woensdag 4 november 2009

De beste beveiliging ben je zelf

Ik heb het vaak geroepen, maar zeker op het gebied van internet is er geen betere beveiliging dan je eigen gezonde verstand. Ik ben redelijk bekend met beveiligingsrisico’s en ik heb twee firewalls, een virusscanner, mijn software is up-to-date en mijn SPAM voorziening werkt op 3 lagen: Provider, Lokale software (Outlook) en een eigen filter die alles wat er toch nog doorheen komt direct om zeep helpt zodat ik het niet eens hoef te zien. Nu heb ik zeer zelden maar gehad dat mijn virusscanner mij waarschuwde dat een te openen bestand een virus bevatte. Toch is een virus maar een klein onderdeel van het probleem.

De grootste valkuilen zijn onwetendheid, goedgelovigheid en social engineering.

Soms krijg ik wel eens mailtjes binnen met dat er een meisje is vermist, of dat Bill Gates zijn vermogen wil weggeven. Ik reageer daar nogal bot op en brand de verzender zelfs nog wel eens publieke af onder het mom van “zo leer je het misschien het snelst.”. Veel van die mailtjes lijken namelijk onschuldig, maar zijn het niet. Meer dan eens (volgens mij altijd) blijkt zo’n vermissing een hoax (=broodje aap) te zijn. Onschuldig is dit niet, want als er gegevens in zo’n mail staan wordt iemand jarenlang geconfronteerd met zo’n onjuist bericht. Mensen die dit soort berichten doorsturen zijn in mijn ogen ook vaak een potentieel slachtoffer van social engineering.

Door mijn gezonde hoeveelheid scepsis ben ik vaak behoed voor oplichting, maar ook ik mis welleens iets. Zo kreeg ik begin dit jaar een factuur van de KvK.. Kantoor Voor Klanten wel te verstaan! Het was dus gewoon een slinkse aanbieding die ongeveer net zoveel kostte als mijn jaarbijdrage aan de echte KvK. Alleen maar doordat ik de factuur niet meteen betaal werd ik via nu.nl erop gewezen dat het om misleiding ging. Anders was ik er gewoon mee het schip in gegaan.

Tegenwoordig kun je social media zoals Twitter, Facebook, Hyves, Plaxo e.d. aan elkaar plakken. Je vult op een site de gegevens in voor de andere dienst en voila, er wordt je een hoop werk bespaard. Een kwaadwillende kan natuurlijk deze gebruikersnaam en wachtwoord opslaan en later gebruiken om uit naam van iemand anders spam te versturen. Maar erger nog: Hoe vaak gebruik je voor verschillende diensten hetzelfde wachtwoord? Als je op Facebook een bepaald wachtwoord gebruikt, misschien gebruik je die ook wel bij Bol.Com. Even een adres aanpassen en er kan uit jouw naam besteld worden.

De vele mogelijkheden van tegenwoordig (waar velen ook legitiem zijn!) maken de risico’s om slachtoffer te worden van misbruik ook groter. Zeg nu zelf? Zou je ooit aan een bank je pincode geven van een bankpas bij een andere bank? Nee, toch is dit gebruikersnaam/wachtwoord weggeven net zo iets. Overigens moet je je pincode nooit weggeven, maar dat terzijde. Toch zondig ik me ook wel eens aan dit gedrag. Al let ik dan wel goed op, ik doe het niet zomaar. Toch blijft het niet slim. In Hyves bijvoorbeeld kun je Gadgets of Widgets aan je pagina toevoegen. Als je die op de juiste manier vorm geeft kun je gebruikers verleiden een gebruikersnaam en wachtwoord in te voeren. Of stel je krijgt een mail van Plaxo dat iemand je heeft uitgenodigd. Nu wordt je niet naar de plaxo.com site geleid maar naar plaxo.org en die ziet er exact hetzelfde uit, om je uitnodiging te zien moet je nog wel even inloggen…. En voila, daar staat je agenda en contactenboek direct open voor alles wat ermee gedaan kan worden.

Techniek werkt steeds beter, Windows is steeds veiliger, virusscanners steeds sneller up-to-date en zelfs browsers waarschuwen je voor potentieel gevaarlijke sites, maar voor social enginering blijft altijd ruimte en de enige die daar wat tegen kan doen ben jezelf, het individu. En al ben je nog zo scherp, je moet ook de mensen om je heen helpen: Je moeder, je kinderen, je partner. Want als je niet dagelijks met computers bezig bent is het gewoon lastiger te bepalen wat potentieel gevaarlijk is en wat niet.

Daarnaast zijn er altijd signalen waar je alert op moet zijn: Spelfouten, wordt je persoonlijk aangesproken of wordt je nickname gebruikt. Wordt er potentieel gevoelige data aan je gevraagd en zegt je intuitie je iets.

De laatste scam kwam van http://www.geheim-bericht.com . Ik kreeg een geheim bericht van een bekende van me, na klikken kun je dan inloggen op wat de gebruiker denkt dat MSN is. Dan moet je je 06 nummer invoeren en krijg je een SMS abonnement. Natuurlijk trap je daar niet in, maar het addertje zit hem in het inloggen. Daarmee geef je namelijk je gegevens weg en wordt jouw adresboek misbruikt om nog meer berichten te sturen. Dit is overigens illegaal en ik hoop dat de jonge manner hierachter er spijt van krijgen, zie voor een helder artikel: http://www.hackblog.nl/216-de-bvs-achter-geheim-bericht-nl.html

Wees alert, en help je omgeving! En als laatste tip, gebruik voor elke registratie een ander wachtwoord. Er zijn meerder tools en mogelijkheden om dit beheersbaar te houden. Veel beginnende webwinkels slaan wachtwoorden niet altijd versleuteld op, de beheerder van de site kan zo wachtwoorden en gebruikersnamen van klanten gebruiken om te proberen op andere sites in te loggen.