Naar inhoud

Op Goede Vrijdag mogen bankiers gerust hun zonden overdenken

In 2018 heeft phishing bij internetbankieren bijna 3,81 miljoen euro aan schade opgeleverd. In 2017 bedroeg die schade maar 1,05 miljoen euro. Dit leert een onderzoek van Betaalvereniging Nederland, de branchevereniging voor het betalingsverkeer. Je mag verwachting dat deze stijging de alarmbellen laat afgaan bij banken. De rauwe realiteit schetst echter een ander beeld. Want in plaats van daadwerkelijk actie te ondernemen, leggen financiële instellingen vooral de nadruk op de verantwoordelijkheid van de consumenten. Goede Vrijdag is gelukkig een mooie dag voor bankiers om hun zonden te overdenken.

Reductie gevaar phishing

“Opvallend genoeg zijn de technische oplossingen voor deze problematiek al vele jaren beschikbaar. Ze worden alleen niet gebruikt”, stelt Maarten Robbrecht. Hij is werkzaam als sales executive manager Benelux & Nordics bij IT-dienstverlener Infoblox. Als voorbeeld van de mogelijke technische maatregelen noemt hij de beveiliging van domain name servers. Al het wereldwijde internetverkeer loopt via DNS, die de vertaling regelen van domeinnamen naar IP-adressen. Die centrale positie maakt het DNS een van de belangrijkste punten voor het ter hand nemen van de beveiliging van internetverkeer. Door al het verkeer dat door het DNS loopt te analyseren, zijn diverse oplossingen mogelijk die het gevaar van phishing sterk kunnen reduceren:

  • Threat intel – informatie over verdachte domeinen en IP-adressen, de zogenaamde reputational feed – is beschikbaar van vele leveranciers en stelt beheerders in staat spam en malafide e-mails te herkennen en te blokkeren.
  • Intelligente systemen kunnen met behulp van analyse via machine learning verdacht gedrag signaleren, zoals ogenschijnlijk onschuldige domeinen die voortdurend van IP-adres wisselen, domeinnamen die net even anders zijn gespeld die look-a-likes genoemd worden, of automatisch door algoritmes gegenereerde domeinnamen. Daardoor is het mogelijk verkeer van en naar deze domeinen snel te blokkeren.
  • Als iemand desondanks een phishing mail ontvangt en vervolgens op een link klikt die naar een verdacht domein of IP-adres leidt, kan dat verkeer worden gedetecteerd en geblokkeerd.
  • Er zijn diverse standaarden die veilige e-mails ondersteunen zoals SPF, DKIM en DMARC, zodat de ontvanger zeker is van de bron van de e-mail en bedrijven kunnen voorkomen dat hun domein misbruikt wordt voor phishing of spam.

Digitale weerbaarheid

Dat een zeer groot deel van het online misbruik blijft bestaan – en zelfs floreert op dit moment – komt voor een belangrijk deel doordat te weinig gebruik wordt gemaakt van deze oplossingen. Het Nationaal Cyber Security Centrum constateerde in het 'Cybersecuritybeeld 2018' nog dat de digitale weerbaarheid van Nederland onder druk staat en dat organisaties succesvol worden aangevallen met eenvoudige methoden.

Voorkoming van incidenten

“Voorkoming van die incidenten en beperking van de bijbehorende schade was mogelijk geweest als organisaties de moeite hadden genomen basismaatregelen te nemen die soms al vele jaren beschikbaar zijn”, duidt Maarten Robbrecht. “Een voorbeeld is het gebruik van domain name system security extensions. DNSSEC is een manier om te garanderen dat het IP-adres dat terugkomt op een DNS-query ook werkelijk het juiste is. En het bestaat al zeker 15 jaar. Toch is wereldwijd maar 15 procent van het internetverkeer ermee beveiligd. Dat wil zeggen dat je maar in 15 procent van de gevallen echt zeker weet dat een klik op een link je ook werkelijk naar de juiste bijbehorende website brengt.”

Verantwoordelijkheid banken

“DNSSEC is zeker geen heilige graal”, benadrukt Maarten Robbrecht. “Cybersecurity is een voortdurende strijd waarin de beste verdediging ligt in een samenspel van degelijke oplossingen op alle niveaus in de informatieketen. Als organisaties in die keten gaten laten vallen, zijn cybercriminelen er als de kippen bij om daar misbruik van te maken. En dat is precies wat we nu zien gebeuren!”

Geïntegreerde cybersecuritystrategie

Maarten Robbrecht roept organisaties dan ook op tot meer aandacht voor een goede, geïntegreerde cybersecuritystrategie: “Individuele burgers zijn nauwelijks nog in staat zich te verdedigen zonder de hulp van de organisaties die hen de technologie aanbieden waarover hun gevoelige gegevens lopen. Daar ligt een grote verantwoordelijkheid. Als daar geen serieuze stappen worden gemaakt, blijft de schade in het komende jaren aanzienlijk groeien.”

Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie