Ethisch hacken als antwoord op de gevaren van phishing

Eén medewerker hoeft maar een bijlage te openen en criminelen zijn al binnengedrongen in de bedrijfsomgeving. Hacken uit voorzorg, dat is kort gezegd wat Patrick de Brouwer doet als ethical hacker bij het Nederlandse IT-Security bedrijf Northwave. Zijn doel: het tegengaan van cybercrime. Tijdens de DDMA Email Summit, op 20 juni, doet De Brouwer live een hack om zo meer bewustwording te creëren voor deze complexe vorm van criminaliteit. 

Waarom is het belangrijk dat mensen goede voorlichting krijgen over cybercrime?

Hoewel consumenten tegenwoordig alerter zijn en meer kennis hebben over zaken als phishing blijft het een kat en muisspel. Omdat mensen steeds minder makkelijk in de val lopen pakken de cybercriminelen het steeds professioneler aan. Waar er voorheen lacherig werd gedaan over phishingmails omdat de tekst vol stond met schrijffouten is dat tegenwoordig wel anders. Het is dus niet gek dat er ook nu nog mensen in de val lopen.

Welke rol speelt e-mail bij internetfraude?

E-mail speelt een belangrijke rol bij de bekendste en meest voorkomende manieren van cybercrime. Als eerste het versturen van gerichte mailings met bijlage naar particulieren en bedrijven. Doel hierbij is dat mensen de e-mail met bijlage openen zodat de crimineel zich toegang kan verschaffen tot het systeem van de gebruiker. Bij bedrijven hoeft maar één van de medewerkers de bijlage te openen en de criminelen zijn al binnengedrongen in de bedrijfsomgeving. Open dus nooit de bijlage van een bericht dat je niet vertrouwt. Schakel desnoods de hulp in van de IT-servicedesk binnen het bedrijf waar je werkt om er zeker van te zijn dat het bericht veilig is.

Een tweede voorbeeld is de phishing e-mail. Via een dergelijke mail wordt er geprobeerd om iemands gebruikersnaam en wachtwoord te bemachtigen om er vervolgens misbruik van te kunnen maken. Dit wordt vaak gedaan via bedrijven waar mensen een financiële relatie mee hebben, zoals banken, telecombedrijven en energiemaatschappijen. Nadat de gegevens zijn onderschept wordt er geprobeerd om de personen in kwestie geld afhandig te maken.

Tegenwoordig zie je ook steeds meer berichten in het nieuws over CEO-fraude. Bij deze manier van frauderen wordt de mailbox van de baas van een bedrijf gehackt waarna er uit naam van deze persoon een betaalverzoek wordt gedaan aan de financiële administratie van dat bedrijf. Er moet in de meeste gevallen snel geld worden overgemaakt naar een bepaalde bankrekening. Deze rekening is uiteraard in handen van de criminelen waardoor er grote bedragen worden buitgemaakt.

Wat kunnen bedrijven doen die hackers een stap voor willen blijven?

Die bedrijven kunnen een pentest laten uitvoeren. Pentest is een afkorting voor ‘penetratietest’. De pentest heeft als doel het in kaart brengen van kwetsbaarheden van een website, applicatie of gehele IT-infrastructuur. De zwakke plekken kunnen vervolgens op de juiste manier worden versterkt.

Krijgen jullie ook verzoeken om een stapje verder te gaan?

Bedrijven vragen ons ook om gerichte aanvallen uit te voeren. Bij deze zogenaamde ‘Red Team’ aanvallen is het de bedoeling om de kroonjuwelen van de organisatie te bemachtigen. Bij een dergelijke aanval zijn zo goed als geen restricties waar de tester zich aan moet houden. Er wordt tijdens de aanval gebruik gemaakt van technieken die door criminelen worden gebruikt.

Hoe kun je voorkomen dat je slachtoffer wordt van fraude?

Dit zijn mijn belangrijkste adviezen:

• Twijfel je over een bericht, kijk dan altijd goed naar het afzend e-mailadres en de (bedrijfs)naam waar het bericht van afkomstig is. Als het een bekende naam is, maar een onbekend e-mailadres kan het verdacht zijn.
• Verwacht je de e-mail met bijlage, bijvoorbeeld een factuur of een offerte? Heb je iets besteld of aangevraagd?
• Vertrouw je een bericht niet? Neem dan contact op met de verzender via de gegevens die bekend zijn van de organisatie of persoon. Vraag vervolgens of hij/zij de e-mail heeft verzonden.
• Neem contact op met je systeembeheerder. Via deze weg kun je uitzoeken of de e-mail legitiem is.
• Schakel een twee-staps-verificatie in als dat mogelijk is. Hierbij moet je een extra code opgeven om te kunnen inloggen. Deze code ontvang je vaak via je mobiele telefoon.

Wat kunnen we van jou verwachten op de Email Summit?

Ik ga live op het podium een hack doen om het publiek te laten zien hoe dat werkt. Het is belangrijk dat er meer bewustwording komt en op deze manier kan ik iedereen wijzen op de gevaren. Daarnaast vertel ik het publiek wat ze kunnen doen om te voorkomen dat ze gehackt worden.