Posts

QR-codes zijn hot. Ze maken ons het leven eenvoudiger en efficiënter, en we gebruiken ze om snel toegang te krijgen tot websites, informatie te delen of betalingen te doen. Maar er zit ook een duistere kant aan die handige blokjes. In deze blog vertelt Wesley de Marie, security engineer bij 2source4, alles over de gevaren van QR-code-phishing. Hij geeft ook tips om je organisatie te beschermen tegen deze groeiende dreiging.

Wat is QR-code-phishing?

Laten we eerst eens kijken naar wat QR-code-phishing precies is. Een QR-code, oftewel Quick Response-code, is niets meer dan een tweedimensionale streepjescode die je met je mobiele apparaat kunt scannen. Het is een handige manier om snel toegang te krijgen tot websites, apps en andere digitale inhoud. Maar het gemak is tegelijkertijd ook het gevaar. Je ziet namelijk niet direct waar de code naartoe leidt. Het is als het klikken op een link zonder te weten waar je terechtkomt.

Wist je dat in de eerste weken van oktober 2023, 22% van de phishing attacks een QR-code bevatte.

Do’s en don’ts

Stel, je bent op je laptop aan het werk en er komt een mail met een QR-code binnen. Het is verleidelijk om die QR-code dan even snel met je telefoon te scannen, zeker als er een mooie beloning of een leuke aanbieding in het spel lijkt te zijn. Soms is de ‘verleiding’ nog veel geniepiger. Je krijgt een mail van ‘de helpdesk van Microsoft’ (not) waarin je wordt gevraagd je wachtwoord te resetten door een QR-code te scannen. Wees altijd voorzichtig! Zeker als het mobiele apparaat een privéapparaat is, is die waarschijnlijk minder beveiligd dan een zakelijke laptop. In zo’n scenario kan het volgende gebeuren: je scant de QR-code met je telefoon, je wordt gevraagd om in te loggen, en zonder veel nadenken deel je je inloggegevens. Zo krijgen hackers toegang tot belangrijke bedrijfsinformatie. Een ander scenario is dat je – in al je onschuld – malware downloadt.

Technologie als bescherming

Gelukkig zijn er technologieën beschikbaar die effectieve bescherming bieden tegen QR-code-phishing. Het begint met het correct configureren van je Microsoft-omgeving, maar dat alleen is onvoldoende. Er zijn krachtige tools beschikbaar, zoals Microsoft Defender voor Office 365. Deze tool maakt gebruik van geavanceerde detectietechnologieën die veel meer doen dan alleen het identificeren en blokkeren van verdachte QR-codes. Ze scannen e-mails en analyseren de URL’s die achter de QR-codes schuilgaan voordat eventuele schade kan worden aangericht. Op die manier heeft Microsoft al 18 miljoen unieke QR-code-phishingaanvallen kunnen detecteren en blokkeren.

Daarnaast beschikt het Microsoft Platform over allerlei beschermingsmaatregelen voor het beter beveiligen van privé apparaten, ook wel Bring Your Own Devices (BYOD) genoemd. Met deze maatregelen krijg je meer controle over wie en hoe er op de Microsoft omgeving aangemeld kan worden vanuit Android & iOS (Apple) apparaten. Het is erg belangrijk om hier aandacht aan te besteden, want 9 van de 10 keer wordt de QR-code met een privé apparaat gescand.

Bewustzijnstrainingen

Een andere effectieve manier om je organisatie te beschermen is door medewerkers deel te laten nemen aan awareness trainingen, ook wel bekend als attack-simulation-trainingen. Binnen je Microsoft-omgeving kun je deze trainingen lanceren en aanpassen aan de behoeften van je organisatie. Op die manier kun je dus ook nep phishing pogingen met QR-codes inzetten om medewerkers te testen op hun alertheid. Als iemand een verdachte QR-code scant, kan je deze persoon meteen een bijbehorende training aanbieden om het cyberbewustzijn te vergroten. Want hoe stevig je je IT-omgeving ook beveiligt, als je medewerkers – onbedoeld – de virtuele deur openzetten, is al je moeite voor niets geweest.

Geïnspireerd?

Wil je kwetsbaarheden voorkomen? Ons team kan je helpen met goed doordachte phishingtests of waardevolle gebruikersbewustzijnstrainingen. Dat kan in allerlei vormen, zoals video’s of interactieve inhoud. Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt! Verder lezen?

