Sinds de komst van het coronavirus worden we overspoeld met fraude en cyberaanvallen gericht op mobiele apparaten. Uit onze jaarlijkse mobile malware-analyse blijkt dat er opnieuw een negatief record is aan Android-malware. Het afgelopen jaar werden maar liefst 4,18 miljoen nieuwe schadelijke Android-malware-apps geteld. Daarnaast is Whatsapp-fraude in opkomst.
Volgens de fraudehelpdesk deden meer dan 3500 mensen dit jaar al melding van Whatsapp-fraude. Waar het platform in 2019 nog 2663 meldingen kreeg van oplichting via Whatsapp, lag dit in mei al boven de 3500. Slachtoffers liepen door de oplichting ruim 1,2 miljoen euro aan schade op.
Bij Whatsapp-fraude doen cybercriminelen zich via Whatsapp voor als een bekende die vraagt om geld over te maken. In de meeste gevallen gaat het om een bekende die zogenaamd een nieuw nummer heeft. Deze persoon zit in de geldproblemen en heeft met spoed geld nodig, waarna een Tikkie volgt. Doordat de oplichters geniepig te werk gaan, lijkt het vaak net echt. Ze halen informatie van sociale media om het taalgebruik te imiteren, kijken wat de persoon de afgelopen periode heeft beleefd en gaan na met wie hij of zij bevriend is.
Soms slagen cybercriminelen er in om een Whatsapp-account te kraken, waardoor het slachtoffer in de chat alle voorgaande berichten ziet van een contactpersoon die wel écht bekend is. Om een Whatsapp account over te nemen, moeten oplichters een verificatiecode achterhalen die naar jou is gestuurd. Dit kan een sms-code zijn of een voicemail. Het ontfutselen van de sms-code doen cybercriminelen vaak door te vertellen dat de code per ongeluk naar jou is gestuurd. Een voicemail kunnen ze soms afluisteren, omdat voicemails vaak slecht beveiligd zijn. Het kan ook voorkomen dat ze het mobiele nummer kapen en doen alsof jij een nieuwe telefoon hebt waarop je Whatsapp hebt geïnstalleerd. Om dit te verifiëren stuurt Whatsapp een verificatie-sms. Hierdoor gaat de sms niet naar jou maar naar de cybercriminelen.
Om Whatsapp gerelateerde fraude en aanvallen te voorkomen, is het belangrijk dat gebruikers tweestapsverificatie instellen. Wanneer een gebruiker op een smartphone inlogt op Whatsapp moet er een tweede pincode worden ingevoerd, die gekoppeld is aan een e-mailadres. Op deze manier kunnen cybercriminelen niet in het account komen en is het lastiger voor cybercriminelen om toegang te krijgen tot Whatsapp. Zet daarnaast ook de beveiligingsmeldingen aan, waardoor je een melding krijgt als één van je contacten een nieuwe telefoon heeft. Vraagt deze persoon je vervolgens om geld, dan is de kans groot dat het om een oplichter gaat. Als je er écht zeker van wilt zijn dat je niet met een oplichter te maken hebt, is het verstandig de persoon even te bellen. Oplichters willen namelijk nooit bellen. Maak daarnaast bij grote bedragen nooit geld over via een link in Whatsapp. Ga naar de website of app van je bank en gebruik het rekeningnummer dat bij jou bekend is.
