Terwijl velen van ons lekker genieten van een welverdiende kerstvakantie, beleven cybercriminelen de drukste periode van het jaar. In de periode richting het einde van het jaar gebruiken we onze apparaten logischerwijs meer voor entertainment en minder voor werk. Daarom is het belangrijk dat organisaties robuuste, gebruiksvriendelijke beveiligingstechnologie inzetten die de gebruikers ook beschermt als zij niet op kantoor zijn.
Informatiebeveiliging kan niet alleen de verantwoordelijkheid van de it-afdeling zijn. Zeker niet wanneer zowel persoonlijke als bedrijfsinformatie toegankelijk is op hetzelfde apparaat. Gebruikers zouden niet alleen maatregelen moeten nemen om hun apparaten te beschermen, maar zich ook bewust moeten zijn van de tactieken die cybercriminelen gebruiken om mensen schadelijke applicaties te laten downloaden of besmette websites te laten bezoeken. Gezond verstand is belangrijk wanneer applicaties toegang vragen tot bepaalde informatie – een app om foto’s te bewerken hoeft geen toegang te hebben tot iemands contacten, bijvoorbeeld.
Een veelgebruikte tactiek tijdens de feestdagen is het aanbieden van kortingen op websites of via apps. Wat veel gebruikers echter niet door hebben, is dat veel van deze url’s of apps verre van legitiem zijn en speciaal ontworpen zijn voor het stelen van informatie. Tegenwoordig kunnen app stores gemakkelijk omzeild worden door applicaties direct van een website te laten downloaden. Dit maakt het nog makkelijker voor cybercriminelen om mensen te misleiden. Door simpelweg een mail te sturen die afkomstig lijkt van een betrouwbare retailer en mensen te vragen een applicatie te downloaden in ruil voor een kortingsbon, kunnen hackers profiteren van nietsvermoedende online shoppers die graag geld willen besparen in deze dure maand. Het enige wat ze daarvoor nodig hebben is een link naar een valse app.
Met slechts één klik heeft de applicatie vervolgens toegang tot de camera, microfoon, gps-locatie, contactpersonen, agenda en wat het dan ook is waar de gebruiker toestemming voor geeft. Want laten we eerlijk zijn: vrijwel niemand leest de lijst met machtigingen bij het downloaden van apps. Men accepteert de algemene voorwaarden zonder daar echt over na te denken. Hackers weten dat ook.
Gelaagde beveiliging
Voor hackers is het een koud kunstje een applicatie te bouwen die er betrouwbaar uitziet, maar tegelijkertijd malware bevat. Neem bijvoorbeeld een reiziger die net in een nieuwe stad is aangekomen en een app wil downloaden met lokale informatie over de stad. Op veel toeristenlocaties worden deze aangeboden via QR-codes. Een hacker kan zijn eigen QR-code hier overheen aanbrengen, waardoor de nietsvermoedende toerist geleid wordt naar de applicatie van de hacker, die er precies hetzelfde uitziet als het origineel. Als een gebruiker de app eenmaal heeft gedownload, heeft hij niet in de gaten dat de hacker elke stap die hij zet kan bijhouden. En aangezien de app toegang heeft tot verschillende delen van de telefoon, waaronder foto’s, camera, microfoon en gps-locatie, is de hacker in staat al deze informatie te bekijken en screenshots te maken van alles wat op het scherm verschijnt.
Net zoals we onze huizen beschermen met veiligheidsstrips, schrikdraad, alarmsystemen en waakhonden, hebben bedrijven ook een gelaagde beveiliging nodig. Als hackers dan inbreken bij het ene systeem, is er een goede kans dat ze vastlopen bij het andere.
Onbekende malware
Antivirus-oplossingen werken prima voor het tegenhouden van bekende malware, maar zijn minder effectief tegen malware die zij niet kennen. Hackers kunnen bekende malware in slechts enkele minuten omzetten naar onbekende malware met vrij beschikbare online tools. Dit betekent dat de beveiliging versterkt moet worden door middel van sandboxing of andere monitoring-tools.
Een dergelijke oplossing laat zien hoe de app zich zou gedragen als een gebruiker hem zou openen. Vervolgens waarschuwt het systeem de gebruiker als het schadelijk blijkt te zijn of houdt het systeem het daadwerkelijk downloaden van de applicatie tegen. De volgende beveiligingslaag moet toezicht houden op het gedrag van de app. Als die zich verdacht gedraagt, bijvoorbeeld als de camera beelden opneemt terwijl deze uit staat, waarschuwt de software de gebruiker of zet het de app in quarantaine voor nader onderzoek.
Veiligheid voor alles
Het is verleidelijk een app te downloaden in ruil voor 25 procent korting op een aankoop, maar gebruikers moeten hierin voorzichtig zijn en onderzoeken of zowel de link als de informatie waar de app toegang tot vraagt veilig zijn. Het is veiliger een applicatie direct van een website of via een app store te downloaden dan blindelings een link uit een mail of sma te vertrouwen.
Organisaties zouden ervan uit moeten gaan dat consumenten hun apparaten niet beschermen en niet erg zorgvuldig zijn wanneer zij apps downloaden. Het is dus van belang een gelaagd beveiligingssysteem te gebruiken dat het voor kwaadwillende applicaties moeilijk maakt het netwerk binnen te komen. Hackers zullen zich blijven richten op kwetsbaarheden en menselijke fouten om informatie te stelen. Zolang we ze één stap voor kunnen blijven, kunnen we het ons prima veroorloven te ontspannen tijdens de feestdagen, wetende dat onze informatie veilig is.