Ti(c)(k)T*(c)(k)

Sinds mensenheugenis brengt de Belgische televisie het peuterprogramma Tik Tak voort. Net zo lang bestaat ook het snoepje Tic Tac, in dat mooie, doorzichtige doosje (een oom van mij heeft ooit getest hoe vaak hij het klepje daarvan moest openen en sluiten voordat het afbrak; dat liep geloof ik in de duizenden en het fascineerde mij als kind dat een volwassene tijd in zoiets stak – maar dat allemaal terzijde).

En nu is er 抖音.Dat is Chinees en betekent TikTok (met dank aan Wikipedia). Voor de lezers die geen kinderen in de TikTok-gerechtigde leeftijd hebben, zal ik kort uitleggen wat dat is. TikTok is een app in de categorie sociale media, bedoeld om korte video’s – we praten over secondenwerk – te maken en natuurlijk te delen. Vaak wordt er gedanst, gezongen en geplaybackt. Dat laatste levert dan bijvoorbeeld een filmpje op van een tienermeisje dat met de stem van Donald Trump iets doms zegt. Dat soort dingen.

Er is beroering rondom deze app ontstaan. India heeft hem verboden, de VS denken daar ook over na en in Nederland heeft de Autoriteit Persoonsgegevens haar kritische blik op de app laten vallen. Wat is er toch aan de hand? Wel, in India zit het TikTok-verbod in een pakket van tientallen andere apps en gaat het om een vergelding voor een dodelijk gevecht tussen Indiase en Chinese militairen in betwist grensgebied, aldus de Volkskrant. Op nu.nl staat echter een heel ander verhaal: het ministerie van Electronica en Informatietechnologie (dat hebben ze daar!) zou veel bezorgde berichten van burgers hebben ontvangen over de veiligheid van hun gegevens in die apps. De privacyvoorwaarden zouden ernstig rammelen. De Amerikanen zijn sowieso kritisch op Chinese technologie, getuige ook hun afkeer van de 5G-apparatuur van Huawei. Ze zijn bang voor spionage, maar ook bezorgd om de privacy van hun burgers (privacyvrees is in Amerika vaak vooral buitenlandgericht). De minister van Buitenlandse Zaken (zie je wel) zegt dat Amerikanen TikTok alleen moeten gebruiken “if you want your private information in the hands of the Chinese Communist Party” (bron: bbc.com).

Het bezwaar van die landen ligt dus op het gebied van privacy, maar er zit ongetwijfeld ook een vleugje powerplay aan vast. Bij ons kijkt de Autoriteit Persoonsgegevens naar de app, je mag verwachten dat die zich alleen met het eerste aspect bezighouden. Wat zeggen zij? Op hun website staat: ‘We zien dat ontzettend veel Nederlandse kinderen met veel plezier gebruik maken van TikTok. We doen onderzoek naar de vraag of deze app privacyvriendelijk is ontworpen en ingericht.' Daarnaast kijken we of de informatie die kinderen van TikTok krijgen bij het installeren en gebruiken van de app goed te begrijpen is en of er voldoende uitleg is over hoe TikTok hun persoonsgegevens verzamelt, verwerkt en verder gebruikt. Tot slot onderzoeken we of toestemming van ouders vereist is wanneer TikTok persoonsgegevens van kinderen verzamelt, opslaat en verder gebruikt.’ Er staat niet bij wat de aanleiding voor het onderzoek is, maar ze lezen daar natuurlijk ook de krant. “Later dit jaar” presenteert de AP “de eerste resultaten” van het onderzoek.