Bedrijven lopen ook gevaar
Gezien bedrijven steeds vaker gebruik maken van Whatsapp lopen zij ook gevaar om slachtoffer te worden. Het Nationaal Cyber Security Centre (NCSC) gaf onlangs een waarschuwing af dat er steeds vaker ceo-fraude wordt gepleegd via Whatsapp. Bij ceo-fraude doen cybercriminelen zich voor als ceo of iemand uit de directie. Medewerkers ontvangen bij deze tactiek een vals Whatsapp-bericht van de allerhoogste baas, die vervolgens vraagt om een fors bedrag over te maken naar een buitenlandse rekening. Cybercriminelen kiezen bij deze tactiek meestal slachtoffers van de financiële afdeling die niet in contact staan met de directie. Op deze manier is de kans groter dat de medewerker niet durft na te gaan of het wel klopt. Vaak proberen ze de medewerker onder druk te zetten met een korte deadline. Om deze vorm van fraude te voorkomen is het verstandig een goedkeuringsproces te ontwikkelen waar meerdere leidinggevende bij zijn betrokken. Op deze manier kan er niet zomaar geld naar een vreemde rekening worden overgemaakt.
Daarnaast komt het vaker voor dat Whatsapp wordt misbruikt voor phishing. Cybercriminelen doen zich bijvoorbeeld via Whatsapp voor als een bekend softwarebedrijf om achter wachtwoorden te komen. Vervolgens lokken de criminelen medewerkers via een hyperlink naar een valse website, waar het slachtoffer gevraagd wordt toegangscodes in te vullen. Vanwege dergelijke aanvallen zijn werknemers vaak als eerste betrokken bij een cyberaanval. Computers en apps klikken tenslotte niet op phishing-e-mails maar personen wel. Het is daarom belangrijk dat bedrijven medewerkers structureel trainen om menselijke fouten te voorkomen.
Voer een collectieve strategie
Voor bedrijven is het belangrijk een collectieve mobiele-beveiligingsstrategie te voeren. Om dit te realiseren is het belangrijk om een overzicht te maken van de mobiele apparaten die aanwezig zijn. Vergeet hierbij niet om ook de bring your own devices (byod’s) op de lijst te zetten. Zodra het duidelijk is welke apparaten er binnen de organisatie beschikbaar zijn, is het zaak duidelijke regels op te stellen. Bepaal welke apps niet zijn toegestaan om te downloaden, leg vast wanneer medewerkers hun wachtwoord moeten wijzigen en welke websites ze niet kunnen bezoeken.
Een mobile device management (mdm)-platform kan hierbij helpen. Dankzij een mdm kunnen organisaties bepalen welke apps gebruikers wel en niet zelf kunnen installeren en zien welke beschikbare updates er zijn uitgevoerd. De meeste mdm-tools geven ook uitgebreide mogelijkheden tot rapportages, zonder de privacy van de medewerker te schaden. Bovendien kunnen er verschillende noodmaatregelen worden getroffen bij diefstal of verlies. Via locatiebepaling is het mogelijk het apparaat terug te vinden of om op afstand te wissen. Houd er rekening mee dat mdm’s interne discussies kunnen veroorzaken over privacy. Het is daarom verstandig om als bedrijf hier transparant over te zijn en om toestemming te vragen aan de werknemer indien het een persoonlijk apparaat betreft.
Blijf kritisch
Ondanks deze maatregelen zijn Whatsapp-fraude en cyberaanvallen op mobiele apparaten niet uit te sluiten. Er zullen altijd cybercriminelen zijn, net als in de echte wereld. Echter zien we maar al te vaak dat bedrijven en individuen hun mobiele apparaat niet beveiligen. Uit een recent onderzoek blijkt dat 78,3 procent van de Nederlandse telefoons voor zakelijk gebruik niet beveiligd zijn. Daarnaast denkt 11,3 procent van de Nederlanders dat het niet noodzakelijk is om hun mobiel voor zakelijk gebruik te beveiligen. Deze cijfers zijn zorgwekkend omdat het aantal aanvallen en de hoeveelheid gevoelige data die op de apparaten staan naar verwachting alleen maar zullen toenemen. Echter is het wel mogelijk om het beveiligingsniveau van mobiele apparaten drastisch te verbeteren. De meeste cyberaanvallen en fraude via Whatsapp zijn hierdoor onnodig. Geef daarom cybercriminelen geen gelegenheid om toe te slaan en blijf kritisch.