Download onze whitepaper.

Security Basics Download Whitepaper - 2source4


Opgelicht worden met een QR-code? Dit moet je weten om veilig te blijven

In een van onze vorige blogs schreven we al hoe phishingmethoden voortdurend evolueren, en cybercriminelen steeds inventiever worden. Deze ontwikkelingen dwingen ons allemaal om alert en proactief te blijven als het gaat om digitale veiligheid. Lang werd MFA gezien als de holy grail van cybersecurity. In deze blog vertelt Myron Helgering, onze Solution Consultant, waarom alleen MFA niet meer voldoende is. Natuurlijk vertelt hij ook wat je wel kunt doen om je bedrijfsomgeving veilig te houden.

Wat is MFA?

Steeds meer organisaties raken doordrongen van het belang van een robuuste digitale beveiliging. Als reactie hierop ondernemen zij actieve stappen om hun systemen te beveiligen, waaronder het implementeren van Multi-Factor Authenticatie (MFA). Maar wat is MFA eigenlijk precies? Het is een beveiligingsmethode waarbij je twee of meer bewijzen (factoren) moet geven om te bewijzen dat jij echt jij bent, voordat je toegang krijgt tot je account of systeem. Denk aan het invoeren van je wachtwoord (iets wat je weet), dan het invoeren van iets wat je hebt (zoals een code die naar je telefoon wordt gestuurd) en/of iets wat je bent (zoals een vingerafdruk, een gezicht of je stem). Dit maakt het veel moeilijker voor iemand anders om ongeoorloofde toegang te krijgen, zelfs als ze je wachtwoord kennen. 

De zoektocht naar access-tokens

Lange tijd bood MFA voldoende bescherming in situaties waar een kwaadwillende je wachtwoord had bemachtigd. Maar helaas, hedendaagse aanvallers richten zich niet enkel op wachtwoorden; ze zijn uit op iets veel krachtigers: de accesstoken. Als cybercriminelen je accesstoken in handen krijgen, kunnen ze inloggen zonder dat MFA vereist is. Dit vormt een ernstige bedreiging. Gelukkig zijn er een aantal manieren waarop we ons hiertegen kunnen wapenen. Zelfs zoveel dat ik ze niet allemaal in één blog kan bespreken. 

De introductie van passkeys

In deze blog bespreek ik de eerste innovatieve inlogmethode: passkeys. Deze inlogmethode is niet alleen wachtwoordloos – hoe fijn dat je dat onmogelijke wachtwoord niet meer hoeft te onthouden –, maar het is, behalve veilig, ook heel gebruiksvriendelijk en intuïtief. Deze zogenaamde passkeys worden namelijk deels opgeslagen in een beveiligd deel van het apparaat zelf, in de TPM-chip om precies te zijn. Als een aanvaller dus probeert in te loggen met alleen een access-token, zal dit niet succesvol zijn. Je access-token functioneert namelijk alleen in combinatie met jouw specifieke apparaat. Een passkey is gebaseerd op het principe dat je dezelfde methode gebruikt om je apparaat te ontgrendelen om in te loggen op apps en websites. Dat is een van de grootste verschillen tussen old-skool passwords en de moderne passkeys. Zo werkt bijvoorbeeld je Facebook-wachtwoord overal waar je toegang hebt tot Facebook. Maar een passkey is gekoppeld aan het apparaat waarop het werd aangemaakt. 

 

 

Efficiëntie en gebruiksgemak

In tegenstelling tot andere methoden die extra infrastructuur of hardware vereisen, werken passkeys al met de bestaande Microsoft Authenticator-app of Windows Hello for Business-oplossing. Dit is niet alleen kostenbesparend, maar ook gemakkelijk voor medewerkers die al bekend zijn met deze technologieën. De overstap naar passkeys zal dan ook een relatief kleine verandering zijn. 

De toekomst vraagt om adaptieve oplossingen

De voortdurende evolutie van cybersecurity vraagt om adaptieve oplossingen zoals passkeys, die zowel gebruiksvriendelijk als veilig zijn. Wij zijn heel enthousiast over deze aankondiging van Microsoft en kijken ernaar uit om dit te implementeren bij al onze klanten. In volgende blogs zal ik dieper ingaan op andere phishingresistente authenticatiemethoden en diverse andere mogelijke technische maatregelen om je digitale beveiliging verder te versterken en je organisatie te beschermen tegen geavanceerde cyberdreigingen. 

