Kenmerken | Incidenten herkennen

Deze site is er om je te wapenen tegen beveiligingsincidenten. Maar wanneer is er sprake van een incident? Wat zie je als gebruiker, waar moet je alert op zijn? In dit onderdeel van de site wordt uitgelegd wat beveiligingsincidenten zijn en hoe je deze kunt herkennen. Verder wordt toegelicht welke actie je kunt ondernemen om de gevolgen van een incident terug te dringen en wanneer je een incident moet melden.

Besmetting

Om te beginnen enkele signalen waaraan je kunt herkennen dat er een incident heeft plaatsgevonden, waardoor jouw device is geïnfecteerd:

je device is plotseling erg traag;
je krijgt vreemde meldingen te zien;
je ziet veel pop-ups tijdens het surfen;
er staan bestanden op je device die je nog nooit eerder hebt gezien;
je bent bestanden kwijt, je harde schijf is geheel of gedeeltelijk gewist;
je startpagina is gewijzigd;
er bevindt zich een nieuwe werkbalk in je browser waar je niet om hebt gevraagd;
je krijgt waarschuwingen van vrienden of collega’s dat je vreemde e-mails naar hen verstuurt;
je virusscanner haalt geen updates meer op of geeft vage foutmeldingen.

Bij één of meer van bovenstaande signalen is de kans groot dat je device besmet is geraakt als gevolg van een beveiligingsincident. Veel besmettingen worden veroorzaakt door phishing. Als je in staat bent phishing te herkennen, kun je zelf veel problemen voorkomen.

Phishing

Phishing is een vorm van oplichting op het internet. Aan de volgende trucs kun je phishing-mails herkennen:

er wordt gevraagd naar persoonlijke gegevens;
er zijn bijlagen bijgevoegd, open nooit .zip, .exe, .js, .Ink, .scr, .jar, bestanden. Ook .doc bestanden kunnen schadelijk zijn;
de aanhef is onpersoonlijk, zoals ‘Geachte klant’ of ‘Beste heer/mevrouw’;
de afzender van het bericht is niet duidelijk, bijvoorbeeld een vreemd of afwijkend mailadres;
het bericht is zonder aanleiding verstuurd en komt onverwacht;
de mail bevat een link naar een schadelijke website

Houd er rekening mee dat niet alle tekens in één e-mail aanwezig zijn. Criminelen worden tegenwoordig steeds slimmer en kennen middelen om bovenstaande kenmerken te omzeilen. Ze hebben tegenwoordig zelfs manieren gevonden om MFA-beveiliging te omzeilen.

Gebruik naast deze signalen altijd uw gezond verstand wanneer u een e-mail ontvangt. Oplichters worden steeds sluwder en hun e-mails beginnen op legitieme e-mails te lijken.

De Universiteit gebruikt MFA om het hackers moeilijker te maken om een account over te nemen. Het weten van een gebruikersnaam en wachtwoord is dan niet meer voldoende. Maar MFA is ook niet 100% veillig.

Zogenaamde AitM (Adversary-in-the-Middle) phishing is een geavanceerde techniek waarmee hackers niet alleen je wachtwoord, maar ook je MFA-code kunnen stelen, en zo direct toegang krijgen tot je accounts. In tegenstelling tot klassieke phishing, waarbij alleen inloggegevens worden buitgemaakt, fungeert AiTM phishing als een ‘tussenpersoon’ die jouw hele sessie overneemt. Dit betekent dat zelfs als je sterke wachtwoorden en MFA gebruikt, je veiligheid niet gegarandeerd is.

Wat is AiTM Phishing?

AitM phishing is een slimme vorm van phishing waarbij hackers zich letterlijk tussen jou en de website plaatsen waarop je inlogt. Ze doen dit door middel van een kwaadaardige proxyserver die fungeert als ‘tussenpersoon’ tussen jou en de echte website. Dit stelt hen in staat niet alleen je inloggegevens te stelen, maar ook je MFA-codes en daarmee actieve sessies over te nemen.

Hoe werkt het?

Phishinglink ontvangen: Je ontvangt een e-mail met een link naar een nep-inlogpagina.
Tussenpersoon-aanval: De nep-pagina stuurt alle ingevoerde gegevens door naar de echte website, inclusief je MFA-code.
Sessiekaping: De hacker onderschept de authenticatie-informatie, waardoor hij zonder verdere authenticatie toegang blijft houden tot je account.

Het grote gevaar? Omdat de echte website in dit proces wordt gebruikt, merk je vaak niet dat je gegevens al gestolen zijn!

Waarom is AiTM Phishing zo gevaarlijk?

MFA-bypass: AiTM phishing kan MFA omzeilen, waardoor de extra beveiligingslaag die je hebt ingesteld, ineffectief wordt.
Onzichtbare aanval: Omdat de echte website wordt gebruikt en sessies worden overgenomen, merk je vaak niets van de aanval.
Geschikt voor grootschalige aanvallen: Hackers kunnen geautomatiseerde tools inzetten om meerdere accounts tegelijk aan te vallen.

Wat kan jij doen?

Bij twijfel over een mail, neem contact op met de instantie waarvan je bericht hebt ontvangen, om de echtheid van het bericht te controleren. Neem geen contact op via de gegevens in de mail (link / telefoonnummer), maar zoek zelf de website van de instantie op en gebruik de contactgegevens die je daar vindt.
Meldt phishing altijd bij CERT-UT.
Doe dit ook als je niet zeker bent of je een phishing mail hebt ontvangen. De medewerkers van CERT-UT zijn zeer bedreven in het onderzoeken en herkennen van phishing. Beter een paar keer een niet-phishing melden dan een keer een echte phishing niet melden en slachtoffer worden.
Heb je toch op een link in een phishing-mail geklikt en informatie doorgegeven? Doe dan het volgende:
- meld CERT-UT dat jij een phishing-mail hebt ontvangen en daarop hebt gereageerd.
- wijzig belangrijke wachtwoorden;
- blokkeer je bankpas of creditcard als je de gegevens hiervan hebt verstrekt;