Veel voorkomende cyberaanvallen herkennen en vermijden

Voor de meeste mensen is internetgebruik onvermijdelijk. Dat betekent helaas ook dat de bijbehorende risico's onvermijdelijk zijn. Het Amerikaanse Cybersecurity and Infrastructure Security Agency gaat ervan uit dat één op de drie huishoudens met computers geïnfecteerd zijn met malware. 65% van de Amerikanen die online zijn, ontvangen ten minste één frauduleuze aanbieding. Het helpt als u leert hoe u cyberaanvallen kunt herkennen en vermijden: zo beschermt u uzelf en uw gevoelige gegevens tegen internetcriminelen. Virusscanners, firewalls en andere technologische maatregelen kunnen veel bedreigingen automatisch buiten de deur (of buiten uw netwerk) houden. Maar de gevaarlijkste aanvallen omzeilen deze automatische systemen en richten zich op het zwakste punt in de verdediging: de mens. Soms misleiden internetcriminelen hun doelwit via direct contact – het zogeheten “social engineering”. Anderen zetten hun val en hopen dat iemand erin trapt, zoals bij nep-apps die verkrijgbaar zijn in ongereguleerde app stores. We gaan in op beide soorten bedreigingen en zetten op een rij wat u hiertegen kunt doen. Daarnaast bespreken we ook de risico's rondom het hergebruik van wachtwoorden, en hoe u dit kunt vermijden.

Social engineering

Bij social engineering draait het om verschillende soorten oplichting, die één ding met elkaar gemeen hebben: er is direct contact met het slachtoffer. Criminelen gebruiken bijvoorbeeld e-mails, sms-berichten of telefoongesprekken om hun doelwit over te halen om gevoelige informatie te verstrekken, of om op een link te klikken die hun computer besmet met malware. Social engineering maakt altijd gebruik van de menselijke factor, maar criminelen werken met verschillende methoden. En ook de waarschuwingssignalen waaraan u kunt herkennen dat er iets niet klopt, zijn niet altijd hetzelfde. Hieronder lichten we de belangrijkste vormen van social engineering toe. Phishing Phishing is de meest voorkomende soort cyberaanval. Iedere dag worden er naar schatting 3,4 miljard phishingmails verzonden. Dit zijn e-mails die eruit zien alsof ze van een betrouwbare afzender afkomstig zijn. De onderwerpen lopen uiteen. Met verschillende soorten “aas” wordt de ontvanger verleid om iets met de mail te doen. De mails trekken bijvoorbeeld de aandacht door in te spelen op de actualiteit, zoals feestdagen of een natuurramp. Of ze zijn zogenaamd afkomstig van een bank of bedrijf, dat aangeeft dat er een beveiligingsprobleem is. Soms sturen fraudeurs nepfacturen voor een recente aanschaf, die de ontvanger dan moet aanvechten. De e-mails oefenen op de een of andere manier allemaal druk uit om te reageren. Ze wekken de interesse van de ontvanger of benadrukken dat actie vereist is, zogenaamd om fraude of kosten tegen te gaan. Wat u kunt doen om uzelf te beschermen tegen phishingaanvallen Vroeger waren phishingmails vaak goed te herkennen aan de slechte spelling. Maar door de opkomst van ChatGPT en andere kunstmatig intelligente technologie kunnen criminelen nu hele overtuigende teksten schrijven, die veel lastiger te herkennen zijn als bedrog. Daarom is het het beste om voorzichtig te zijn met alle e-mails die niet afkomstig zijn van een vertrouwde afzender. Volg deze tips:

• Als u een mail ontvangt met een verzoek om op een link te klikken of contact op te nemen met een callcenter, controleer dan altijd de volledige gegevens van de afzender. U ontvangt bijvoorbeeld een e-mail van een bekend bedrijf, maar als u het adres controleert, blijkt dat het domein niet klopt:
• Klik nooit op een link in een e-mail als u de afzender niet kent.
• Als u twijfelt, neem dan contact op met het bedrijf – via een apart kanaal, dus niet via de link of het telefoonnummer in de e-mail!
• Werk met een wachtwoordbeheerder. Uw wachtwoordbeheerder vult in principe uw gegevens in op bekende websites. Als deze functie niet werkt, is er dus een kans dat de website nep is.

