Deals of datalekken? Voorkom dat Black Friday Hack Friday wordt

Door Christie Rae • 27 November 2024

De Black Friday-periode is een van de grootste promotieperiodes van het jaar geworden, waarbij merken van een enkele dag met uitverkoop uitbreiden naar aanbiedingen die een week of langer duren. Scherpzinnige consumenten kunnen enorme kortingen krijgen op alles van tv's tot speelgoed. De periode met intensieve kortingen biedt echter een belangrijke kans voor oplichters die shoppers willen oplichten van hun zuurverdiende geld. Krantenkoppen waarschuwen al dat consumenten moeten overwegen of sommige deals echt te mooi zijn om waar te zijn. The Guardian noemde de dag zelfs 'Black Fraud Day'Uit gegevens van Action Fraud blijkt dat de kortingsperiode een toptijd is voor oplichters.

Voor organisaties vormt Black Friday ook een verhoogd risico op cyberaanvallen. In november 2023 werden er meer dan 32,000 fraude- en cybercrimemeldingen gedaan bij Action Fraud. Meer dan 3,500 van die meldingen werden gedaan door bedrijven, die financiële verliezen van £ 30.4 miljoen rapporteerden.

Hoe kunnen bedrijven veilig blijven in een periode met een verhoogd risico op cyberaanvallen?

Wat zijn de belangrijkste cyberbeveiligingsrisico's?

Phishing

Phishing is een van de meest voorkomende vormen van cyberaanvallen het hele jaar door. Toch bieden evenementen zoals Black Friday een bredere kans voor cybercriminelen, met name met de toename van urgente en tijdgevoelige koopjes die worden aangeboden door legitieme bedrijven.

Fraudeurs zullen profiteren van de toegenomen transacties en deals door klanten te phishen, vaak door geavanceerde, promotionele e-mails te sturen die nauwelijks te onderscheiden zijn van legitieme e-mails. Op die manier kunnen ze klantgegevens, betalingsinformatie en meer vastleggen.

Consumenten zijn niet de enigen die risico lopen. Tijdens hun koopjesjacht kunnen uw medewerkers bedrijfs- of zelfs hun eigen apparaten gebruiken met toegang tot bedrijfsaccounts, waardoor het risico voor uw bedrijf toeneemt als ze per ongeluk phishing-e-mails ontvangen.

Zwakke wachtwoorden 

Volgens NordPass is 123456 nog steeds het meestgebruikte wachtwoord voor persoonlijke en zakelijke accounts. NordPass's laatste Top 200 Most Common Password-onderzoek wees uit dat het wachtwoord meer dan drie miljoen keer is gebruikt en het bedrijf zegt dat het een hacker minder dan een seconde kost om te kraken.

Black Friday biedt de perfecte gelegenheid voor dreigingsactoren om grootschalige brute-force-aanvallen uit te proberen. Bij een brute-force-aanval proberen cybercriminelen miljoenen mogelijke wachtwoordcombinaties totdat ze het juiste resultaat krijgen, en hoe zwakker het wachtwoord, hoe sneller het gekraakt kan worden.

Omdat zwakke wachtwoordhygiëne – oftewel mensen die wachtwoorden of variaties van hun wachtwoorden hergebruiken voor meerdere accounts – zo gewoon is, is het voor een cybercrimineel gemakkelijk om toegang te krijgen tot meerdere accounts als ze eenmaal één wachtwoord hebben gekraakt. Dit omvat e-mailprofielen, bedrijfsnetwerken en bedrijfssystemen, wat op zijn beurt het risicoprofiel van een organisatie vergroot.

Kwetsbaarheden in de toeleveringsketen

Onze Rapport Staat van Informatiebeveiliging 2024 ontdekte dat het beheren van leveranciers- en derdepartijrisico's de grootste uitdaging is voor organisaties op het gebied van informatiebeveiliging. 79% van de respondenten gaf aan dat ze in de afgelopen 12 maanden te maken hebben gehad met een cybersecurity- of informatiebeveiligingsincident dat is veroorzaakt door een derdepartijleverancier of toeleveringsketenpartner. Sterker nog, 45% is getroffen door meerdere incidenten.

Naarmate toeleveringsketens steeds afhankelijker worden van IT-systemen, groeit de kans voor dreigingsactoren om zwakke schakels aan te vallen – en de toeleveringsketen van uw organisatie is slechts zo sterk als de zwakste schakel. Elke entiteit in uw toeleveringsketen kan onbedoeld een toegangspoort worden tot uw eigen digitale infrastructuur.

Social engineering

Social engineering is een andere aanvalsvector waarmee bedrijven rekening moeten houden. E-commercebedrijven zullen tijdens Black Friday waarschijnlijk het aantal vragen aan de klantenservice dramatisch zien toenemen, waar cybercriminelen mogelijk misbruik van kunnen maken.

Normaal gesproken is deze aanvalsmethode gericht op het verkrijgen van klantgegevens of het plegen van restitutiefraude, maar ambitieuze fraudeurs gebruiken deze methode ook om blokkades te omzeilen.

Oplichting op sociale media komt ook veel voor, waarbij aanbiedingen en advertenties gericht zijn op gebruikers met nepproducten en -diensten die volledig gericht zijn op het compromitteren van bankpasgegevens of het plegen van online fraude.

