Smishing: waarom tekstgebaseerde phishing op de radar van elke CISO moet staan

Iedereen met een smartphone is waarschijnlijk wel eens het doelwit geweest van smishing. In tegenstelling tot e-mail phishing worden kwaadaardige links dan via tekstberichten verstuurd. Deze vorm van oplichting neemt sterk toe. Elke organisatie dient zich er actief tegen te wapenen.

Net als bij phishing proberen kwaadwillenden met smishing gebruikers te verleiden om waardevolle informatie te verstrekken – zoals inloggegevens voor de bank – door de ontvanger ervan te overtuigen dat het bericht afkomstig is van een betrouwbare bron. Deze vorm van oplichting vindt al tientallen jaren via e-mail plaats, maar heeft de afgelopen jaren een enorme vlucht genomen via sms en chatberichten, zoals Whatsapp.

Zelfs voordat de coronapandemie organisaties dwong om bijna van de ene op de andere dag over te schakelen op werken op afstand, bleek uit onderzoek dat de werknemers van 81 procent van de organisaties te maken hadden gehad met een smishing-aanval op hun mobiele apparaten. Sinds we in 2020 wereldwijd in lockdown gingen, zijn smishing-aanvallen echter sterk toegenomen. Een onderzoek toonde aan dat de toename alleen al tussen maart en juli 2020 zo’n 29 procent was.

Waarom zijn we vatbaarder voor smishing?

Hoewel phishing al lang een bekende bedreiging is voor organisaties, zijn er een aantal redenen te bedenken waarom smishing tegenwoordig waarschijnlijk nog zorgwekkender is voor IT-beveiliging.

• Het is veel gemakkelijker om phishing via e-mail te blokkeren op pc’s die eigendom zijn van het bedrijf dan op de persoonlijke apparaten van werknemers, terwijl ze die tegenwoordig steeds vaker gebruiken om toegang te krijgen tot bedrijfsapplicaties en -gegevens. Er is geen eenvoudige manier om de authenticiteit van URL’s op smartphones te verifiëren, waardoor gebruikers vaak gewoon op deze links klikken, met alle risico’s van dien.
• In 2020 zullen wereldwijd 2,8 miljard gebruikers een smartphone hebben. De apparaten zijn letterlijk overal, waardoor hackers een enorm, exploiteerbaar bedreigingenlandschap hebben.
• Mobiele gebruikers openen en reageren doorgaans veel vaker op sms-berichten dan op e-mail. Bedenk dat 90 procent van de sms-berichten vrijwel onmiddellijk wordt geopend en gelezen. De gemiddelde openingsratio voor e-mail schommelt rond de 20 procent.
• Persoonlijke apparaten hebben meestal niet de robuuste beveiliging die wordt gebruikt om bedrijfsapparaten te beschermen.
• Tijdens het gebruik van mobiele devices hebben we de aandacht er vaak niet volledig bij. Hoevelen onder ons checken niet allerlei apps en berichten op onze telefoons terwijl we met andere activiteiten bezig zijn, zoals winkelen, eten, films kijken en de hond uitlaten?

Nachtmerriescenario

Hackers maken hier dankbaar gebruik van. Zo kunnen ze een werknemer met een beetje speurwerk en doorzettingsvermogen er gemakkelijk van overtuigen om zijn of haar bedrijfsgegevens vrij te geven. En als hackers eenmaal toegang hebben tot de bedrijfsgegevens kunnen ze snel een beveiligingsnachtmerrie ontketenen voor elke IT-organisatie. Herinner je je de Twitter hack van afgelopen juli nog?

Nu iedereen massaal thuiswerkt, is de traditionele netwerkperimeter praktisch gesloopt. Daarom hebben CISO’s nieuwe strategieën nodig om de bedrijfsapplicaties en -gegevens te beschermen, ongeacht de locatie of het gebruikte apparaat. De meeste CISO’s lijken echter te begrijpen dat het beschermen van hun organisaties tegen mobiele bedreigingen hun grootste prioriteit moet zijn voor de toekomst.

To do-lijst voor mobiele beveiliging

In december 2020 deed Vanson Bourne onderzoek onder CISO’s om een beter inzicht te krijgen in hun prioriteiten. Daaruit bleek dat 87 procent van de CISO’s binnen EMEA zegt dat het beveiligen van mobiele apparaten nu de belangrijkste focus is in hun cyber security-strategieën. Bijna 80 procent van hen weet dat wachtwoorden niet langer een effectieve of veilige manier van gebruikersverificatie zijn, en bijna tweederde (64 procent) gelooft dat investeren in software voor het opsporen van mobiele bedreigingen een belangrijke prioriteit zal zijn in 2021.

Mobiele gebruikerservaring

Natuurlijk kan geen enkele mobiele beveiligingsaanpak slagen zonder een goede gebruikerservaring. Dit moet dus een belangrijke prioriteit hebben, zeker nu zo veel werknemers op afstand werken, misschien wel op permanente basis.

Een van de eenvoudigste dingen die CISO’s nu kunnen doen om werknemers op afstand te helpen productief te blijven en tegelijkertijd beveiligingsrisico’s te minimaliseren is wachtwoordbeveiliging aan te vullen met multifactor-authenticatie (MFA). Door biometrie of andere aanvullende authenticatiemiddelen (tokens, code generators) te eisen, verlaag je de risico’s van het stelen van loginnamen en wachtwoorden aanzienlijk. En dat kan met relatief eenvoudige middelen. MFA zorgt daarnaast voor een drastische verbetering van de gebruikerservaring doordat gebruikers niet langer complexe en moeilijk te onthouden wachtwoorden hoeven in te typen op kleine beeldschermen.

Het moge duidelijk zijn dat vereenvoudigde gebruikersauthenticatie een cruciale stap is om mobiele beveiliging te verbeteren. Daarnaast zou automatisering ook een essentieel onderdeel van elke mobiele beveiligingsstrategie moeten zijn. CISO’s weten dat ze niet enkel kunnen vertrouwen op mensen om de activiteiten van cybercriminelen tegen te gaan. Wil je een organisatie optimaal beveiligen, dan is een complete en ‘always-on’ mobiele beveiligingsaanpak noodzakelijk. Daarmee kun je 24/7 mobiele bedreigingen detecteren en voorkomen, zonder risico op menselijke fouten. Naast het verbeteren van de authenticatie zou dit het komende jaar bovenaan de to-do-lijst van elke CISO moeten staan.

Over de auteur: Arjan Veenboer is Area sales director Benelux bij Ivanti.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.