Waarom social media de nieuwe vijand is voor jouw IT-afdeling

Phishing gebeurt niet alleen meer per e-mail. Cybercriminelen proberen nu ook je bedrijfs- en klantgegevens binnen te hengelen via de social media van je medewerkers. Hoe zit dat en wat kun je doen om social media-phishing te voorkomen?

Cybercriminelen zijn nu al zo slim dat medewerkers moeite hebben het verschil te zien tussen veilige en onveilige websites. Dat beaamde 68% van de 400 ondervraagde CIO’s onlangs in een onderzoek. In dat licht is het geen verrassing dat 70% van de IT-professionals wekelijks met phising-pogingen te maken krijgt.

Opvallend is wel dat die phising-pogingen tegenwoordig lang niet alleen via e-mail plaatsvinden. Hackers gebruiken nu ook social media, advertenties en veelvoorkomende verkeerd gespelde domeinnamen om medewerkers over te halen gevoelige persoonlijke informatie te verstrekken. En doordat de phising-pogingen steeds moeilijker te herkennen zijn, is het voor bedrijven lastiger hun personeel te beschermen tegen deze aanvallen.

Social media grootste probleem

Ondanks het feit dat bedrijven meer geld investeren in beveiligingssoftware, personeel opleiden in cybercrime herkennen en continu bewustwordingscampagnes lanceren, is het aantal cyberaanvallen op laptops en desktops in zes jaar tijd gegroeid met 232%. Cybercriminelen komen nog steeds binnen, omdat zij schaalvoordeel hebben. Hoeveel inspanning je ook verricht om je gegevens te beschermen, er hoeft maar één medewerker op een foute link te klikken om je bedrijf in de problemen te brengen.

Social media-phishing vormt een groot deel van dit probleem. Platformen als Facebook en Twitter zijn niet alleen handig om met je vrienden en familie in contact te blijven, ze zijn ook eenvoudig en goedkoop in gebruik. Voor kwaadwillenden is het erg eenvoudig om frauduleuze accounts op te zetten die ogen alsof ze van een betrouwbaar persoon zijn.

Al snel vergaren deze accounts echte gebruikers als volgers en verspreiden links en gegevens die leiden naar landingspagina’s met onbetrouwbare pop-ups. De meeste van deze online activiteiten zijn gebaseerd op phishing-technieken, die eerder alleen via e-mail werden gebruikt.

3,12 TB aan bestanden op straat

Hoe ‘makkelijk’ je in de problemen komt door social media-phishing ondervond streamingsdienst Vevo onlangs. Een van de medewerkers werd het slachtoffer van een LinkedIn-phishingpoging, waardoor 3,12TB aan interne bestanden online kwam. Waaronder video’s, kantoordocumenten, promotiemateriaal, nog te gebruiken social media-inhoud en informatie over artiesten van deelnemende platenmaatschappijen.

Hackersgroep OurMine heeft de verantwoordelijkheid opgeëist voor de aanval, na een mailwisseling met een staflid van Vevo. Dit laat het gevaar van spear-phishing zien, een gerichte aanval waarbij geprobeerd wordt om specifieke details van een specifiek doel te stelen. Hackers vermommen zich meestal als een vriend of vertrouwd(e) persoon/instantie (zoals je bank) om je te verleiden informatie vrij te geven – dit geldt voor 91% van de aanvallen.

Gebruikers misleiden

Vevo is niet het enige bedrijf dat in de problemen kwam door social media-phishing. In het vierde kwartaal van 2017 steeg het aantal pogingen van phishing via social media met 500%. Er was vooral een trend te zien in nepaccounts die zich voordeden als klantenservice van een groot merk. Deze ontwikkeling staat bekend als hengel-phishing, omdat hackers een aas plaatsen en wachten op social media-gebruikers die erop afkomen.

Door dezelfde look & feel van een bekend merk te gebruiken gecombineerd met een authentiek ogende accountnaam, worden miljoenen gebruikers van social media misleid. Zodra een gebruiker erin trapt, stuurt het nepaccount een link naar een phishing-website en vraagt ze om in te loggen, zodat de phisher uiteindelijk privégegevens kan bemachtigen.

Vertrouwen kwijt

Voor de meeste bedrijven die slachtoffer worden van een phishing-aanval, zoals Vevo, kunnen de gevolgen groot zijn. Niet alleen omdat bedrijfs- en klantgegevens op straat komen te liggen, maar ook omdat klanten hierdoor het vertrouwen in je bedrijf kunnen opzeggen. Door het beveiligingslek beschouwen ze je niet langer als een betrouwbare partner om zaken mee te doen. Het duurt lange tijd voordat dat vertrouwen weer terug is.

Medewerkers beschermen

Een van de eenvoudigste manieren om medewerkers te beschermen tegen social media-phishing is door gedragsverandering op het werk te stimuleren. Hiermee help je medewerkers eenvoudige vergissingen te voorkomen die desastreuze gevolgen kunnen hebben voor je bedrijf. Adviezen die je je medewerkers kunt meegeven zijn:

  1. Beperk interactie tot gebruikers die je kunt vertrouwen
  2. Klik niet op links naar een niet-geverifieerde bron
  3. Download nooit bestandsbijlagen vanuit social media
  4. Activeer twee-staps-authenticatie op alle social media-accounts en apparaten. Zo wordt het moeilijker om je te hacken

Geef daarnaast extra training aan medewerkers met veel toegangsrechten of functies met externe contacten.

Beveiliging op orde krijgen

Een ander essentieel aspect van je beveiligingsplan is de technologie die je gebruikt. De HP Elite-serie biedt bijvoorbeeld laptops en pc’s die vanaf de basis ontworpen zijn voor beveiliging.

Een van deze functies is HP Sure Click, beschikbaar op bepaalde HP Elite-devices, waarmee veilig internetten anders wordt benaderd. In plaats van alleen gevaarlijke websites voor gebruikers te markeren, houdt dit ook malware, ransomware en virussen tegen zodat ze geen andere tabbladen of het verdere systeem kunnen besmetten.

Bij elke website die je bezoekt, gebruik je automatisch HP Sure Click. Deze functie maakt voor elke webpagina bijvoorbeeld een hardwaregebaseerde, geïsoleerde browsersessie, zodat een bepaalde website niet andere tabbladen of het gehele systeem kan besmetten.

Device as a Service

Voor bedrijven die hun beveiligingsstrategie willen upgraden en gebruik willen maken van moderne apparaten zoals de HP EliteBook 800 serie, maar de financiële middelen niet hebben om alle apparatuur in één keer te vervangen is er HP Device as a Service (DaaS).

Met dit moderne pc-gebruikersmodel kunnen bedrijven eenvoudiger hun medewerkers uitrusten met de juiste hardware en accessoires. Ook kun je met HP DaaS netwerken met meerdere besturingssystemen beheren en aanvullende diensten voor de gebruikersduur afsluiten. HP DaaS biedt eenvoudige en flexibele oplossingen tegen een vaste vergoeding per apparaat.

Combinatie van beveiligingsoplossingen

Uiteindelijk is het de combinatie van een goed opgeleid team en de juiste apparaten die ervoor zorgen dat je de strijd met cybercriminaliteit via social media – een van de grootste cyberdreigingen ter wereld – succesvol aangaat. Het probleem wordt alleen maar groter en gevaarlijker, daarom is dit het moment om je beveiliging te verbeteren.

Ontdek de voordelen van HP beveiligingsoplossingen voor jouw bedrijf.