Diefstal van kredietgegevens: de opkomst, risico's en oplossingen

Diefstal van inloggegevens via e-mail phishing is een verontrustend wijdverbreid probleem geworden, dat nog wordt verergerd door de verstoringen die zijn veroorzaakt door de COVID-19 pandemie. Omdat gebruikers hun inloggegevens vaak op meerdere sites hergebruiken, kunnen gestolen inloggegevens worden gebruikt om in te breken in e-mailsystemen of andere bedrijfsmiddelen, waardoor zowel personen als organisaties een steeds groter risico lopen. Volgens het Verizon Data Breach Investigations Report 2019 [1] is bij 29% van de inbreuken op de beveiliging van bedrijven gebruikgemaakt van gestolen inloggegevens.

COVID-19 Gefingeerde websites en e-mailzwendel

De COVID-19-pandemie heeft een golf van phishingaanvallen op geloofsbrieven teweeggebracht, die inspelen op de bezorgdheid van gebruikers en hun behoefte aan informatie. Een deel van de reden is dat dergelijke phishing-aanvallen tegen relatief lage kosten en inspanningen kunnen worden uitgevoerd, vergeleken met complexere malware-exploits - dus zolang ze effectief zijn, zullen aanvallers ze gebruiken.

In het voorjaar van 2020 zag Mimecast een enorme groei van nepwebsites met coronavirusthema's die waren gericht op de meest actuele zorgen van gebruikers over bescherming tegen infecties en tests, financiële hulp voor werklozen, wijzigingen in belastingdeadlines en -regels, en de status van economische impactbetalingen van de IRS. Ook e-mail phishing scams die mensen naar dergelijke nepwebsites leiden, namen snel toe.

Daarnaast zag Mimecast meer dan 500 verdachte domeinen die zich voordeden als Netflix en andere streaming mediasites, waaronder Disney+, Amazon Prime Video en YouTube TV. Vaak vragen dergelijke sites om creditcardgegevens, maar ze kunnen ook om cruciale persoonlijke identificatie zoals sofinummers vragen of malware installeren die eindgebruikersgegevens probeert te achterhalen.

In veel gevallen vragen deze valse websites personen om hun reeds bestaande "officiële" inloggegevens in te voeren, of bieden zij hun een gratis abonnement aan als zij een nieuwe account aanmaken en inloggen. Deze inloggegevens kunnen vervolgens worden verkocht of gebruikt om toegang te krijgen tot andere systemen. Zoals Thom Bailey, Sr. Director, Product/Strategy bij Mimecast opmerkte: "Helaas gebruiken mensen vaak dezelfde gebruikersnamen en/of wachtwoorden op verschillende sites, zodat ze dezelfde gegevens kunnen gebruiken voor zakelijke of persoonlijke logins."

De risico's van hergebruik van wachtwoorden

Uit een onderzoek van Google/Harris 2019 [2] bleek dat 52% van de respondenten hetzelfde wachtwoord voor meerdere accounts hergebruikt, en nog eens 13% gebruikt hetzelfde wachtwoord voor al hun accounts .

Dit houdt uiteraard risico's in voor het individu: cybercriminelen kunnen proberen in te breken in de financiële websites van gebruikers door gebruik te maken van dezelfde combinaties van wachtwoord, gebruikers-ID en verwante gegevens. Maar het vormt ook een ernstig risico voor uw organisatie. Cybercriminelen kunnen zich aanmelden bij de e-mailservers of andere systemen van uw bedrijf met gestolen inloggegevens die legitiem lijken, waardoor ze veel van uw conventionele verdedigingsmiddelen omzeilen. Bovendien kunnen criminelen die gebruikmaken van legitieme inloggegevens frauduleuze transacties uitvoeren als u sites voor e-commerce of financiële diensten exploiteert die op het publiek zijn gericht - en dat is zowel een financieel als een reputatierisico.

