Ondernemers dupe van sticker truc

Door op opengemaakte rekeningen van overheidsinstanties een sticker met hun eigen bankrekeningnummer te plakken, zijn oplichters erin geslaagd bedrijven in de provincies Friesland en Noord-Holland tienduizenden euro´s te ontfutselen (bron).

Na de spookfacturen een nieuwe en verbluffend simpele methode om de financiële crisis door te komen. Nadeel van dit soort simpele methodes is het copycat gedrag van mensen. Ik zie de hengeltjes alweer te voorschijn komen, even je brievenbus hengelen, stickertjes plakken en je komt de maand weer door.

De oplossing om dit te voorkomen is natuurlijk net zo simpel als de oplichtingstruc. Gewoon controleren of er geen sticker geplakt is op de factuur en als je het niet vertrouwt even de originele verzender contacten.

Top 100 gevaarlijkste websites op internet

Je kan beter geen pornosites bezoeken, schrijft Symantec. Zij onderzochten de 100 gevaarlijkste websites op het web en (hoe verrassend) ontdekte dat 48% pornografie bevat, op zich niet gevaarlijk, toch? Maar een ander kenmerk van deze “dirty sites”, is de hoeveelheid malware en dreigingen waar ze bezoekers aan blootstellen (leuke woordkeus, zie bron). Een gemiddelde kwaadaardige website bevat 23 dreigingen. Bij een site uit de Top 100, zijn dit er 18.000.

Een overzicht van een deel van de “dirty sites” is op deze pagina te vinden.

Waarschijnlijk hebben we binnenkort weer wat laptops van mensen virusvrij te maken…maar dit soort sites zijn natuurlijk niet bezocht. Weet je nog hoe het ging met “Sex voor de Buch”? Niemand had het destijds gezien, maar iedereen kon erover meepraten.

Websites overheid onveilig

De websites van de overheid bieden criminelen ruimschoots de gelegenheid zonder problemen (persoons)gegevens van Nederlanders te pakken te krijgen, zo blijkt uit onderzoek van internetbeveiligingsbedrijf Networking4all. In het slechtste geval kan een crimineel de complete identiteit van een persoon overnemen. Met alle vreselijke gevolgen van dien. Gevolgen die veel verder gaan dan alleen creditkaart fraude.

Hoewel dit onderzoek zich specifiek heeft gericht op de zogenaamde SSL-certificaten binnen de overheid is al langer bekend dat websites in veel gevallen vatbaar zijn (bijvoorbeeld voor Cross-site scriptin: XSS). Deze onveiligheden betreffen zeker niet alleen websites van de overheid maar ook van commerciele organisaties (zoals banken, zorgverzekeraars), stichtingen, verenigingen en zorginstellingen. Niet alleen kunnen criminelen zo in het bezit komen van privacy gevoelige gegevens, ze zijn ook in staat om websites van organisaties plat te leggen. Als uw organisatie voor (een deel van) de omzet afhankelijk is van de website is het verstandig te onderzoeken voor welke kwetsbaarheden de website vatbaar is. De voordeur van uw winkel doet u op slot en een alarmsysteem hebben we inmiddels ook allemaal wel, waarom laten we de website dan zo open staan?

Printer is goudmijn voor datadieven

De beveiliging van printers en geprinte vertrouwelijke documenten bij bedrijven is slecht geregeld, zo blijkt uit onderzoek van Samsung. Zo ziet 56% van het personeel regelmatig vertrouwelijke stukken verlaten in de printer liggen en iets meer dan de helft is niet bekend met maatregelen om het printernetwerk te beveiligen. Met name mensen die in de financiele sector werken (68%) lopen vaak tegen gevoelige informatie aan die voor het oprapen ligt. In de gezondheidszorg gaat het om 34% van de werknemers die persoonlijke patientgegevens bij de printers vindt. Het zijn ook de gegevens van collega’s die hierdoor voor anderen inzichtelijk worden. Negentien procent ontdekte zo de salarisgegevens van andere werknemers, voortgangsgesprekken en C.V.’s.

De juiste combinatie van technische, procedurele, organisatorische, bouwkundige en elektronische op de organisatie toegesneden maatregelen kunnen de diefstal van vertrouwelijke stukken voorkomen. Zo kan er bijvoorbeeld voor worden gekozen vertrouwelijke stukken alleen op geselecteerde printers te laten printen (technische maatregel), procedureel kunnen medewerkers bewust gemaakt worden vertrouwelijke stukken niet op de printers achter te laten. Medewerkers kunnen persoonlijk verantwoordelijk gemaakt worden voor vertrouwelijke stukken (organisatorische maatregel) en printers voor vertrouwelijke stukken kunnen geplaatst worden in afgescheiden ruimtes met inbraakdetectie of biometrische toegangssystemen (bouwkundige en elektronische maatregelen).

