Soms ontdek je een voordeel van iets zonder dat je dit vooraf bedacht had. Als bedrijf bieden wij onder andere phishing campagnes aan. We sturen nep e-mails naar medewerkers met als doel om naar gegevens en wachtwoorden van die medewerkers te hengelen. Hiermee leer je als organisatie hoe kwetsbaar je hiervoor bent. Daarna kun je eraan werken om het bewustzijn van medewerkers te vergroten en ze zodoende immuun voor phishing te maken.
Een phishing-mailtje wordt verstuurd vanuit een andere afzender dan de ontvanger verwacht. Het mailtje lijkt bijvoorbeeld van Apple af te komen, maar dat is niet zo. De email zelf lokt een actie uit, bijvoorbeeld door een nepaankoop uit de App-store. Met een link in de email kan deze aanschaf ongedaan gemaakt worden. Deze link verwijst dan naar een niet-Apple website die zich voordoet als Apple en vraagt om een Apple gebruikersnaam en wachtwoord. Als iemand deze afgeeft kan de phisher – de verstuurder van de nepmail – zich voordoen als het slachtoffer met alle gevolgen van dien zoals foto’s bekijken die gemaakt zijn op de telefoon van het slachtoffer. Vaak is het doel niet eens het Apple wachtwoord maar overige diensten. Veel mensen gebruiken namelijk hetzelfde wachtwoord voor verschillende websites. Aangezien je Apple gebruikersnaam vaak ook je e-mailadres is kan deze combinatie op veel andere websites getest worden.
Ontmoet de password-manager
Een password-manager is een applicatie of dienst die wachtwoorden voor je bewaart op een veilige plaats en deze voor je inzet wanneer je ze nodig hebt. Een password-manager maakt het makkelijk om voor iedere website een ander moeilijk wachtwoord aan te maken. Dit verhoogd de veiligheid enorm. Voor de password-manager zelf heb je een hoofd-wachtwoord nodig. Dit sterke wachtwoord moet je wel onthouden en als je deze vergeet kan niemand je meer redden en verlies je toegang tot al je wachtwoorden. Dit betekent ook als iemand anders dit wachtwoord kent, deze toegang heeft tot alle wachtwoorden. Elke maatregel om risico’s te verlagen kent ook weer zijn eigen risico, zeg maar.
Door een password-manager te gebruiken hoef je geen wachtwoorden meer te onthouden en dit feit is een zegen als het gaat om phishing.
Stel, je krijgt zo’n phishing-mailtje van Apple en klikt erop. Nu kom je op een niet Apple website uit. Omdat je het wachtwoord voor Apple zelf niet weet heb je je password-manager nodig. Die zal echter alleen je Apple wachtwoord aanbieden als je daadwerkelijk op de Apple website bent. Dit is het moment waarop je merkt dat dit niet zo is en zal de phishing-poging mislukken. Je password-manager is in deze je redding.
Dus alleen al het gebruiken van een password-manager kan je dus voor veel kwaad behoeden. Niet alleen zal een phishing poging niet slagen, de poging zelf is veel minder waard geworden omdat je voor iedere website een ander wachtwoord hebt. Dubbele winst dus.
Kanttekeningen
Het feit dat je op een link klikt in een phishing e-mail is al een risico op zich. Een website van een phisher kan namelijk virussen en andere malware bevatten die je computer infecteert. Een phisher weet vaak ook wie er op de e-mail heeft geklikt en het is dus een aanwijzing dat je hiervoor gevoelig bent. Of onwetend.
Als je op een nepwebsite terecht komt en handmatig het wachtwoord van Apple op zou zoeken, dan gaat het nog steeds mis. Je moet wel het signaal herkennen dat de password-manager het wachtwoord niet voor je in wil vullen.
Als de password-manager een nieuwe kwetsbaarheid bevat – een zogenaamde zero day – kunnen al je wachtwoorden gevaar lopen. Als iemand je hoofdwachtwoord hengelt is dat de toegang tot je wachtwoorden kluis.
Om dit laatste te voorkomen is het sterk aan te bevelen 2-staps verificatie te gebruiken voor je password-manager. Een onverlaat heeft dan meer dan je wachtwoord nodig om jouw wachtwoordkluis te kraken.
Door zelf de rol van wachtwoorden-hengelaar aan te nemen en te analyseren waarom pogingen lukten kwam ik erachter dat dit succes er waarschijnlijk niet was geweest als diegene een password-manager had gebruikt. Namelijk niet één poging slaagde volledig bij password-manager-gebruikers. Dit was voor mij de serendipiteit ontdekking van de password-manager en daarmee de geboorte van deze blog.
De reactie is om mij te abonneren op reacties.
Uitstekende blog dat de meest effectieve maatregel belicht die elke individuele gebruiker meteen kan toepassen om het voor iedereen veiliger te maken. Password managers, de (helaas nog niet verplichte) veiligheidsgordels voor het web!
Dag Tom,
Bedankt voor je compliment en uiteraard met tweestapsverificatie!
Uitstekende blog! De volgende stap die internetcriminelen gaan nemen, is het starten van een password manager. Behoed je daar dus voor! Ik zie hier een goede taak voor een toezichthouder. Blijf tot het zover is bij een password manager die absoluut te vertrouwen is, zoals bijvoorbeeld 1Password of Apple Sleutelhanger.
Frank, dank voor je compliment. Password managers blijven deels een black box en met javascript op websites weet je nooit zeker of je helemaal veilig bent. Het blijft altijd zaak om op de hoogte te blijven van gebeurtenissen.
Vooralsnog lijken ze een goede manier om je veilig op het internet te bewegen.
Overigens merk ik dat onervaren internetters password managers nog best lastig vinden. Vooral als een website niet helemaal werkt zoals verwacht.