktijken? Natuurlijk niet.

Wat je nu kunt doen

Er zijn drie sterke stappen die alle bedrijfsleiders nu kunnen en moeten doen om de afweer van hun telefoons te verharden:

1. Security gezondheid. We zijn allemaal druk bezig en ervoor zorgen dat onze mobiele telefoons en apps de nieuwste patches hebben, is niet onze topprioriteit. Maar als je een zakelijke gebruiker van je telefoon bent, moet je ervoor zorgen dat deze de meest recente beveiliging heeft. Ook is antivirus voor mobiele telefoons een mythe. Vergeleken met onze computers kan een antivirus-app op mobiele telefoons vaak niet beschermen tegen schadelijke apps. De reden hiervoor is dat de op hardware gebaseerde architectuur van de mobiele telefoon elke app dwingt om van elkaar te worden geïsoleerd. Eén beveiligingscontrole die echter vaak over het hoofd wordt gezien op mobiele apparaten is netwerkbeveiliging. In plaats van al je kwetsbaarheden naar internet te routeren, kan je een veilige VPN- of Secure Access Service Edge (SASE) -oplossing gebruiken. Een dergelijke oplossing kan verkeer naar kwaadaardige websites of data-exfiltratie pogingen blokkeren.
2. Applicatie gezondheid. Elke toepassing op je telefoon kan gegevens vrijgeven en worden gebruikt als een brug om je apparaat te compromitteren. Toepassingen op de witte lijst en op de zwarte lijst worden nu standaardpraktijk voor IT- en beveiligingsbeheerders en je moet deze praktijken ook op je eigen telefoon volgen. Heb je bijvoorbeeld echt die vijf messenger-applicaties nodig? Download je automatisch inhoud via sociale media-applicaties? Gebruiken je kinderen of kleinkinderen je telefoon en downloaden ze games?
3. Privacy gezondheid. Ik weet dat dit klinkt als de preek die je vele jaren geleden van je ouders kreeg, maar hier komt het: geef geen persoonlijke informatie, specifiek je telefoonnummer, aan vreemden. Alleen al door het hebben van je telefoonnummer, kunnen cybercriminelen je, fysiek en elektronisch, overal ter wereld traceren. En vergeet niet dat je collega’s, leveranciers en klanten je nummer en andere contactgegevens ook op hun telefoon opslaan. En deze gegevens kunnen gemakkelijk worden geëxfiltreerd door frauduleuze applicaties die op hun telefoons zijn geïnstalleerd om je nummer te onthullen.

Open deur

Hoe meer je je telefoon gebruikt om werkredenen, hoe groter je de cybersecurity-bedreigingsvectoren uitbreidt naar de applicaties, databases en gegevens van je organisatie. Het is alsof je de deur van je fabriek helemaal open doet en vreemden een toegangskaart geeft voor je mainframe en robotapparatuur. Het kan alleen maar slecht eindigen.

Als leidinggevende moet je deze best practices persoonlijk volgen, maar ook de implementatie en administratie ondersteunen van degelijke cyberbeveiligingsprocessen voor alle werknemers. Jij bevindt je in een unieke, krachtige positie om de juiste boodschap naar je collega’s en ondergeschikten te sturen. Je telefoon is net zo goed een computer als elke desktop, notebook of server. Bescherm het daarom ook zo. 

Over de auteur: Sergej Epp is CSO regio Centraal Europa bij Palo Alto Networks.