Behalve dat de critici vrezen voor een gegevensstroom richting China, hoor je ook dat de app om veel te ruime bevoegdheden op je smartphone zou vragen (waardoor de app nóg meer gegevens naar huis kan sturen). Laten we eens een kijkje nemen op Google Play. Daar staan de toegangsrechten van de app keurig opgesomd. Eerst maar de voor een dergelijke app voor de hand liggende rechten: opslag, microfoon, foto's/media/bestanden, contactpersonen (’t is een social media-app hè). En verder: apparaat- en app-geschiedenis (welke apps er draaien), identiteit (accounts toevoegen of verwijderen), informatie over wifi-verbinding, , camera, overig. Opvallende afwezige: locatie. Die had ik hier eigenlijk wel verwacht – niet omdat het nodig is voor de functionaliteit voor de app, maar omdat app-ontwikkelaars deze machtiging vaak ‘gewoon’ vragen en het voor de hand ligt dat een van spionage betichte app wil weten waar je bent. Er blijven echter voldoende spionagemogelijkheden over: opslag betekent dat ze alle bestanden kunnen lezen, met de microfoon en camera kunnen ze naar je luisteren en kijken (ook stiekem, als de app zo gemaakt is), je contactpersonen zijn altijd interessant en je wifi-verbinding zegt ook iets over je locatie. Onder ‘overig’ zitten nog zestien afzonderlijke machtigingen verborgen, waaronder run at startup (de app start automatisch als de telefoon wordt aangezet).

Ik heb, ter vergelijking, ook even naar de rechten van de Facebook-app gekeken. Die kan zo’n beetje alles wat TikTok ook kan en kijkt daarnaast in je agenda, weet waar je bent, kan telefoneren en heeft controle over je NFC-chip (waarmee je kunt pinnen). Zeg het maar, wil je door de hond of door de kat gebeten worden? Ik wil niet een bepaalde app zwart maken, maar ik zie wel graag dat je bewuste keuzes maakt. Overigens schijnen er ook volwassenen te zijn die dergelijke apps gebruiken. Niks mis mee, maar vraag jezelf wel indringend af of je zoiets op je zakelijke telefoon moet willen hebben. Hint: ik zou het niet doen.

Voor de meer politiek getinte bezwaren geldt natuurlijk: zoals het klokje thuis ti(c)(k)t, t*(c)(k)t het nergens.

Dit is de laatste Security (b)log voor de zomervakantie. In september pak ik de draad weer op.

En in de grote boze buitenwereld …

... deelt Apple gratis iPhones uit. Aan beveiligingsonderzoekers, onder strenge voorwaarden.
https://www.grahamcluley.com/free-iphone-apple-bug-hunters/

... beschuldigt Amerika China van grootschalige diefstal van geheimen. Niet zomaar in het wilde weg, maar via een aanklacht jegens twee statelijke hackers.
https://arstechnica.com/tech-policy/2020/07/doj-accuses-chinese-hackers-of-trying-to-steal-covid-19-research-data/

... konden Twitterhackers dus inderdaad privéberichten van Geert Wilders inzien. Maar daar ging het waarschijnlijk helemaal niet om, en ook niet om die paar bitcoins die ze aan de hack hebben verdiend.
https://www.volkskrant.nl/nieuws-achtergrond/twitterhackers-hadden-toegang-tot-de-priveberichten-van-geert-wilders~b26ba4b3/

... hadden duizenden medewerkers van Twitter mogelijkheden om bovenstaande hack te faciliteren.
https://www.security.nl/posting/665535/Reuters%3A+duizend+Twittermedewerkers+konden+accountinstellingen+aanpassen

... hoeft Europa niet wakker te liggen van de Amerikaanse CLOUD Act.
https://blog.iusmentis.com/2020/07/23/hoe-problematisch-is-de-cloud-act-nu-echt/

... testte de New York Times diverse VPN’s. Het artikel geeft ook uitgebreide uitleg over dergelijke diensten.
https://www.nytimes.com/wirecutter/reviews/best-vpn-service/

... heeft het NCSC de Factsheet Risicobeheersing voor topmanagers en CISO’s uitgebracht.
https://www.ncsc.nl/documenten/publicaties/2020/juli/21/factsheet-risicobeheersing

... is het niet zo vanzelfsprekend dat je bij een reservering in een restaurant je naam opgeeft op basis van de corona-verplichting om te reserveren.
https://www.security.nl/posting/665291/Valt+het+momenteel+verplicht+reserveren+voor+horeca+etc_+ook+onder+de+AVG%3F