Geïnspireerd?

Ben je door deze blog nieuwsgierig geworden naar passkeys en wil je meer weten over hoe deze technologie jouw organisatie kan beschermen? Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt!


Multi Factor Authenticatie is dat nog wel veilig?

In de snel evoluerende digitale wereld staat de beveiliging van data en systemen centraal. Maar het verandert steeds sneller. In deze blog verkent Jeroen Bol, securityengineer bij 2source4, enkele van de trends en voorspellingen die van invloed zijn op de toekomst van digitale beveiliging.  

1. De opkomst van artificial intelligence (AI) 

AI heeft niet alleen ons dagelijks leven veranderd, het heeft ook een enorme impact op digitale beveiliging. Het biedt mogelijkheden om onze cybersecurity en ons vermogen om te reageren op bedreigingen te verbeteren. Maar laten we eerlijk zijn, cybercriminelen zitten niet stil. Ook zij omarmen dezelfde technologie en dat betekent dat de dreiging groter wordt. Het blijft een kat-en-muisspel, waarbij zowel de virtuele kat als de muis baat heeft bij de mogelijkheden van AI. 

AI in de praktijk: Deep fakes en identiteitsfraude 

We schreven al eerder een blog over nieuwe, creatieve phishing-methoden. Een andere zorgwekkende trend die we in de toekomst kunnen verwachten, is de opkomst van deep fakes en identiteitsfraude. Het creëren van foto’s, audio- en videobestanden waarmee cybercriminelen zich voordoen als iemand anders – je partner, je kind of je werkgever – kan verstrekkende gevolgen hebben. Dat blijkt wel uit dit CNN-artikel waarin wordt beschreven hoe nepontvoerders Jennifer DeStefano om de tuin leidden doordat ze haar dochters stem hadden gekopieerd met behulp van AI.  

2. Bewustwording groeit, ook bij kleinere bedrijven 

Begrijpelijk dat DeStefano hierin trapte, maar het bewijst maar weer dat de mens nog steeds de zwakke schakel in beveiliging is. Bewustwordingstrainingen blijven dan ook extreem belangrijk. Gelukkig merken wij dat bedrijven zich steeds meer bewust worden van de digitale dreigingen. De meeste grotere organisaties hebben al beveiligingstrainingen en -maatregelen ingevoerd, maar ook andere bedrijven beginnen steeds meer aandacht te besteden aan hun digitale beveiliging. Een positieve ontwikkeling, want kleinere bedrijven zijn minstens zo kwetsbaar als de grote bedrijven, juist doordat ze minder focussen op digitale beveiliging. 

3. NIS2: De nieuwe beveiligingsstandaard

Laten we ook NIS2 niet vergeten. Deze nieuwe EU-richtlijn voor netwerk- en informatiebeveiliging legt strengere beveiligingsvoorschriften op aan organisaties, en dan met name aan kleine en middelgrote ondernemingen. Het is belangrijk dat bedrijven zich gaan voorbereiden op de implementatie van de richtlijn, die voor Nederland gepland staat voor 17 oktober 2024. Deze richtlijn heeft invloed op verschillende sectoren en kan ook kleinere bedrijven beïnvloeden, zeker als ze onderdeel zijn van de leveringsketen van grotere organisaties. 

Geïnspireerd? 

Hoe stevig je je IT-omgeving ook beveiligt, als je medewerkers – onbedoeld – de virtuele deur openzetten, is al je moeite voor niets geweest. Wil je kwetsbaarheden voorkomen? Ons team kan je helpen met een goed doordachte phishingtest of waardevolle gebruikersbewustzijnstrainingen. Dat kan in allerlei vormen, zoals video’s of interactieve inhoud. Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt! Verder lezen?Download onze whitepaper. 

 


De toekomst van digitale beveiliging. Trends en voorspellingen.

Phishing, de listige praktijken van cybercriminelen om mensen te verleiden vertrouwelijke informatie prijs te geven, is niet nieuw. We kennen allemaal de klassieke phishing-e-mails die ons vragen om op een dubieuze URL te klikken of verdachte bijlagen te openen. Maar de dagen van de overduidelijk malafide mails bomvol taalfouten, zijn voorbij. De wereld van phishing evolueert voortdurend, en cybercriminelen worden steeds inventiever. In deze blog gaan we dieper in op enkele minder bekende, maar verrassende phishing-methoden die je op je radar moet hebben.

