De wereld is weer opgeschrikt door het bericht over een nieuw mega-datalek. Er zouden vertrouwelijke gegevens van 533 miljoen Facebook-gebruikers, waaronder 5,4 miljoen Nederlandse gebruikers gelekt zijn en op een openbaar Internet-Forum geplaatst. Bij de gelekte data gaat het om Facebook ID, volledige naam, telefoonnummer, geslacht, locatie, vorige locatie, geboortedatum en in sommige gevallen het e-mailadres, relatiestatus en andere informatie.
Dit is natuurlijk een zeer ernstige situatie. Deze gegevens zijn in de wereld van cybercriminelen erg gewild en worden gebruikt voor het sturen van heel persoonlijke phishing berichten. Aangezien het hier om telefoonnummers en (in sommige gevallen) e-mail adressen gaat is het dus zaak dat iedere facebook gebruiker EXTRA alert is op phishing berichten via SMS én e-mail.
Phishing? Daar trap ik echt niet in hoor!
Het aantal mensen dat op een link in een phishing-bericht klikt is schrikbarend hoog. Zéker in die bedrijven waar geen goed awareness-niveau heerst. De phishing-testen die uitgevoerd worden bij bedrijven resulteren in een hoog percentage “klikkers”, ook bij de meest eenvoudig te herkennen phishing e-mails.
Er zijn phishing e-mails die erg makkelijk zijn te herkennen. Maar er zijn ook phishing e-mails die wat minder snel te herkennen zijn. En dat komt met name om de inhoud van de e-mail. Een e-mail die van de GGD lijkt te komen en die refereert naar jouw corona-test van een paar weken geleden en waarbij in de mail ook nog wordt aangegeven wat de uitslag van die test was en jouw BSN nummer wordt ook nog genoemd lijkt natuurlijk wel héél erg echt te zijn, nietwaar? Maar dat zou zomaar een mail kunnen zijn van een cybercrimineel die jouw gegevens heeft gekocht via de recentelijke hack bij de GGD.
Maar wat dan te denken van een e-mail of een SMS van “Facebook” waarin jouw facebook-ID, je naam, je geboortedatum en je telefoonnummer staat? Dat ziet er toch ook wel als een betrouwbaar Facebook-bericht uit, toch? Als er in die mail gevraagd wordt om even via een link iets te bevestigen zullen héél veel mensen daar echt intrappen.
Daarom is het zo belangrijk dat iedereen op de hoogte is van de gevaren van phishing.
Checken of jouw gegevens zijn gehackt? Ik zou het niet doen.
Er verschijnen nu websites waarmee mensen kunnen controleren of hun gegevens ook zijn betrokken bij de recente Facebook Hack. Tijdens mijn awareness presentaties waarschuw ik mensen hiervoor. Waarom zou je dat doen? Voorstanders gebruiken het argument dat je dan weet dat je extra alert moet zijn op phishing berichten.
Zo’n massale Facebook-hack is een prachtige gelegenheid voor cybercriminelen om even snel een kleine website op te zetten waarmee je mensen zogenaamd kunt laten controleren of hun gegevens ook zijn gehackt. Je moet op zo’n website dan even je gegevens invoeren (bijvoorbeeld je telefoonnummer of je naam of je e-mail adres) maar je weet vervolgens niet wat er met jouw gegevens gebeurt! Dit geldt ook voor petities die via websites worden aangeboden. Wat gebeurt er met jouw persoonsgegevens nadat je zo’n petitie hebt ingevuld? Worden jouw gegevens keurig vernietigd of worden ze verkocht aan een andere partij?
Mijn advies: Gebruik géén website om te controleren of jouw gegevens ook zijn betrokken bij een hack.
Je moet ALTIJD alert zijn op phishing berichten. Bedrijven kunnen veel doen om hun mensen alert en bewust te maken van de gevaren waar iedereen tegenwoordig 24/7 aan bloot staat. Ja, de meeste mensen zijn 24 uur per dag, 7 dagen per week online en lopen dus 24/7 de kans om aangevallen te worden door cybercriminelen met phishing-berichten via e-mail, SMS, WhatsApp, etc.
Ik kom graag in contact met bedrijven om de mogelijkheden te bespreken voor het vergroten van de security-awareness. Dan maken we de medewerk(st)ers bewust van de gevaren waaraan ze bloot staan. Ze worden bewust over Phishing, het gebruik van veilige wachtwoorden, de verschillende vormen van Internet Fraude en het belang van de AVG. Bewuste medewerk(st)ers maken een organisatie weerbaar tegen cybercriminaliteit. Dat verlaagt het aantal incidenten en datalekken. U kunt hiervoor een e-mail sturen aan info@kochconsultancy.nl
Reactie plaatsen
Reacties