... biedt een digitale handtekening onder een PDF-document even geen zekerheid omtrent de inhoud
https://www.security.nl/posting/665445/Onderzoekers+manipuleren+inhoud+van+gesigneerde+pdf-documenten

Wachtwoord gelogd

“D1tismijnw8chtwoord#tra!@litralAla”. Enter. Huh? Wachtwoord fout? O, ik zie het al. Ik dácht dat ik hier al ingelogd was en alleen hoefde te ontgrendelen, maar dat klopt niet. Ik heb dus mijn wachtwoord in het veld voor de gebruikersnaam getypt en geënterd. Gewoon opnieuw proberen. Niks aan de hand. Of…?

Je voelt het addertje onder het gras al aan je in flipflops* gestoken tenen knabbelen, hè? Dat zit zo. Omdat er nu eenmaal onaardige mensen bestaan, moet je computersystemen beschermen tegen indringers. Zo iemand zou kunnen denken: weet je wat, ik probeer gewoon eens een gebruikersnaam en een wachtwoord en dan zie ik wel wat er gebeurt. Als hij dat heel vaak doet, dan heeft hij misschien een keer geluk en komt hij binnen.

Maar hij kan zijn geluk een handje helpen. Misschien is het niet zo moeilijk om een correcte gebruikersnaam te bedenken, bijvoorbeeld omdat een organisatie daar een vast stramien voor gebruikt (ik noem maar eens wat: een deel van je achternaam, een voorletter en een volgnummer). Als er dan een Jansen of De Vries werkt, dan heb je zo een valide gebruikersnaam te pakken.

En veel mensen hebben helaas nog steeds bedroevende wachtwoorden, zo blijkt steeds weer uit onderzoeken en gelekte wachtwoorddatabases. Met ‘geheim’, ‘w@chtWo0rd’, ‘1234567890’, ‘qwertyuiop’ en ‘uiophjklvbnm’ val je echt door de mand, mensen, ook al vervang je letters door tekens en cijfers en lijkt dat laatste wachtwoord door zijn lengte een flinke kluif voor kraakprogramma’s te zijn (kijk maar eens op je toetsenbord waarom dat toch een slecht wachtwoord is). Ach ja, ik heb het al vaker gezegd: de techniek moet eens gauw met een veilig, universeel toepasbaar alternatief komen, zodat wij zwakke mensen niet meer met wachtwoorden hoeven te dealen.

Goed, er zijn dus mensen die ergens proberen in te loggen zonder dat ze daar recht op hebben. Als beheerder van zo’n potentieel doelwit wil je weten of dat op jouw systeem gebeurt. En dus laat je je systeem vastleggen als er iets gebeurt dan mogelijk van belang kan zijn dat de beschikbaarheid, integriteit of vertrouwelijkheid van je systeem en je gegevens zou kunnen aantasten. Middels logging kun je van alles vastleggen: dat een harde schijf bijna vol is, dat iemand een bepaald gegeven heeft gewijzigd en dat bij iemand een virus is gesignaleerd. En dus ook dat er een mislukte inlogpoging heeft plaatsgevonden.

Het overkomt iedereen wel eens dat hij een typfout maakt in z’n wachtwoord, zeker als dat een wachtwoord is dat aan allerlei complexiteitseisen voldoet. Dan staat er in het logbestand: mislukte login voor gebruiker xyz. Bij een integer opgezet systeem hoef je niet bang te zijn dat het ingetypte wachtwoord ook wordt gelogd. Stel je voor zeg: de fout zit waarschijnlijk in één positie, waardoor het loggen van het ingetypte wachtwoord het grootste deel ervan zou prijsgeven aan iedereen die het logbestand kan inzien.

