Beveilig uzelf tegen phishing

Denkt u dat phishing achterhaald is? U hebt het mis. Ondanks intelligentere spamfilters vermeldde de Anti-Phishing Working Group een toename van 18% voor unieke phishinggevallen in het laaste kwartaal van 2014. Beveiligingsexperts verwachten dat deze stijging zich voortzet in 2016.

Phishing blijft een populaire methode om gevoelige informatie te verkrijgen, zoals wachtwoorden, beveiligingscodes, creditcardgegevens. Ook wordt het gebruikt om malware op apparaten en bedrijfssystemen te smokkelen. Zelfs LastPass-accounts kunnen het doelwit zijn van een phishingaanval. Beveiliging tegen phishing is gebaseerd op twee benaderingen: slimmere opsporing door de software die we gebruiken, en een betere individuele voorbereiding als eerste verdediging tegen een aanval.

Hieronder leest u hoe LastPass phishing bestrijdt en wat u zelf kunt doen om phishing beter te herkennen en uw gevoelige informatie te beschermen als u met een aanval te maken krijgt.

Wat is phishing?

Phishing kan vele vormen aannemen. Soms wordt gebruik gemaakt van e-mails met de huisstijl van uw bank, waarin wordt gevraagd om activiteiten op uw rekening te bevestigen. Ook zijn er nepfacturen, waarin u wordt uitgenodigd om de bijlage te downloaden en uw aankoop te bevestigen. Advertenties en links op social media kunnen malware bevatten. Sommige aanvallers verwijzen u naar een aanmeldpagina die een vrijwel exacte kopie is van een bekende website die u gebruikt en vertrouwt.

Bij spear-phishing wordt de aanval persoonlijk. Aanvallers sturen u e-mails die afkomstig lijken te zijn van een collega of uw baas, of zelfs van uw IT-afdeling. Ze laten hun verzoek legitiem lijken met behulp van de informatie die ze over u hebben verkregen, zodat ze nog meer informatie kunnen opvragen, u een schadelijk bestand laten downloaden of geld laten overmaken.

Het herkennen van phishingaanvallen

Veel phishingaanvallen zijn gemakkelijk te herkennen. Sommigen zijn echter veel geavanceerder en dan is er een gezonde portie scepsis voor nodig om de verdachte e-mails, links en meldingen te herkennen. Zo herkent u een standaard phishingaanval:

  • Controleer de URL: Bekijk de link in de adresbalk of houd de muis boven een koppeling om de link linksonder in uw browser te kunnen zien. Ga na of de URL klopt voordat u verder gaat. Bij LastPass ziet u bijvoorbeeld altijd https://lastpass.com of https://subdomain.lastpass.com. Een phishing-URL zou er dan bijvoorbeeld zo uit kunnen zien: http://lastpass.otherdomain.com.In dit geval is het domein dus “otherdomain.com”, en dient u het te vermijden.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Bekijk de geadresseerde: Wees extra voorzichtig met e-mails aan ‘geachte klant’ of zonder aanhef. Tegenwoordig schrijven de meeste legitieme verkopers u aan met naam. Bij spear-phishing wordt echter wordt de aanval specifiek op u gericht, dus dit is geen waterdichte methode.
  • Start zelf een website: Als u het niet vertrouwt, open dan een nieuw tabblad of nieuw browservenster en tik de URL direct in de adresbalk in (of start vanuit uw wachtwoordbeheer). Dan weet u dat u naar een legitieme site gaat.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Controleer of uw wachtwoordbeheer aanmeldgegevens invoert: LastPass kan helpen om u tegen phishing te beschermen, omdat het uw aanmeldgegevens niet automatisch invoert op een nepwebsite. Aangezien het domein niet overeenkomt met het domein dat in LastPass is opgeslagen, worden uw gegevens niet ingevoerd. Als u ziet dat dit gebeurt, controleer dan de URL.
  • Als het bericht dringend lijkt, neem dan juist de tijd: Als een bericht erop gericht is om u snel tot handelen aan te zetten om vervelende gevolgen te voorkomen, is het doel vaak om ervoor te zorgen dat u iets doet zonder er eerst bij na te denken.
  • Stel uzelf de volgende vragen: Heb ik deze persoon gevraagd om mij een bijlage te sturen? Is dit vreemd gedrag van de afzender? Als u sceptisch bent, blijf dan twijfelen en vraag de afzender om bevestiging.
  • Controleer de link op HTTPS:// en op de aanwezigheid van een pictogram met een hangslot: Als u een website bezoekt, controleer dan in de adresbalk dat u een beveiligde verbinding maakt via HTTPS en dat er een hangslot wordt weergegeven. Dit betekent dat de website door een onafhankelijke beveiligingsfirma is gecontroleerd. Screen Shot 2016-01-20 at 9.16.41 AM (2)

Als phishing uw wachtwoorbeheerder aanvalt

Phishing-aanvallen blijven niet meer alleen beperkt tot schadelijke e-mails, advertenties of links op social media. Sommige phishingaanvallen richten zich ook op de extensies die u in uw browser gebruikt. Hieronder valt ook het nadoen van een wachtwoordbeheerder.

