Black Friday staat voor de deur, en daarmee ook de krantenkoppen over online retailers die hun “beste dag ooit” noteren (sinds vorig jaar) en artikelen met de titel “10 van de beste deals op elektriciteit deze Black Friday”.
Samen met deze golf van krantenkoppen en koopjes zullen er tips en hulpmiddelen komen om consumenten te beschermen. Zo heeft het Nationaal Cyber Security Centrum (NCSC), in samenwerking met Action Fraud, zijn rapport vrijgegeven Cyberbewuste campagne deze maand. De campagne spoort feestelijke shoppers aan om “hun cyberveiligheid te versterken” nadat uit nieuwe cijfers bleek dat slachtoffers van oplichting bij online winkelen in dezelfde periode vorig jaar gemiddeld £1,000 per persoon verloren.
Wat minder vaak de krantenkoppen haalt, is hoe bedrijven tijdens deze periode veilig kunnen blijven. Hoewel Black Friday kansen biedt voor het bedrijfsleven, brengt het voor veel organisaties ook een verhoogd risico op cyberaanvallen met zich mee.
De cyberveiligheidsrisico's waarmee bedrijven deze Black Friday worden geconfronteerd
Phishing
Phishing-aanvallen vormen de basis van veel cyberaanvallen en zijn het hele jaar door een probleem; Tijdens evenementen zoals Black Friday nemen de slagingspercentages van cybercriminelen echter toe.
Fraudeurs zullen gebruik maken van de kansen die worden geboden door de toegenomen transacties en deals door phishing-klanten, door steeds geavanceerdere promotionele e-mails te sturen die nauwelijks te onderscheiden zijn van legitieme e-mails en zo met succes klantgegevens, betalingsinformatie en meer vast te leggen.
En niet alleen klanten lopen risico. Ook uw personeel vergroot uw risicoprofiel; het zijn consumenten en kunnen bedrijfsapparaten gebruiken bij het zoeken naar koopjes op Black Friday, inclusief het omgaan met phishing-e-mails.
Zwakke wachtwoorden
Volgens onderzoek gebruikt ruim de helft van de online consumenten regelmatig dezelfde wachtwoordcombinaties voor zakelijke en persoonlijke accounts CIFASis Black Friday het perfecte moment voor cybercriminelen om grootschalige brute-force-aanvallen uit te proberen. Bij een brute-force-aanval proberen fraudeurs miljoenen potentiële wachtwoordcombinaties uit totdat ze het juiste resultaat krijgen.
Zodra cybercriminelen over deze gegevens beschikken, hebben ze niet alleen toegang tot het aanvankelijk gecompromitteerde account, maar hebben ze mogelijk ook toegang tot nog veel meer accounts, waaronder bedrijfsnetwerken en bedrijfssystemen, waardoor het risicoprofiel van een organisatie dramatisch toeneemt.
Valse websites
Een ander cyberrisico waarmee bedrijven worden geconfronteerd, is het nabootsen van websites. Cybercriminelen zetten nepwebsites op met uitzonderlijke aanbiedingen om te proberen consumentengegevens en financiële gegevens in gevaar te brengen.
De fraudeurs leiden het consumentenverkeer om van echte bedrijfswebsites naar kwaadaardige websites die op overtuigende wijze het legitieme merk nabootsen. Ze bereiken dit meestal “door woorden toe te voegen aan de bedrijfsnaam, woorden anders te spellen of zich te richten op de aanwezigheid van een merk in een bepaald land”, aldus onderzoek van Stille druk.
Oplichters zullen ook SSL-certificaten op deze nepsites installeren, waardoor voor nietsvermoedende gebruikers de schijn van veiligheid en vertrouwen wordt gewekt, waarbij HTTPS en het hangslotsymbool legitimiteit suggereren.
De reputatieschade voor merken die op deze manier het doelwit zijn, kan niet worden onderschat.
Social engineering
Social engineering is een andere aanvalsvector waarmee bedrijven rekening moeten houden. E-commercebedrijven zullen tijdens Black Friday waarschijnlijk het aantal vragen aan de klantenservice dramatisch zien toenemen, waar cybercriminelen mogelijk misbruik van kunnen maken.
Normaal gesproken zal deze aanvalsmethode gericht zijn op het verkrijgen van klantgegevens of het plegen van terugbetalingsfraude, maar ook ambitieuze fraudeurs zullen met deze methode blokkades proberen te vermijden.