Maar nu komt het: als je de fout maakt die ik in de eerste alinea beschreef, dan staat je wachtwoord op de plek waar eigenlijk je gebruikersnaam zou moeten staan. Omdat je vervolgens entert met een leeg wachtwoordveld, is er sprake van een mislukte login. Dat wordt natuurlijk gelogd. Daar gáát je wachtwoord. In de logging staat nu: mislukte login voor gebruiker D1tismijnw8chtwoord#tra!@litralAla.

Wat moet je nu doen? Wat je altijd moet doen als je weet of vermoedt dat je wachtwoord is uitgelekt: als de sodemieter wijzigen. Je hoeft echt niet te wachten tot het systeem zegt dat je wachtwoord verloopt; op bijvoorbeeld een Windows-computer druk je op ctrl-alt-delete en kies je vervolgens voor ‘Wachtwoord wijzigen’. Ook andere systemen bieden de mogelijkheid om je wachtwoord op eigen initiatief te wijzigen. Als je hetzelfde wachtwoord ook voor andere systemen gebruikt, dan moet je het daar ook wijzigen. In de grote boze buitenwereld wordt het hergebruiken van wachtwoorden trouwens sterk afgeraden, maar voor organisatie-interne systemen heb ik daar persoonlijk minder moeite mee. Mits je doet wat in deze alinea staat als het een keertje mis gaat.

*) Van Dale: scha­kel­ele­ment met twee in­stel­mo­ge­lijk­he­den dat na sig­naal­ont­vangst van de ene in de an­de­re stand om­slaat. Maar dat bedoel ik hier niet.

En in de grote boze buitenwereld …

... hebben Iraanse staatshackers hun werk gefilmd en per ongeluk op een vrij toegankelijke server opgeslagen.

https://www.wired.com/story/iran-apt35-hacking-video/

... is het Privacy Shield van tafel (afspraken tussen de EU en de VS over persoonsgegevens).

https://techcrunch.com/2020/07/16/europes-top-court-strikes-down-flagship-eu-us-data-transfer-mechanism/

... stond mijn Twitter-tijdlijn deze week bol van de hack op Twitter-accounts van bekende personen. Dit zijn wat mij betreft de belangrijkste artikelen hierover:

·         In het Nederlands: https://www.nrc.nl/nieuws/2020/07/15/accounts-prominente-twitteraars-en-bedrijven-gehackt-a4006093

·         Wat er gebeurd is:
https://www.wired.com/story/twitter-hacking-musk-obama-apple-biden-kanye/

·         Social engineering maakte de hack mogelijk:
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos

·         Hackers konden privéberichten lezen en dat, en niet de afgetroggelde bitcoins, is het grootste zorgpunt:
https://www.grahamcluley.com/the-twitter-hack-why-elon-musk-bill-gates-jeff-bezos-and-others-might-have-reason-to-be-worried/

·         Ontrafelt dit artikel wie er achter de hack zit: https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/

... zitten Amerikaanse inlichtingendiensten in hun maag met mondkapjes. Want die frustreren gezichtsherkenningssystemen (al las ik enkele weken geleden dat China dat probleem zou hebben opgelost).

https://theintercept.com/2020/07/16/face-masks-facial-recognition-dhs-blueleaks/

... leidde de corona-lockdown tot een flinke toename van spyware en stalkerware.

https://www.enterprisetimes.co.uk/2020/07/13/spyware-and-stalkerware-usage-surges-during-lockdown/

... adverteert iemand op het dark web met de gegevens van vele miljoenen hotelgasten van de MGM-keten.

https://threatpost.com/leaked-details-142-million-mgm-hotel-guests/157402/

... opende een politieke partij op gemeentelijk niveau een meldpunt cybercrime. Vreemd.

https://www.destentor.nl/apeldoorn/te-maken-gehad-met-cybercriminaliteit-in-apeldoorn-opent-het-cda-een-meldpunt~ac323ca7/

... blijven kwetsbaarheden in de meeste routers onbehandeld.

https://www.teiss.co.uk/all-home-routers-vulnerable-threats/

Niet om over naar huis te schrijven

Mail jij ook wel eens iets naar huis? Gek eigenlijk dat we dat zo noemen, het klinkt als een fysieke locatie, terwijl we er in feite een privé e-mailaccount mee bedoelen. Maar goed, we hebben allemaal al eens iets naar huis gemaild. Een herinnering aan iets, een link naar een interessante website die je tegenkwam, dat soort dingen.