Vishing Vishing is een combinatie van “voice” en “phishing”: de oplichters bellen hun slachtoffer. Vaak doen ze zich voor als een vertegenwoordiger van een gerenommeerd bedrijf zoals een bank, als politieagent of bijvoorbeeld als de belastingdienst. Met gladde praatjes en gefingeerde behulpzaamheid proberen ze gevoelige informatie te krijgen, zoals creditcardnummers, burgerservicenummers, wachtwoorden of inloggegevens voor internetbankieren. Wat u kunt doen om uzelf te beschermen tegen vishingaanvallen?

• Laat bellers met een onbekend nummer een voicemail achterlaten.
• Neem contact op met het betreffende bedrijf of de instantie en controleer of de beller en de inhoud van het gesprek legitiem zijn. Zoek het telefoonnummer op via de website van het bedrijf. Bel niet direct terug naar het nummer dat de mogelijke oplichter heeft opgegeven.

Smishing Smishing volgt hetzelfde principe als phishing en vishing, maar het maakt gebruik van sms-berichten in plaats van e-mails of telefoongesprekken. Sommige sms-berichten bevatten links naar nepwebsites. Geliefde “afzenders” voor de oplichters zijn de politie, een pakketdienst, of bestaande bedrijven zoals banken. Vaak waarschuwt het sms-bericht u dat uw account is gehackt, en wordt u gevraagd om u aan te melden (bij een nepwebsite). De oplichters stelen vervolgens uw inloggegevens. Een andere tactiek die veel oplichters gebruiken: ze sturen een bericht dat zogenaamd van een hogere manager is, met de vraag om “even” een cadeaukaart te kopen. Vaak claimen ze dat de manager in een meeting zit of de kaart zelf niet kan kopen, en meestal is er haast bij. Die tijdsdruk gebruiken oplichters wel vaker: het slachtoffer neemt dan niet de tijd om goed over de mogelijke bedreiging na te denken. Smishing-aanvallen vermijden

• Reageer niet op ongevraagde berichten en klik nooit op links.
• Controleer de afzender (via een ander kanaal) of het bericht legitiem is.
• Verwijder smishing-berichten en meld ze waar mogelijk bij uw telecomprovider en/of bij het bedrijf waar het bericht zogenaamd van afkomstig is.

Nep-apps van oplichters

Sommige internetcriminelen ontwikkelen nep-apps, die lijken op de apps van bekende en vertrouwde merken. Hiermee proberen ze dan informatie te stelen en/of malware op uw apparaat te zetten. De apps zien er meestal precies zo uit als het origineel, waardoor ze lastig te herkennen zijn. Ook hier kunt u echter bepaalde stappen nemen om te voorkomen dat u slachtoffer wordt:

• Gebruik alleen officiële app stores, zoals Google Play of de App Store van Apple.
• Controleer de ontwikkelaar van de app. Voor LastPass is de ontwikkelaar bijvoorbeeld LogMeIn, Inc. in de Apple App Store en GoTo Technologies in de Google Play store. Als er een andere ontwikkelaar vermeld zou staan, is dat een goede indicatie dat er iets niet in orde is met de app.
• Controleer de beschrijving van de app of spelfouten en taalfouten.

Hergebruik van wachtwoord

Volgens het LastPass-rapport van 2022 over de Psychologie van het Wachtwoord recyclet 62% van de mensen een variatie van hetzelfde wachtwoord. En zelfs bij mensen die voorgelicht werden over de gevaren hiervan, stopte maar 31% met dit hergebruik. 25% koos voor een wachtwoordbeheerder. Het risico van hergebruik is enorm: als er één account wordt gekraakt, proberen hackers dit wachtwoord om overal binnen te komen. Het Verizon Data Breach Investigations Report van 2023 concludeerde dat hackers bij 86% van de geslaagde aanvallen op online toepassingen gebruik maakten van gestolen aanmeldingsgegevens. Het beste wat u kunt doen is om voor ieder account een uniek en sterk wachtwoord te gebruiken. Met een wachtwoordbeheerder is dit geen enkel probleem. En nu de technologie voor het werken zonder wachtwoorden steeds verder vordert, is het een goed idee om een wachtwoordbeheerder te kiezen die hier al klaar voor is. Cyberbedreigingen zijn overal. Daarom is het belangrijk om de meest voorkomende soorten aanvallen te kennen en om uzelf, uw gezin en uw bedrijf met deze simpele stappen te beschermen tegen internetcriminelen en gegevenslekken.