Zelfs als gebruikers zorgvuldig nep-websites en phishing-aanvallen per e-mail vermijden, verhoogt het lukraak hergebruiken van wachtwoorden nog steeds het risico, vanwege de massale diefstal van referenties die gepaard gaat met grote gegevensinbreuken. Wanneer hackers e-mail/wachtwoordparen van een site stelen en delen, kunnen zij credential stuffing-aanvallen uitvoeren om te ontdekken waar die paren (of soortgelijke combinaties) ook zouden kunnen werken. Om dergelijke aanvallen te ondersteunen, worden nog steeds grote databases met gestolen inloggegevens verkocht op het dark web of andere plaatsen zoals Discord. Volgens mediaberichten konden in april 2020 bijvoorbeeld meer dan een half miljoen Zoom-accountgegevens worden gekocht. [3]

Wat je kunt doen tegen geloofsdiefstal

Beveiligingsbewustzijnstraining is een belangrijk onderdeel van de basis "blokkeren en aanpakken" die organisaties nodig hebben om mensen en middelen te beschermen tegen diefstal van geloofsbrieven. De meeste leidinggevenden op het gebied van cyberbeveiliging zijn zich bewust van de toenemende geraffineerdheid van e-mailzwendel, phishing en spoofingaanvallen die gericht zijn op het stelen van legitimatiegegevens. Maar gewone gebruikers, die hun eigen zorgen, verantwoordelijkheden en afleidingen hebben, vooral wanneer ze thuis werken, moeten er regelmatig aan worden herinnerd.

Natuurlijk kunnen zelfs "bewuste" werknemers baat hebben bij technologische ondersteuning om weerstand te bieden aan e-mail scams, phishing en andere vormen van social engineering. Deze technische maatregelen kunnen het volgende omvatten:

• E-mailbeveiligingsdiensten die kwaadaardige websites signaleren en voorkomen dat gebruikers er toegang toe krijgen
• Scans van e-mailheaders en -inhoud om frauduleuze berichten in quarantaine te plaatsen, te verwijderen of gebruikers te waarschuwen voor het gevaar ervan
• Ruimer gebruik van multifactorauthenticatie, zodat een crimineel uw netwerk niet kan binnenkomen met alleen gebruikersnaam en wachtwoord
• Wachtwoordkluizen om personen te helpen verschillende wachtwoorden te creëren voor elk gebruik, en ze veilig op te slaan en te gebruiken
• Screeningsinstrumenten om nieuwe of bestaande wachtwoorden te toetsen aan bijgewerkte hoofdlijsten van zwakke of gecompromitteerde wachtwoorden, en "fuzzy logic"-instrumenten om te voorkomen dat gebruikers hun wachtwoorden lichtjes bijwerken op een manier die gemakkelijk te raden is
• Beperking van inlogpogingen met wachtwoorden (maar let op: criminelen kunnen botnets gebruiken om het te laten lijken dat de pogingen van verschillende locaties komen)
• Helemaal geen wachtwoorden meer[4], nu biometrie en technologieën zoals de WebAuthn-verificatiestandaard wachtwoordloze verificatie praktischer beginnen te maken

De kern van de zaak

Criminelen vallen aan waar dat het gemakkelijkst is, en waar gebruikers en organisaties kwetsbaarder zijn. Vaak gaat het daarbij om phishing via e-mail en vervalste websites om inloggegevens te verkrijgen die kunnen worden gebruikt om toegang te krijgen tot bedrijfssystemen. Om uw risico te verkleinen, moet u gebruikmaken van een gelaagde aanpak met een combinatie van bewustmakingstraining en technische tegenmaatregelen.

[1] 2019 Data Breach Investigations Report , Verizon

[2] Onlineveiligheidsonderzoek, Google / Harris Poll , Google

[3] Gestolen Zoom-credentials: Hackers verkopen goedkope toegang , Bank Info Security

[4] Bye Bye Passwords: New Ways to Authenticate , SANS