Door AI aangedreven oplichting

Kunstmatige intelligentie (AI) biedt nieuwe aanvalsmethoden voor cybercriminelen en de technologie wordt steeds populairder bij fraudeurs. Uit ons rapport blijkt dat 30% van de bedrijven in de afgelopen 12 maanden te maken heeft gehad met een deepfake-incident.

De geavanceerde technologie kan worden gebruikt om frauduleuze websites te maken die er precies zo uitzien als de legitieme websites die ze nabootsen, en de technologie kan zelfs audio- of videodeepfakes maken om aanvallen in de stijl van business email compromise (BEC) uit te voeren. Er zijn echter ook mogelijke use cases voor diefstal van informatie/inloggegevens, reputatieschade of zelfs om gezichts- en spraakherkenningsauthenticatie te omzeilen.

Veel B2B-bedrijven bieden potentiële klanten Black Friday-deals of kortingen, wat een andere potentiële aanvalsroute opent voor dreigingsactoren. AI-technologie evolueert en of het nu wordt gebruikt om frauduleuze e-mails te maken of om werknemers te misleiden om zakelijke fondsen over te maken, het is duidelijk dat AI-gestuurde oplichting een echte bedreiging vormt voor bedrijven tijdens Black Friday en daarna.

Bescherm uw bedrijf tegen cyberbeveiligingsrisico's tijdens Black Friday

Cybersecuritybewustzijn en -educatie voor werknemers

Een goed cybersecurity-trainings- en bewustwordingsprogramma stelt uw werknemers in staat om potentiële cyberaanvallen te identificeren en te melden. Uw trainings- en bewustwordingsprogramma moet ook processen schetsen die gevolgd moeten worden, bijvoorbeeld het proces dat personeel moet volgen om vermoedelijke phishingpogingen te melden. Door uw personeel meer macht te geven, kunt u uw bedrijf verder beveiligen.

Goede wachtwoordhygiëne

Al uw medewerkers moeten complexe wachtwoorden gebruiken die:

Zijn niet gerelateerd aan persoonlijke informatie

Worden niet gebruikt op een andere site, inclusief niet-werksites

Worden vertrouwelijk gehouden

Vermeld niet uw bedrijfsnaam of productnaam.

U kunt ook een minimum aantal tekens instellen – best practice suggereert ten minste 12 tekens. Medewerkers moeten ook multi-factor authenticatie (MFA) gebruiken en regelmatig hun wachtwoord wijzigen. Uw organisatie moet een wachtwoord instellen beleidsmaatregelen met deze vereisten en zorg ervoor dat iedereen deze naleeft.

Robuust technologie- en informatiebeveiligingsbeheer

Door sterke cybersecuritypraktijken in te stellen en te implementeren, kan uw bedrijf risico's beperken en een robuust beveiligings- en informatiebeheer bevorderen.

Organisaties moeten rekening houden met het volgende:

Toegangsbeheer—Effectief beheer van gebruikersrechten en privileges en het gebruik van controles zoals MFA op personeelsaccounts kunnen cruciale verdedigingen zijn tegen gestolen inloggegevens en ongeautoriseerde toegang. Bijvoorbeeld, least privilege access zorgt ervoor dat gebruikers alleen toegang hebben tot de resources die nodig zijn om hun rol uit te voeren, waardoor de impact op uw organisatie wordt beperkt als een account wordt gecompromitteerd.

Gegevensbescherming—Passende processen en technische controles zijn essentieel om organisatorische gegevens in al hun vormen te identificeren, classificeren en veilig te verwerken. Hulpmiddelen zoals informatiemanagementsystemen of -frameworks kan organisaties helpen voorkomen dat cybercriminelen toegang krijgen tot bedrijfsgegevens via e-mail, verkeerde configuraties en slecht beveiligingsgedrag.

Veilige configuratie—Richt u vanaf het begin op veilige engineeringoplossingen in plaats van ze later of na een incident toe te voegen. Deze aanpak vermindert de zwakke toegangspunten tot bedrijfsnetwerken die cybercriminelen kunnen misbruiken aanzienlijk.

Patches en software-updates – Aanvallers maken vaak misbruik van kwetsbaarheden in verouderde software. Zorg voor regelmatige installatie van updates en patches voor de software in uw organisatie en op de apparaten van uw werknemers. Denk na over uw BYOD-beleid (bring your own device) en -controles om het meest robuuste beveiligingsniveau te garanderen.

Door effectieve en proportionele controles te implementeren om organisatiegegevens en -informatie te beheren, kunt u ervoor zorgen dat uw bedrijf een stap voor is op de toegenomen cyberrisico's op deze Black Friday. Bovendien zal het aantonen van solide informatiebeheer- en risicobeheerreferenties het vertrouwen van de klant vergroten en uw reputatie en zakelijk succes versterken.

Versterk vandaag nog uw informatiebeheer en risicohouding 

Als u op weg bent naar betere informatiebeveiliging en cyberbeveiliging, kunnen wij u helpen.

Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame benadering van informatiebeheer mogelijk ISO 27001 , NIST, NIS 2 en andere frameworks. Ontgrendel vandaag nog uw concurrentievoordeel – boek uw demo.

Christie Rae

Christie is contentmarketingspecialist bij ISMS.online. Met meer dan zeven jaar ervaring wil ze informatieve, boeiende inhoud schrijven en heeft ze in een groot aantal sectoren gewerkt, waaronder cyberbeveiliging, software as a service, technologie en farmaceutica.