Er zijn echter ook mensen die zakelijke informatie naar huis mailen. Daar moeten we het eens even over hebben. De kans is namelijk groot dat je dan iets doet wat niet mag. Waarschijnlijk besef je dat niet eens, want je doet het doorgaans met de beste bedoelingen. Maar ondertussen breng je zakelijke gegevens buiten de ICT-omgeving van de eigen organisatie. Die informatie reist via diverse mailservers naar (uiteindelijk) jouw computer. Voor al die systemen heeft jouw organisatie niet de verantwoordelijkheid, en kan zij dus ook niet weten of bepalen hoe goed ze beveiligd zijn. Veel organisaties vinden dat geen goed idee en hebben dat dan ook in hun beveiligingsbeleid staan.

De internationale beveiligingsnorm ISO27002 zegt het als volgt: “Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging”, en dan moet je “zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen”. Dat is wollige taal, ik weet het. Maar de crux is dat een organisatie, die zichzelf dit normenkader heeft opgelegd, maatregelen moet treffen om te verhinderen dat onbevoegden toegang tot niet-publieke informatie of systemen krijgen. En omdat de organisatie geen invloed op de beveiliging van jouw privécomputer heeft, heb je bij deze de beleidsmatige onderbouwing van hetgeen ik in de vorige alinea schreef: zakelijke informatie mag je niet naar huis mailen.

En dan heb ik het nog niet eens over persoonsgegevens gehad. Die genieten bescherming onder de AVG, de Europese privacywetgeving. Ook zonder de AVG erop na te pluizen durf ik wel te stellen dat de Autoriteit Persoonsgegevens, die toeziet op de naleving van de AVG, het geen goed idee vindt als een werknemer informatie over bijvoorbeeld klanten op zijn privécomputer opslaat. De wet eist namelijk deugdelijke beveiliging, en er is meestal niet zo heel veel voor nodig om jouw thuisbeveiliging onvoldoende voor dit doel te verklaren.

Even terug naar die uitdrukking ‘naar huis mailen’. Vooropgesteld dat je het e-mailloze tijdperk hebt meegemaakt, zou je je eens moeten afvragen of je vroeger vanuit je kantoor brieven naar huis zou hebben gestuurd. Waarschijnlijk niet. Je boodschappenbriefje had je gewoon op zak, desnoods maakte je een kattebelletje als je plotseling te binnen schoot dat je nog melk moest hebben. Je zou het absurd hebben gevonden om zo’n briefje in een aan jezelf geadresseerde envelop te stoppen en die in het uitbakje te leggen. Moest je de volgende dag naar een klant, dan nam je de benodigde paperassen mee in je tas. En zal ik je eens wat vertellen? Ook heden ten dage kun je alle benodigde documenten in je tas meenemen. Netjes opgeborgen in je zakelijke laptop.

Nu gebruiken de meesten van ons momenteel geen tas, omdat we helemaal niet heen en weer reizen tussen thuis en kantoor. Je laptop is, net als jij, permanent thuis. En toch zijn er sommige mensen die zakelijke bestanden naar hun privéadres mailen. Ik heb gehoord van mensen die het prettiger vinden om op hun privécomputer te werken. Waar dat ‘m precies in zit werd er niet bij gezegd, maar laat ik eens speculeren: een groot beeldscherm en een full-size toetsenbord werkt fijner dan de hele dag op een laptop rammelen. En juist die hulpmiddelen heb je vaak thuis staan. Maar het is lastig om steeds stekkers om te pluggen tussen privé- en zakelijke computer. Dan heb ik een tip voor je: koop voor een paar tientjes een KVM-switch. De afkorting staat voor keyboard, video en muis en het kastje zorgt ervoor dat je gemakkelijk kunt switchen tussen de ene en de andere computer. Je gebruikt dus hetzelfde setje beeldscherm, toetsenbord en muis voor meerdere computers, zonder stekkers om te hoeven pluggen.