Belangrijk is om de te nemen maatregelen af te stemmen op de processen en cultuur binnen de organisatie.

Steeds meer it’ers stelen bedrijfsgeheimen

Ongeveer 35 procent van het IT-personeel met adminrechten bekijkt zonder toestemming bedrijfsgevoelige informatie. Vooral klantgegevens, e-mailwachtwoorden en strategische bedrijfsplannen blijken gewilde prooien.

Populairste gevoelige informatie in 2009:

1. Klantgegevens
2. Het adminaccount van de e-mailserver
3. Strategische plannen
4. Onderzoeksplannen
5. Het wachtwoord van de CEO
6. Financiele rapportages
7. Wachtwoordlijsten

De vraag: wie controleert de controleur speelt hierbij een belangrijke rol. Binnen organisaties heeft IT-personeel rechten om beheeractiviteiten uit te kunnen voeren. Dat moet ook wel omdat ze anders hun werkzaamheden niet kunnen doen. Er is echter een verschil tussen het beheren van de gegevens en de inhoud van de gegevens. Om beheeractiviteiten (zoals back-up en restore) uit te kunnen voeren hoeven de beheerders niet bij de inhoud van de gegevens te kunnen.

Databeveiliging is hierbij van groot belang. Er moet binnen organisaties gekeken worden naar de rechten die benodigd zijn voor beheerders, meer rechten dan strikt noodzakelijk moeten niet worden vrijgegeven omdat anders de informatie in verkeerde handen kan komen. Encryptie van gegevens kan hierbij een mogelijke oplossing zijn.

Effectiviteit security-maatregelen simpel meten

IT-ers hebben de neiging om veel te complexe standaarden te gebruiken om de security-situatie in hun organisatie inzichtelijk te maken. Probeer daarom de security-problemen zo weer te geven dat iedereen het kan begrijpen.

Beveiligingsmaatregelen worden vaak “verkocht” vanuit een angstscenario dat negatieve emoties oproept en minder vanuit een risico analyse waarbij op basis van een kosten/baten-analyse de juiste maatregelen worden geimplementeerd.

Juist door reeel te kijken naar de risico’s die een organisatie loopt kunnen de juiste en de juiste combinatie van maatregelen genomen worden. De risico’s die reeel zijn verschillen per organisatie, zo zal de ene organisatie meer last ondervinden van een brand terwijl de andere juist weer moeite heeft met netwerkverstoringen.

De recessie leidt tot extra fraude

Bijna zestig procent van het ontslagen personeel steelt bij het ontslag vertrouwelijke bedrijfsgegevens waaronder klantgegevens, aldus onderzoek van Symantec en het Ponemon Instituut. In de meeste gevallen zijn het e-mailadressen, personeelsgegevens, contactgegevens en niet de financiele informatie die men meeneemt.

Niet de USB-stick (42%), maar CD’s en DVD’s zijn met 53% het populairste medium om gegevens op te bewaren. 38% stuurt de informatie naar een persoonlijk e-mailadres. In 79% van de gevallen doen werknemers dit zonder toestemming van de werkgever. Werkgevers valt ook het nodige te verwijten. Zo heeft 24% van het voormalige personeel na het ontslag nog steeds toegang tot het bedrijfsnetwerk.

Het is een gegeven dat in economisch moeilijke tijden zoals de krediet crisis waarin we zitten personeelsleden worden ontslagen, ze gefrustreerd zijn en/of onzeker zijn over de toekomst. Interne fraude neemt in deze tijden toe, terwijl de budgetten om de interne fraude te beperken en te onderzoeken juist afnemen.De recessie gaat leiden tot extra fraude. Dat concludeert Tweede Kamerlid en oud-aanklager Fred Teeven.

Om dergelijke risico´s te beperken moet de controle op interne fraude worden verscherpt en moet geinvesteerd worden in (o.a. technische) oplossingen om toezicht te houden op informatie die de organisatie op ongeautoriseerde wijze verlaat.

Lek in HP printers geeft hackers toegang tot bestanden

Printerfabrikant HP waarschuwt voor een beveiligingslek in verschillende LaserJet printers waardoor aanvallers toegang tot bestanden op de printer kunnen krijgen. Het gaat onder andere om de configuratie van de pinter, maar nog veel erger om gecachte versies van geprinte documenten. Als oplossing heeft HP nieuwe firmware uitgebracht, maar ook het uitschakelen van de interface wordt geadviseerd.