Oplichting op sociale media komt ook veel voor, waarbij aanbiedingen en advertenties gericht zijn op gebruikers met nepproducten en -diensten die volledig gericht zijn op het compromitteren van bankpasgegevens of het plegen van online fraude.
Oude toepassingen
Een evenement als Black Friday biedt cybercriminelen de perfecte dekmantel om de kwetsbaarheden van populaire software en applicaties uit te testen, terwijl de aandacht wordt verlegd naar de zekerheid dat apps de plotselinge toename van de vraag kunnen opvangen in plaats van naar beveiliging.
Veel consumenten zullen plotseling apps gebruiken die ze al maanden niet meer hebben gebruikt of bijgewerkt, waardoor cybercriminelen toegang krijgen tot bedrijfsnetwerken, klantgegevens of inloggegevens.
Hoe kunnen bedrijven de cyberveiligheidsrisico's op Black Friday voorblijven?
Cyberbeveiligingsbewustzijn en -educatie
Het implementeren van goede cyberbeveiligingstrainingen en -praktijken over de methoden en processen waarmee kwaadwillige actoren proberen systemen in gevaar te brengen en het gedrag van individuen te beïnvloeden, is essentieel om aanvallers een stap voor te blijven. Deze gedragingen omvatten:
Gebruik sterke wachtwoorden en een wachtwoordbeheerder
Al uw medewerkers moeten complexe wachtwoorden en tweefactorauthenticatie gebruiken en regelmatig wachtwoorden wijzigen. Stel een wachtwoord in beleidsmaatregelen met deze vereisten en zorg ervoor dat iedereen deze naleeft.
Phishing herkennen en melden
Ervoor zorgen dat uw medewerkers vertrouwen hebben in de manier waarop ze potentiële phishing-pogingen kunnen melden en signaleren, is essentieel om deze aanvalsvector aan te pakken. Het empoweren van het personeel door middel van duidelijk beleid, processen en regelmatige training zal zorgen voor een beter beveiligings- en informatiebeheer.
Robuust technologie- en informatiebeveiligingsbeheer
Sterke cyberbeveiligingspraktijken dringen ook door in de systemen die organisaties en individuen gebruiken en, in het geval van organisaties, het beleid dat zij implementeren om robuuste beveiligings- en informatiebeheerprocessen te bevorderen.
Bedrijven moeten rekening houden met het volgende:
Data Protection – Passende processen en technische controles om organisatiegegevens in al hun vormen te identificeren, classificeren en veilig te verwerken zijn essentieel. Hulpmiddelen zoals informatiemanagementsystemen of -frameworks kan organisaties helpen voorkomen dat cybercriminelen toegang krijgen tot bedrijfsgegevens via e-mail, verkeerde configuraties en slecht beveiligingsgedrag.
Veilige configuratie – Waar mogelijk moeten organisaties zich vanaf het begin richten op veilige technische oplossingen, in plaats van er later op in te spelen. Deze aanpak vermindert aanzienlijk de zwakke toegangspunten tot bedrijfsnetwerken waar cybercriminelen misbruik van kunnen maken.
Toegangsbeheer – Effectief beheer van de rechten en privileges van gebruikers en het gebruik van controles zoals meervoudige authenticatie op personeelsaccounts kan een cruciale verdediging zijn tegen het gebruik van gestolen inloggegevens en ongeoorloofde toegang.
Patches en software-updates – Zorg voor regelmatige installatie van updates en patches voor de software in uw organisatie en op de devices van uw medewerkers. Denk na over uw ‘bring your own device’ (BYOD)-beleid en -controles om het meest robuuste beveiligingsniveau te garanderen.
Door te zorgen voor effectieve en proportionele controles om organisatiegegevens en -informatie te beheren, kunnen bedrijven de toegenomen cyberrisico’s deze Black Friday een stap voor blijven.
Het aantonen van solide informatiemanagement- en risicomanagement-referenties zal ook het klantvertrouwen en het succes van uw bedrijf vergroten.
Versterk vandaag nog uw informatiebeheer en risicohouding
Als u uw reis naar betere informatie- en cyberbeveiliging wilt beginnen, kunnen wij u helpen.
Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame benadering van informatiebeheer mogelijk ISO 27001 , NIST en andere kaders. Realiseer vandaag nog uw concurrentievoordeel.