Ik zou graag meer zicht krijgen op beweegredenen om zakelijke informatie naar huis te mailen, zodat we waar nodig en zinvol op zoek kunnen naar geschikte oplossingen. Ik hoor graag van je.

En in de grote boze buitenwereld …

... kun je nu ook je PlayStation 4 jailbreaken.

https://tweakers.net/nieuws/169526/hacker-vindt-kwetsbaarheid-in-ps4-kernel-die-potentiele-jailbreak-mogelijk-maakt.html

... doet momenteel de Blue Whale Challenge weer de ronde op social media. Praat erover met je kinderen.

https://veiliginternetten.nl/themes/situatie/wat-een-internetchallenge/

... is een USB-stick nog steeds een prima middel om malware over te brengen. Ook op industriële systemen.

https://www.securityweek.com/honeywell-sees-rise-usb-borne-malware-can-cause-major-ics-disruption

... lees je hier het verhaal achter de site Have I Been Pwned.

https://techcrunch.com/2020/07/03/have-i-been-pwned/

... heeft de Autoriteit Persoonsgegevens nog even nodig om de corona-app te beoordelen.

https://www.rtlnieuws.nl/tech/artikel/5170521/oordeel-privacywaakhond-over-corona-app-pas-over-paar-weken

... is Zoom weer in het nieuws met een kwetsbaarheid, deze keer voor de versie die op Windows 7 draait. Gelukkig maakte al niemand meer gebruik daar van, omdat Windows 7 verouderd is en geen beveiligingsupdates meer krijgt. Toch?

https://blog.0patch.com/2020/07/remote-code-execution-vulnerability-in.html

... hoeven slachtoffers van cybercriminelen zich niet te schamen, aldus het OM.

https://www.omroepwest.nl/nieuws/4071995/Cybercriminelen-worden-steeds-slimmer-Slachtoffers-hoeven-zich-niet-te-schamen#

... laat Firefox je straks wachtwoorden importeren en exporteren via CSV-bestanden. Nou vind ik het opslaan van wachtwoorden in een browser al geen prettig idee, maar ze dan ook nog eens exporteren naar een Excel-bestand, waardoor ze kunnen gaan zwerven, is al helemaal geen aanrader.

https://www.security.nl/posting/663864/Firefox+krijgt+optie+om+wachtwoorden+als+CSV-bestand+te+im-+en+exporteren

... heb je net een mooie work-around voor een ernstig beveiligingslek in je product bedacht, kunnen aanvallers daar ook alweer omheen. Het overkwam F5.

https://www.security.nl/posting/663810/Mitigatiemaatregelen+voor+ernstig+lek+in+F5+BIG-IP+omzeild+door+aanvallers

... mag je straks zelf kiezen welk modem je wilt gebruiken.

https://www.security.nl/posting/663740/ACM+presenteert+conceptregels+voor+vrije+modemkeuze+eindgebruikers

 ... is dat in sommige gevallen maar goed ook.

https://www.security.nl/posting/663645/Onderzoek%3A+thuisrouters+vol+kwetsbaarheden+en+hard-coded+wachtwoorden

... is er gedoe rond de certificaten van PKIoverheid (en andere PKI-stelsels).

https://www.security.nl/posting/663584/Logius+onderzoekt+PKIoverheid-certificaten+die+niet+aan+richtlijnen+voldoen

False phish

Drie weken geleden heb ik op deze plek een phish gephileerd, ofwel uit de doeken gedaan hoe je vanuit de kant van de gebruiker kon aankijken tegen een specifiek phishingmailtje, dat bij een aantal collega’s was binnengekomen. De conclusie van dat verhaal was: ook al ruikt iemand, die getraind is om phishing te herkennen, meteen lont en vermoedt zelfs de ontvanger van het mailtje dat er iets niet pluis is, dan nog kunnen specifieke omstandigheden ervoor zorgen dat rode vlaggen genegeerd worden.