Er wordt steeds meer apparatuur op het bedrijfsnetwerk aangesloten. Printers, kopieerapparaten en zelf koffieautomaten krijgen hun plek in het netwerk. Bij veel van deze apparatuur is een connectie via internet mogelijk, bedoeld voor onderhoud van de apparatuur, maar bij foutieve configuratie geven deze connecties grote risico´s voor het bedrijfsnetwerk.

Een duidelijke netwerk architectuur geeft de mogelijkheid tot een goed inzicht in de connecties die in uw netwerk aanwezig zijn. Op basis van deze architectuur kan een goede beveiligingsarchitectuur worden opgezet. Op deze manier ontstaat een inzicht in de connecties en kunnen de nodige beveiligingsmaatregelen genomen worden om ongeautoriseerde toegang of virus injectie te voorkomen of de gevolgen ervan te beperken.

Werknemer computerwinkel kopieert creditcards 4000 klanten

Een werknemer van de Amerikaanse computerketen Best Buy is door de Secret Service gearresteerd wegens het op grote schaal kopieren van creditcards van klanten. De inmiddels ontslagen man gebruikte hiervoor een skimapparaat dat hij in de winkel had verborgen. Best Buy schat dat zo’n vierduizend klanten mogelijk de dupe zijn geworden, die inmiddels allemaal per brief zijn ingelicht.

Uit bovenstaand incident blijkt maar weer hoe gemakkelijk het voor insiders is om de beveiliging te omzeilen. Nog te vaak denken organisaties dat de grootste dreigingen van buiten komen en wordt de interne dreiging onderschat. Juist in tijden van een financiele crisis worden medewerkers onzeker en is extra intern toezicht belangrijk.

Een interne medewerker die een dergelijk incident veroorzaakt levert niet alleen imagoschade op voor de organisatie maar kan ook grote juridische en financiele gevolgen hebben. Maar zult u zeggen dit gebeurt in Amerika, in Nederland horen we niet veel van dit soort incidenten. Daar is een eenvoudige verklaring voor: in Amerika zijn organisaties verplicht dergelijke incidenten openbaar te maken, in Nederland geldt dat nog niet. Gebeurt dit dan niet in Nederland? Ja zeker wel, alleen worden deze incidenten niet inzichtelijk gemaakt.

Werkgevers en criminelen ook op hyves

9. February 2009

Werkgevers en directies van scholen blijken populaire vriendensites als Hyves dankbaar te gebruiken om te kunnen checken of personeelsleden of leerlingen stiekem spijbelen.

Hyves, met 7 miljoen leden de grootste vriendensite van ons land, heeft hierover meermalen meldingen binnen gekregen van gebruikers. Hoewel de mogelijkheid al langer bestaat om je onzichtbaar te maken voor bepaalde ‘cybervrienden’ is Hyves deze week een campagne begonnen om deze optie nog eens onder de aandacht te brengen.

De eenvoudigste manier is uiteraard om personen, die zichzelf uitnodigen als Hyves-vriend, simpelweg te weigeren. Maar Hyves-oprichter en directeur Raymond Spanjer erkent dat dit niet altijd zo makkelijk gaat ‘uit oogpunt van beleefdheid of sociale druk’: “Aanvankelijk zijn we begonnen als een vriendensite voor studenten, maar zo onderhand zijn we een nationaal platform geworden. De kans is echter groot dat je niet altijd zit te wachten om je hele Hyves-hebben en houden te delen met dergelijke vrienden.”

Spanjer bevestigt dat er meermalen meldingen binnen zijn gekomen van gebruikers die wisten te vertellen dat ze door de mand zijn gevallen omdat ze een dagje spijbelden door zich ten onrechte ziek te melden. Vervolgens wist de baas of schooldirecteur de volgende dag te vertellen dat ze kennelijk toch niet ziek genoeg waren om volop actief te zijn op internet.

Daarop is besloten de programmatuur aan te passen. De komende dagen worden mailtjes gestuurd naar alle Hyves-gebruikers, waarin ze op de mogelijkheid worden gewezen om bepaalde diensten onzichtbaar te maken of dat berichten alleen naar zelf geselecteerde personen worden verstuurd.

Ook criminelen gebruiken sociale netwerken voor het winnen van informatie. Veel gebruikers laten gegevens van zichzelf achter, zodat spammers doelgerichte emails kunnen versturen die van een vertrouwde afzender lijken te komen. Een ander voorbeeld van misbruik van deze, vrij beschikbare persoonlijke, informatie is social engineering. Criminelen hoeven niet ver te zoeken om je juiste gegevens bij elkaar te brengen.

Belangrijk is dat u uw medewerkers bewust maakt van de risico’s die internet in het algemeen en sociale netwerken in het bijzonder met zich meebrengen. Voorzichtig omgaan met persoonlijke informatie en bedrijfsinformatie is het advies. Een goed opgezette security awareness campagne biedt hiervoor een goed middel.