QR-codes: een nieuw hulpmiddel voor phishing

Om detectie door anti-phishing-oplossingen te ontlopen, maken cybercriminelen steeds vaker gebruik van QR-codes in plaats van conventionele URL’s in hun e-mails. Deze QR-codes worden door beveiligingssoftware niet herkend als kwaadaardige links. Cybercriminelen gaan ervan uit dat mobiele – privé – telefoons minder goed worden beveiligd dan computers. Helaas blijkt dat vaak terecht. Als medewerkers zo’n QR-code scannen met hun telefoon, is de kans groot dat ze de mist in gaan. Daar zit je dan met je goed beveiligde computers…

Onze tip voor medewerkers: scan geen QR-codes van onbekende of verdachte bronnen. En voor beheerders: overweeg antivirusprogramma’s, zoals Microsoft Defender, voor telefoons om dit te voorkomen.

Microsoft Teams-berichten: phishing via een vertrouwd platform 

In plaats van traditionele e-mails maken kwaadwillenden nu ook gebruik van platforms zoals Microsoft Teams om berichten te verzenden met links naar malafide sites. Ze presenteren zich bijvoorbeeld onder de naam van een collega of doen zich voor als een leverancier of andere bekende. Zo proberen ze je te verleiden om op links te klikken.

Onze tip voor medewerkers: wees extra waakzaam als je een bericht van externe bronnen krijgt en vertrouw niet zonder meer op de afzender. Is die zogenaamde collega wel echt een collega? Beheerders kunnen de optie Safe Links in Microsoft Teams inschakelen via Microsoft Defender voor Office.

Consent-phishing: misleidende toestemmingsverzoeken

Bij consent-phishing sturen aanvallers je een verzoek om toestemming te geven voor toegang tot bepaalde gegevens, zoals je contacten in Outlook of updates voor je Microsoft-account. Dit zijn echte toestemmingsverzoeken, met het doel dat jij toestemming geeft voor iets waar je geen toestemming voor moet geven.

Onze tip voor medewerkers: geef nooit toestemming aan applicaties die je niet kent, en lees de verzoeken zorgvuldig door. Beheerders kunnen instellen dat medewerkers eerst goedkeuring van een beheerder moeten krijgen voordat ze zelf toestemming kunnen geven.

Delen via cloudopslagdiensten: verborgen malware

Phishers kunnen ook malafide bestanden delen via cloudopslagdiensten zoals OneDrive, Google Drive en Dropbox. De links naar deze bestanden zijn legitiem. Immers, ook je buurman of collega kan een link delen naar een bestand op hun cloudopslagdienst. Eén verschilletje: als je – nietsvermoedend – de link naar het bestand van de hacker opent, wordt er malware geactiveerd.

Onze tip voor medewerkers: controleer zorgvuldig of de persoon die het bestand deelt echt de persoon is die je denkt, voordat je naar de gedeelde opslag gaat. Beheerders kunnen algemene beveiligingsmaatregelen implementeren om malware te herkennen en te stoppen.

Bewustwording is key

Het is lastig om je voortdurend tegen alle phishing-methoden te beschermen, omdat cybercriminelen steeds slimmer worden en anti-phishing-systemen steeds vaker weten te omzeilen. Daarom is bewustwording van je medewerkers cruciaal. Zorg dat je medewerkers op de hoogte zijn van phishing-methoden en leer ze geen risico’s te nemen als ze iets verdachts tegenkomen. Alleen zo kun je je als organisatie wapenen tegen deze voortdurend evoluerende cyberdreigingen.

Geïnspireerd?

Hoe stevig je je IT-omgeving ook beveiligt, als je medewerkers – onbedoeld – de virtuele deur openzetten, is al je moeite voor niets geweest. Wil je kwetsbaarheden voorkomen? Ons team kan je helpen met goed doordachte phishingtests of waardevolle gebruikersbewustzijnstrainingen. Dat kan in allerlei vormen, zoals video’s of interactieve inhoud. Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt! Verder lezen? Download onze whitepaper.


Creatieve phishing-methoden. Blijf altijd alert op nieuwe dreigingen