We zijn constant bezig om gebruikers op te voeden om phishing te herkennen en dat werpt zijn vruchten af. Met enige regelmaat melden mensen zich met de vraag: ik heb een slecht gevoel bij deze mail, heb ik gelijk? Soms komt het echter ook voor dat mensen vraagtekens zetten bij bonafide mailtjes. Dat kun je ze niet kwalijk nemen: we vragen om alert te zijn en dat zijn ze dan ook, en dat brengt noodgedwongen ook false positives met zich mee. En meestal komt dat niet omdat mensen overdreven bang zijn geworden voor mail.

Nee, vaak is de oorzaak dat verzenders van bonafide mailtjes zich niet realiseren dat hun mail kenmerken van malafide mail bevat. Het is dan geen wonder dat mensen daarop aanslaan. Het vaakst maak ik dat mee bij interne mailtjes die je vragen om aan enquête deel te nemen (waarbij je ‘intern’ ruim moet zien). Die enquêtes worden steevast uitgevoerd door externe bedrijven, waardoor je dus een mail van een vaak onbekend bureau ontvangt met daarin een link en de ‘smoes’ dat het om een door jouw organisatie bestelde enquête gaat. Niet vreemd dat mensen dat al gauw verdacht vinden – zeker als ze niet via een ander kanaal vooraf over zo’n enquête geïnformeerd zijn.

Dit is vrij eenvoudig op te lossen met een bericht op de nieuwspagina van het intranet van de organisatie. Als daar een door de redactie geplaatst bericht staat waarin de enquête (of een andere mail die tot actie oproept) wordt aangekondigd, dan moet je er redelijkerwijs van uit kunnen gaan dat het klopt. Een dergelijk bericht moet dan natuurlijk wel ‘dicht bij de mens’ geplaatst worden. Dus bijvoorbeeld op het intranetten van de dochtermaatschappijen, niet (alleen maar) op die van de moedermaatschappij. Want een medewerker kijkt misschien wel dagelijks op ‘zijn eigen’ intranet, maar dat van de moeder staat daarvoor te ver bij hem vandaan. Ik had zelf laatst een geval waarbij ik de aankondiging van een enquête alleen maar vond omdat ik er heel gericht naar zocht.

Dat was een intern voorbeeld, maar ook van buitenaf kun je mailtjes ontvangen die je onterecht doen fronsen. Zo verstuurt Ziggo weliswaar veel klantspecifieke mail (zoals factuurberichten) vanuit het domein ziggo.nl, maar meer algemene mailings, zoals die vermoeiende “Hoe was uw ervaring met ons”-mailtjes die elk zichzelf respecterend bedrijf je stuurt als je hen hebt gebeld, komen dan opeens uit het domein medallia.eu. Ik begrijp dat ze dat soort activiteiten uitbesteden, maar met zo’n mailtje ben je bij mij meteen af: ik ben toch al niet zo’n fan van dat soort enquêtes en ik ga geen moeite doen om te onderzoeken of zo’n mailtje al dan niet legitiem is. Overigens gaat Ziggo hier nog relatief netjes mee om: ze hebben een webpagina “Hoe herken ik e-mail van Ziggo?” waarop zeven e-mailadressen en acht domeinen staan die ze gebruiken. Maar ja, wie gaat daar nou checken of een ontvangen mailtje daadwerkelijk van Ziggo zou kunnen zijn?

De boodschap is hier: als je mail verstuurt en je wilt voorkomen dat de ontvangers aan de echtheid ervan gaan twijfelen, zorg er dan voor dat die mail geen kenmerken van phishing bevat. Verstuur de mail vanuit je eigen domein, begin met een aanhef waarin de naam van de geadresseerde staat (“Geachte heer Borsoi”) en voeg alleen links toe die naar je eigen domein verwijzen (gebruik dus ook geen linkverkorters zoals bitly). Deze tips zijn erop gericht om false positives te voorkomen, maar je kunt het verhaal niet omdraaien: als je een mail ontvangt die aan deze voorwaarden voldoet, dan is dat helaas geen garantie voor de echtheid van de mail. Maar wel een redelijke indicatie.

