Met wie je ook praat of samenwerkt, de kans is groot dat e-mail het voornaamste communicatiemiddel van die persoon is. De meesten van ons besteden zo’n vijf uur per dag aan het raadplegen van e-mail. We verversen onze inbox soms zelfs tijdens de lunch en vergaderingen. E-mail maakt deel uit van vrijwel elk aspect van ons dagelijks leven, maar staat tegelijk tot groot genoegen van cybercriminelen bol van de kwetsbaarheden.
Aanvallen op zakelijke e-mailaccounts nemen momenteel een hoge vlucht. Daar zijn twee redenen voor. Ten eerste maken organisaties nog steeds gebruik van tientallen jaren oude e-mailprotocollen en -standaarden, al ontwikkeld in de jaren tachtig.
Ten tweede blijven cybercriminelen hun social-engineeringtechnieken perfectioneren. Maar er is ook goed nieuws: geautomatiseerde e-mailcertificaten kunnen organisaties helpen om deze aanvallen te voorkomen en hun personeel tegen spear phishing en andere, op personen gerichte, aanvallen beschermen.
Cybercriminelen gebruiken je personeel tegen je
Er is sprake van een direct verband tussen social engineering en ceo-fraude. Je personeel vormt een direct aanvalskanaal. Het idee dat beveiligingsincidenten het gevolg zijn van de inzet van brute rekenkracht strookt niet langer met de werkelijkheid. Cybercriminelen zijn veel eerder slimme social engineers die spear phishing-mails als primaire aanvalstechniek hanteren.
IBM X-Force Red is een zelfstandig opererend team van hacker-veteranen die door IBM zijn ingehuurd om bij organisaties in te breken om gevaarlijke beveiligingslekken bloot te leggen die cybercriminelen kunnen misbruiken om zichzelf te verrijken. Iets meer dan een kwart van alle ontvangers van e-mailberichten klikt op kwaadaardige links, zo concludeert X-Force Red. En phishing is en blijft een succesvolle aanvalstechniek.
Cybercriminelen speuren je organisatie nauwgezet af op thuiswerkers en wijzigingen van bedrijfsprocessen. Maar de goede oude e-mail van de baas blijkt nog altijd het beste te werken om argeloze en hulpvaardige werknemers om de tuin te leiden met een gepersonaliseerde e-mail.
Een voorbeeld: de manager van de crediteurenadministratie ontvangt een e-mail van de cfo, die om een rapport met alle openstaande facturen vraagt. Deze topmanager wil weten welke klanten je organisatie geld schuldig zijn, om welke uitstaande bedragen het gaat en wanneer die voldaan moeten zijn. En dat rapport moet zo snel mogelijk worden gemaild, omdat er later die dag een managementvergadering wordt gehouden. De bekende en hooggeplaatste afzender, de gepersonaliseerde informatie, het realistische scenario en het gevoel van urgentie kunnen zelfs de meest voorzichtige werknemer ertoe bewegen om snel dit soort gevoelige informatie te delen. In werkelijkheid is de afzender geen topmanager, maar een cybercrimineel die gebruikmaakt van een makkelijk na te bootsen e-mailadres. En die cybercrimineel kan aan de hand van de verstrekte financiële informatie betalingsverzoeken sturen naar klanten met openstaande rekeningen. Die worden gevraagd om het factuurbedrag over te maken naar de bankrekening van de cybercrimineel. Werknemers worden op dit soort manieren nietsvermoedend medeplichtig aan uiterst schadelijke e-mailaanvallen.
Cybercriminelen maken gebruik van sociale-engineeringtechnieken om misbruik te maken van menselijke emoties om:
- Toegang te krijgen tot de aanmeldingsgegevens van werknemers, persoonlijk identificeerbare informatie van klanten en werknemers, bankrekeninggegevens, privédiscussies en andere informatie die niet voor de buitenwereld is bestemd;
- Werknemers aan te zetten tot het klikken op links naar malware-sites voor het besmetten van computers binnen de organisatie met ransomware en andere malware;
- Werknemers ertoe te bewegen om geld over te maken naar rekeningen die van leveranciers of andere partners lijken te zijn, maar in werkelijkheid het bezit zijn van criminelen;
Ondanks alle gevaren hebben veel werknemers nog altijd een ‘dat-zal-mij-niet-overkomen’-mentaliteit. Als het om e-mailaanvallen gaat, is élke organisatie kwetsbaar, tenzij die strategische voorzorgsmaatregelen heeft getroffen. De veronderstelling dat jouw organisatie immuun is voor hacks en malwarebesmettingen kan je duur komen te staan.
Onder de loep
Het is dus tijd voor bedrijven om hun strategie voor e-mailbeveiliging opnieuw onder de loep te nemen. Om bescherming te bieden tegen geavanceerde cyberaanvallen moeten zij een integrale beveiligingsaanpak hanteren die voorziet in encryptie van e-mail en authenticatie van de digitale identiteit van alle werknemers en apparaten.
S/mime (secure/multipurpose internet mail extension)-certificaten maken gebruik van diverse geavanceerde beveiligingsmechanismen. Ze voorkomen cyberaanvallen door het authentiseren van de afzender en versleutelen van de inhoud van e-mailberichten en bijlagen. Ze waarborgen daarnaast de integriteit van e-mailberichten door te controleren of ze tijdens de overdracht of opslag niet zijn gewijzigd. Werknemers kunnen op die manier in hun digitale correspondentie vertrouwen.
Cybercriminelen blijven hun technieken optimaliseren. Maar de ontwikkeling van technologie voor de geautomatiseerde preventie van deze aanvallen en bescherming van werknemers tegen spear phishing-aanvallen staat ook niet stil. Het gebruik van s/mime-certificaten voor e-mailbeveiliging brengt het gebruiksgemak naar een hoger plan. Zowel publieke als private s/mime-certificaten kunnen worden uitgegeven vanaf een centraal cloudplatform. De beveiliging, het identiteitsbeheer en de compliance worden geoptimaliseerd door de inzet van een geautomatiseerd systeem dat geen menselijke tussenkomst vereist en onzichtbaar is voor eindgebruikers.
Moderniseren
E-mailaanvallen nemen in aantal toe, en de schade loopt alsmaar op. Cybercriminelen nemen je personeel op de korrel, en de verouderde e-mailinfrastructuur en beveiligingspraktijken van je onderneming zijn niet langer tegen hun technieken opgewassen. Het moderniseren van je e-mailbeveiliging met de toepassing van e-mailcertificaten die geen menselijke tussenkomst vereisen helpt je om het voltallige personeel tegen e-mailaanvallen te beschermen.