Zo kan een malware-website uw browserextensie imiteren door meldingen weer te geven die informatie vragen zoals uw gebruikersnaam, wachtwoord en een code voor tweeledige verificatie. Het kan lastig zijn om te herkennen dat deze meldingen van een kwaadaardige website komen, en niet van uw browserextensie.

Hoe LastPass u beschermt tegen phishingaanvallen

  • Waarschuwing dat uw moederwachtwoord ingevuld is op een pagina die niet van LastPass is: LastPass geeft u een duidelijke waarschuwing nog voordat u uw moederwachtwoord invult op een pagina, iedere keer dat u probeert om uw LastPass moederwachtwoord in te voeren in een pagina die niet van LastPass is. U weet dan direct dat uw moederwachtwoord wellicht achterhaald is en kunt het direct wijzigen.
  • Verificatie vragen voor aanmeldingen vanaf onbekende locaties of apparaten: LastPass heeft een extra verificatieproces dat iedere keer in werking treedt als u probeert om u aan te melden vanaf een onbekende locatie of een onbekend apparaat. Als u dus onbedoeld uw moederwachtwoord en tweeledige gegevens invoert op een valse website, worden pogingen van de hackers om die gegevens te gebruiken tegengegaan door de e-mailverificatie. De aanvaller heeft voor zijn aanval dan ook toegang nodig tot uw e-mailaccount. Dit risico kunt u tegengaan door hiervoor ook tweeledige verificatie toe te passen. Als u een verificatieverzoek ontvangt zonder dat u zich hebt aangemeld, kunt u dit veilig negeren en uw moederwachtwoord updaten in de accountinstellingen voor uw kluis van LastPass.
  • Afmelden voorkomen: Een kwaadaardige pagina kan een valse LastPass-melding weergeven waarin wordt aangegeven dat u zich afgemeld hebt, waarna u zich vervolgens opnieuw aan moet melden. Controleer of u nog bent aangemeld in de LastPass-extensie, en meld u alleen aan via deze extensie.

Naast deze beveiligingen moedigen we ook Google en andere browsers aan om ons te helpen bij het beveiligen van onze gebruikers, door veilige manieren aan te bieden om meldingen weer te geven buiten de viewport van de browser.

Hoe u kunt helpen om uw LastPass-account te beveiligen

Naast de bestaande veiligheidsmaatregelen die wij hebben ingesteld, kunt u zelf ook helpen om uw kluis veilig te houden. Volg hiervoor de volgende best practices:

  • Meld u altijd aan via de LastPass-extensie: De veiligste manier om u aan te melden bij LastPass is door in de werkbalk van uw browser op het pictogram van de extensie te klikken.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Gebruik uw moederwachtwoord nooit elders. Als u uw moederwachtwoord ook elders gebruikt, vergroot dit het risico dat iemand in uw kluis kan inbreken. Gebruik altijd een uniek wachtwoord voor LastPass. U ontvangt een waarschuwing als u dit wachtwoord intikt als u zich niet bij LastPass wilt aanmelden.
  • Pas op waar u LastPass downloadt. Download LastPass alleen van LastPass.com of van de addon-stores van uw browser of apparaat. Maak nooit gebruik van downloadwebsites van derden. Wees in addon-stores ook bedacht op toepassingen die eruit zien als LastPass, maar een andere uitgever hebben, en geen beoordelingen.
  • Deel uw moederwachtwoord met niemand. Het team van LastPass vraag u nooit naar uw moederwachtwoord. Als iemand zegt van LastPass te zijn en vraagt om uw moederwachtwoord, wees dan voorzichtig. Geef uw wachtwoord nooit.
  • Voeg tweeledige verificatie toe. Een goede beveiliging vertrouwt op verschillende beschermingslagen die risico’s verkleinen. Tweeledige verificatie vereist extra informatie voordat u toegang krijgt tot uw account. Hoewel dit geen waterdichte methode is, versterkt dit de beveiliging van uw account aanzienlijk.
  • Bescherm uw e-mail met een sterk wachtwoord en tweeledige verificatie. Vaak bevat uw e-mailaccount de sleutels tot uw digitale leven. Bescherm dit account alsof uw digitale leven ervan afhangt. Dat is namelijk vaak daadwerkelijk het geval. LastPass kan een sterk maar “uitspreekbaar” wachtwoord aanmaken voor uw e-mail, dat u eventueel nog steeds kunt onthouden als u wilt. Als uw e-mailprovider tweeledige verificatie aanbiedt, maak hier dan altijd gebruik van.

Veilig blijven online is moet een continue inspanning zijn van ons allemaal. LastPass werkt continu aan het verbeteren van ons product terwijl nieuwe bedreigingen opkomen, en werkt samen met de gemeenschap van beveiligingsonderzoekers om ons product te versterken. Tegelijkertijd moeten wij als gebruikers ook continu de best practices op het gebied van beveiliging blijven volgen.