En in de grote boze buitenwereld …

... moeten beveiligingsprofessionals oppassen voor cyber alert fatigue.

https://digitalguardian.com/blog/avoid-cyber-alert-fatigue-tips-from-infosec-pros

... ontkomt ook de Mac niet aan ransomware.

https://lifehacker.com/how-to-avoid-the-new-evilquest-mac-ransomware-1844236075

... heeft het NCSC de Factsheet Ransomware gepubliceerd.

https://www.ncsc.nl/documenten/factsheets/2020/juni/30/factsheet-ransomware

... kon de politie live meelezen met het chatverkeer van criminelen. Met de zo verkregen twintig miljoen berichten kunnen ze de criminaliteit een flinke klap uitdelen.

https://nos.nl/l/2339285

... heeft Microsoft een gratis Windows-app om per ongeluk weggegooide bestanden te herstellen.

https://lifehacker.com/recover-deleted-files-with-microsofts-new-free-windows-1844203462

... is het Cybersecuritybeeld Nederland 2020 verschenen.

https://www.nu.nl/tech/6061148/nctv-digitale-bescherming-in-nederlandse-systemen-blijft-punt-van-aandacht.html

... verdwijnen zo nu en dan cybercriminelen achter de tralies, zowel in binnen- als buitenland.

·         https://www.nu.nl/tech/6060827/kopstuk-van-phishingbende-veroordeeld-tot-drie-jaar-cel-voor-oplichting.html

·         https://www.security.nl/posting/662932/Tiener+veroordeeld+voor+het+stelen+van+126_000+euro+via+sms-phishing

·         https://www.nu.nl/tech/6060855/oprichter-cyberbende-die-half-miljard-schade-veroorzaakte-bekent-schuld-in-vs.html

·         https://www.security.nl/posting/662830/Beheerder+van+cybercrime-marktplaats+veroordeeld+tot+negen+jaar+cel+in+VS

... vindt de Autoriteit Persoonsgegevens het geen goed idee om telecomdata te delen met het RIVM.

https://www.security.nl/posting/663260/Toezichthouder+tegen+wetsvoorstel+om+telecomdata+met+RIVM+te+delen

... is digitale weerbaarheid gebaat bij nieuwe technologieën, maar die zijn alleen zinvol als oude basismaatregelen ook correct worden toegepast.

https://www.rathenau.nl/nl/digitale-samenleving/versterk-digitale-weerbaarheid-met-nieuwe-technologie

... waarschuwt de Amerikaanse overheid voor aanvallen via het Tor-netwerk.

https://www.us-cert.gov/ncas/alerts/aa20-183a

... neemt de Onderzoeksraad voor Veiligheid het Citrix-lek onder de loep, dat ervoor zorgde dat veel mensen een half jaar geleden niet thuis konden werken. Het onderzoek is gericht op het vergroten van de weerbaarheid – geen overbodige luxe in een tijdperk waarin thuiswerken juist de norm is.

https://www.security.nl/posting/663151/Onderzoeksraad+voor+Veiligheid+start+onderzoek+naar+Citrix-lek

... worden de rijksoverheid en de vitale sectoren straks verplicht om kritieke lekken te verhelpen.

https://www.security.nl/posting/662824/Kabinet+gaat+Rijksoverheid+en+vitale+aanbieders+dwingen+om+kritieke+lekken+te+verhelpen

... stonden er weer eens malafide apps in de Google Play Store.

https://www.security.nl/posting/662967/Malafide+apps+in+Google+Play+Store+stalen+Facebookwachtwoorden

... wordt er gephisht uit naam van de Inspectie SZW.

https://www.security.nl/posting/662862/Inspectie+SZW+waarschuwt+voor+malafide+e-mails+met+Excel-bijlage