Voor cybercriminelen was 2020 een glansrijk jaar. Voor ons, gewone mensen, was het dat natuurlijk heel wat minder. Vorig jaar rond deze tijd predikte ik dat phishing, ransomware en aanverwanten een grote stap voorwaarts zouden zetten (zie hieronder). Nee, ik was toen nog niet op de hoogte van de impact die de wereldwijde coronacrisis op eenieder zou hebben. Eén ding is wel duidelijk: de pandemie heeft hackers een serieuze duw in de rug gegeven.
Mensen moesten plots massaal van thuis uit werken – of leren – en kregen daarvoor vaak tools aangereikt die ze nooit eerder gebruikten. Videoconferenties werden de belangrijkste manier van vergaderen en mailboxen werden meer dan ooit de belangrijkste communicatietool. Het was voor iedereen een grote aanpassing die regelmatig tot verwarring leidde. Verwarring waar hackers gretig gebruik van maakten. Bovendien hielp het niet dat een vertrouwde tool als Zoom loog over hoe goed het was beveiligd.
Na het annus horribilis 2020 hopen we allemaal op beterschap in 2021. Maar is dat wel een redelijke verwachting? Om die vraag zo goed mogelijk te beantwoorden, keek ik opnieuw in mijn glazen bol en ontwarde ik vijf grote cybergevaren voor het komende jaar.
1. Desinformatie is macht
Fake news blijkt een blijver. Hoewel mensen bij ons nog steeds vertrouwen hebben in onze journalistieke media, hebben hackers dat steeds vaker ook. Criminelen spelen steeds meer in op hot topics in het nieuws: gisteren in “Het Journaal”, vandaag in jouw mailbox. Onze eigen cijfers tonen dat aan: de coronacrisis deed bijvoorbeeld een ongezien aantal mensen klikken op malafide links of bijlagen in e-mails. Iedereen wil weten wat er gebeurt, en liefst nu meteen. Met het aankomende vaccinatienieuws belooft dat niet veel goeds.
2. Tweefactorauthenticatie: belangrijk, maar niet zaligmakend
Vorig jaar voorspelden we de doorbraak van tweefactorauthenticatie (2FA). Die combinatie van een wachtwoord met een extra veiligheidscode, die je ontvangt via bijvoorbeeld een app of e-mail, is nog steeds de veiligste optie om je accounts te beveiligen, maar hackers zijn stilaan bijgebeend.
Cybercriminelen worden almaar beter in het ontfutselen van die extra beveiligingscode. Vaak doen ze dat via vishing (phishing via de telefoon) en smishing (phishing via sms). Een hacker zal dan eerst je wachtwoord proberen te raden en je vervolgens opbellen met de melding dat er een probleem is met je account, een bestelling of een financiële transactie. Het antwoord op de vraag “kan je even je code verifiëren, dan zoek ik het voor je uit?” moet in 2021 dus steeds “NEE!” zijn.
3. Twee keer langs de kassa
De voorbije jaren bouwde ransomware een betrouwbare reputatie op. Boosaardig, sluw en vals – maar toch betrouwbaar. Als een organisatie slachtoffer werd van DoppelPaymer, Wannacry of een andere cryptolocker, werd deze aangemaand een bepaald bedrag te betalen, vaak op basis van het aantal getroffen toestellen. Na ontvangst van het losgeld, ontving de organisatie een decryptietool en konden alle computers en bestanden weer worden hersteld.
We zien evenwel steeds vaker dat hackers hun deel van de overeenkomst niet nakomen. Ze besluiten plots meer geld te vragen, ze weigeren de decryptietool te overhandigen of ze proberen van twee walletjes te eten. Bij die laatste gaan ze zowel de onderneming als de eindgebruiker chanteren. Zelfs wanneer de organisatie dan het gevraagde bedrag overhandigde, zullen ze de eindgebruiker benaderen en hen dwingen om ook te betalen. Zoniet, dan gooien ze het online-leven van die persoon te grabbel.
4. Walvisjagen wordt de populairste sport
Mensen zijn de zwakste schakel in ieder veiligheidssysteem. Toch durft niemand toe te geven dat ook hij of zij vatbaar is voor digitale foutjes. Een verkeerde klik is snel begaan en iedereen, in eender welke functie, binnen eender welke afdeling is vatbaar voor phishing. En wat blijkt nu? Hoe hoger op de piramide je staat, hoe vatbaarder je bent. Criminelen hebben namelijk ontdekt dat CEO’s de grootste veiligheidsrisico’s zijn binnen een bedrijf. Ook wij zien dat kaderleden vaker in onze gerichte simulaties trappen dan “gewone” medewerkers.
Een bedrijfsleider komt namelijk veel minder vaak in aanraking met gespecialiseerde phishingmails. Kijken we bijvoorbeeld naar een financiële afdeling, dan zien we dat zij veel vaker in contact komen met spear phishing, waardoor ze de gevaren beter herkennen en phishingpogingen beter kunnen herkennen. Bedrijfsleiders ontbreken deze ervaring en worden daardoor steeds vaker een doelwit. In 2021 wordt whaling (spear phishing gericht op management) een populaire sport!
5. Deepfakes: de grote uitdaging
Ieder jaar komt dit topic terug: het wordt steeds makkelijker om mensen na te bootsen door iemands gezicht op bestaande beelden te plaatsen. Zo lijkt het alsof iemand een boodschap verspreidt terwijl deze persoon dat nooit zo gezegd of bedoeld heeft. Het afgelopen jaar werden apps populair die dit mogelijk maken met een simpele bewerking op onze smartphone.
Deepfakes zullen de verspreiding van fake news en complottheorieën nog vergemakkelijken en als cybercriminelen ze eenmaal ten volle gaan benutten, moeten we ons niet alleen zorgen maken om phishing, smishing of vishing, maar ook om beelden en geluidsfragmenten die collega’s, vrienden en familieleden foutloos kunnen nabootsen. Phishingtechnieken worden nog overtuigender en het wordt haast onmogelijk om malafide praktijken te herkennen zonder daar gespecialiseerde tools voor te gebruiken.
2021 wordt ongetwijfeld (opnieuw) een uitdagend jaar. We kijken hoopvol uit naar de bevrijding van het coronavirus, maar we wijzen er graag op dat er nog heel wat andere virussen rondwaren die eveneens onze aandacht nodig hebben. Een gewaarschuwd persoon…
VRT NWS wil op vrtnws.be een bijdrage leveren aan het maatschappelijk debat over actuele thema’s. Omdat we het belangrijk vinden om verschillende stemmen en meningen te horen publiceren we regelmatig opinieteksten. Elke auteur schrijft in eigen naam of in die van zijn vereniging. Zij zijn verantwoordelijk voor de inhoud van de tekst. Wilt u graag zelf een opiniestuk publiceren, contacteer dan VRT NWS via moderator@vrt.be.
