🌵OldMartijntje

avans 2-2 keuzenmodule cybersecurity

8 min read

ID: M202601271547
Status: MOC
Tags: Avans 2-2 Keuzenmodule, Cybersecurity

avans 2-2 keuzenmodule cybersecurity

Bij het woord Cybersecurity denk je waarschijnlijk aan ingewikkelde code en hackers achter hun schermen, maar wist je dat het grotendeels ook sociale kwesties zijn? De afgelopen 10 weken ben ik bezig geweest met de keuzenmodule cybersecurity bij Avans. Ik ging hier mee beginnen met de gedachte alleen te leren over technische trucjes, maar ik kwam er achter dat er een heel groot menselijk deel aan te pas komt. Ik heb hier mogen leren over persoonlijke en bedrijfs veiligheid. Een groot gedeelte van veiligheid ligt in het bewustzijn van phishing en het opstellen van bruikbare documentatie. Maar het ging verder dan theorie: ik heb zelf ondervonden waarom een goede BCP (Business Continuity Plan) zo kritisch is. Ik raad iedereen aan om zichzelf te verdiepen in de online veiligheid, want ook jouw gegevens kunnen gebruikt worden om iemand anders te scammen.

De keuzenmodule was opgedeelt in 3 delen, “Cybersecurity”, “Weerbaarheid” en “Mens en techniek”. Maar ik ga het over een andere boeg gooien. Aan het begin van mijn blog zal ik het hebben over informatie waar iedereen wat aan heeft, zelfs je oma. En zal het melden zodra de informatie omslaat naar bedrijfsgerichte of programmeurs gerichte informatie.

Algemene Cybersecurity

Phishing

Je hebt vast wel meegekregen dat Odido pas gehackt is en hierdoor gegevens van miljoenen klanten op straat liggen. Dit is gebeurt door de hackersgroep ShinyHunters. Deze hack is alleen niet gebeurt door een computer virus, of iemand met een zwarte hoodie die malware pakketjes tussen de firewall heen sluist. Odido is gehackt door een Phishing mail, een van de medewerkers heeft de hackers het wachtwoord gegeven zonder dat de medewerker het door had. Phishing is een scam waarbij iemand zich voor doet als een organisatie, in de hoop dat mensen denken dat jij echt bij de organisatie thuis hoort. In het geval van Odido deed de hacker zich voor als een medewerker van de ICT-afdeling, een klantenservicemedewerker is hier ingetrapt.

Phishing gebeurt niet alleen bij bedrijven. Heb je ooit wel eens een SMSje gekregen die er ongeveer zo uit zag: Hi mum, my phone broke and I have a new one, please save this number Nu is dit heel simpel te herkennen als je geen moeder bent. Maar als je wel een moeder bent, kan je het beste maar controleren of het klopt. Jammer genoeg is vragen om de naam van jouw kind niet voldoende om de echtheid van het SMSje te valideren. Dit is namelijk omdat deze informatie te vinden is op het internet. Denk aan mensen die vrijwillig foto’s posten op Facebook en Instagram, of aan datalekken zoals Odido. Je hebt een heel groot digitaal voetafdruk die mensen helpt om echt lijkende Phishing berichten te sturen.

OSINT

Je kan er tegenwoordig vanuit gaan dat je voornaam, achternaam, telefoonnummer, woonadres en emailadres gewoon openbaar te vinden is op het internet. Met deze informatie kan je dus je kinderen op het zelfde adres vinden, accounts die aan jouw telefoon of email hangen. En vanaf die accounts kan je weer vrienden vinden…

Er zijn heel veel “speeltjes” waarmee je mensen hun informatie aan elkaar kunt koppelen, dit heet OSINT. Ik heb mijn gebruikersnaam “oldmartijntje” opgezocht in 1 van zulke websites en heb al direct 9 accounts van me gevonden, en 625 websites waar mijn naam genoemd wordt. En dat duurde 1 minuutje om op te zoeken. Hiervan was ik zelf al weer 2 accounts vergeten, en als je dan bedenkt dat dit 1 van de tools is die je kan gebruiken, bedenk dan maar eens wat iemand kan met veel tijd en meerdere tools.

Dit is dus ook de rede dat er zoveel phising berichten zijn die slagen, omdat het al heel snel betrouwbaar over komt wanneer je volledige naam en woonadres in een berichtje van “de bank” staat.

Verdediging tegen Phishing

De beste verdediging tegen Phishing is om er vanaf te weten. Phishing komt overal voor, via SMS, mail, Whatsapp, LinkedIn, Discord, Facebook en het kan zelfs door te bellen. Het zou natuurlijk echt zo kunnen zijn dat je dochter haar telefoon kapot is gegaan, maar als je een appje krijgt die zegt dat het zo is kan je het beste de volgende dingen doen:

  1. Controleer het: Als iemand zegt je kind of een bekende te zijn, bel dan zelf even op via het oude nummer of een ander kanaal (social media) waarmee je eerder contact had. Vertrouw het nieuwe nummer niet meteen.
  2. Let op de toon van het bericht: Phishingberichten wekken vaak haast op: “Betaal nu”, “Je account wordt geblokkeerd” of “Reageer binnen 10 minuten”. Echte instanties vragen zelden om directe actie via bericht.
  3. Bekijk het adres goed: Klik niet op links in e-mails of berichten. Controleer in plaats daarvan handmatig of het adres klopt door de officiële website te openen in je browser. rnicrosoft.com lijkt namelijk heel erg op microsoft.com, maar is zeker niet de officiele website.
  4. Gebruik tweestapsverificatie (2FA): Zelfs als iemand je wachtwoord in handen krijgt, helpt 2FA voorkomen dat ze toegang krijgen tot je accounts.
  5. Bellen is gene garantie: Het is zo logisch dat als je de stem hoort van je broer over de telefoon, dat het dan ook de broer is. Maar tegenwoordig kan dat allemaal gegenereerd worden door AI.
  6. Denk na: Jouw bank zal je nooit bellen of SMSen, ze zullen contact opnemen via de officiele kanalen van de bank zelf zoals de berichtenbox in de bank app. Als je gebeld wordt door “een bank” kan je dus het beste ophangen en zelf contact opnemen met de bank via de officiële manieren zoals het telefoonnummer op hun website.

En je kan ook altijd een code woord afspreken met je familie. Dit is een woord die iedereen kent en kan gebruiken in het geval dat je een appje moet sturen die verdacht over kan komen. Maar dan moet je wel een woord kiezen die niet te achterhalen valt, en die moet je dan ook niet online zetten / vertellen aan andere mensen.

Account beveiliging

We weten al een paar jaar dat het niet slim is om je geboortedatum of trouwdatum in je wachtwoord te stoppen omdat het simpel te raden is. Maar dat is ook zo met backup vragen zoals Wat is de naam van je 1e huisdier. De kans is redelijk aanwezig dat deze informatie online te vinden is. Het is veiliger om dit soort opties uit te zetten en in plaats daarvan Multi Factor Authentication te gebruiken. En als je de keuze hebt het liefst kiezen voor een Authenticator app zoals die van Google of Microsoft, want dat is veiliger dan SMS.

Social Engineering

Stel je de situatie voor, je staat bij een poortje waarvoor je een keycard nodig hebt om naar binnen te gaan. Deze heb jij natuurlijk als medewerker. Maar dan komt er iemand aangelopen die zijn handen vol heeft met een dienblad vol koffie. De meeste mensen zullen hier dus kiezen om de persoon met het dienblad naar binnen te laten via jouw pasje. Dit is omdat mensen biologisch zijn “ingesteld” dat we elkaar willen helpen. Maar dat is dus ook al te graag iets waar hackers gebruik van willen maken. Want een hacker is niet alleen digitaal, een hacker kan ook fysiek hacken door wanneer hij binnen is zijn laptop te verbinden met het netwerk.

Computer beveiliging

Gevonden voorwerpen

Een redelijk vaak gebruikte aanvalsmethode is om een USB stick met een virus ergens neer te leggen. Zodra iemand die dan in zijn computer steekt installeert de virus zichzelf direct en heb je een probleem. Dit kan gebeuren met alle vormen van storage zoals usb-sticks, SD kaarten, HDD’s, SSD’s, Floppy disks en DVD’s. Stop dus nooit zomaar iets in uw computer.

Maar USB-C kabels op zichzelf kunnen ook gevaarlijk zijn, denk aan een beeldscherm waarin stiekem een computertje is gestopt die zich voordoet als een toetsenbord. Zodra je dan het scherm in je laptop steekt kunnen er direct gevaarlijke commando’s worden uitgevoerd, want Windows vertrouwt toetsenborden automatisch.

Software updates

Een van de makkelijkste manieren om je apparaten te beschermen is simpelweg: update alles regelmatig.
Veel mensen stellen updates uit omdat het “nu even niet uitkomt”, maar hackers zijn er juist razendsnel bij om bekende kwetsbaarheden te misbruiken. Zodra een update beschikbaar is, weten zij namelijk ook precies waar de gaten zaten in de vorige versie. Hierbij heb ik de volgende 2 tips:

  1. Zet automatische updates aan waar dat kan.
  2. Update niet alleen je laptop of telefoon, maar ook randapparatuur zoals routers, camera’s of slimme apparaten (IoT).

Fysieke toegang

Je kunt je digitale beveiliging nog zo goed op orde hebben, maar als iemand fysieke toegang krijgt tot je laptop of kantoor, kunnen al die maatregelen in Ă©Ă©n keer teniet worden gedaan.
Een wachtwoord op je laptop beschermt je vooral tegen iemand die even snel probeert in te loggen. Maar als je geen BitLocker (of een vergelijkbare schijfversleuteling) hebt ingeschakeld en geen BIOS-wachtwoord gebruikt, kan iemand simpelweg je laptop meenemen en via een ander besturingssysteem zoals Linux toegang krijgen tot al je bestanden.

Daarom is het belangrijk om niet alleen digitale, maar ook fysieke beveiliging serieus te nemen.
En als termen als BIOS of BitLocker je allemaal wat technisch in de oren klinken en je niemand in de buurt hebt om hier hulp bij te vragen, geen paniek. De eenvoudigste én vaak effectiefste maatregel is simpel: laat je laptop nooit onbeheerd achter. Niet op school, niet op kantoor en zeker niet in de trein of in een café.
Een paar seconden onoplettendheid kunnen al voldoende zijn om een groot datalek te veroorzaken.

Graph View

Backlinks