Diverse gasten van de Nederlandse hotelketen Van der Valk zijn slachtoffer geworden van phishing nadat medewerkers van het bedrijf op een phishinglink hadden geklikt. Dat meldde Tweakers vorige week. Ik wilde vooral even inhaken op “medewerkers trappen in phishing”, want de echte kop is “Van der Valk zo laks met security dat mensen kunnen klikken op phishing-links”.
Bij Nu.nl hebben ze een Telegraaf-abonnement:
De hackers hadden een inlogpagina voor het personeel nagemaakt. Nadat medewerkers daarop hadden geklikt, konden hackers de persoonsgegevens van gasten bekijken. Vervolgens benaderden de hackers gasten. Ze stuurden appjes en mails met de vraag om boekingen te bevestigen en creditcardgegevens in te vullen. Eén gast is op die manier voor 200 euro opgelicht, meldt De Telegraaf.En wat mij hierbij dus ergert, is dat de berichtgeving vervolgens is “medewerkers trappen in phishing”. Want dat legt de schuld wel erg makkelijk bij die medewerkers. Een bedrijf hoort simpelweg maatregelen te nemen zodat dergelijke trucs niet werken.
Ook deze zin gaf veel ophef:
De hotelketen waarschuwt klanten niet als data gestolen zijn, om ‘klanten niet onnodig te verontrusten’.Dat is natuurlijk niet wat de AVG van organisaties eist, en specifiek bij creditcardgegevens is melden ook erg nuttig. Je kunt je kaart blokkeren, afschrijvingen in de gaten houden en zo nodig direct laten terugdraaien. Hier begrijp ik dus niets van.
Arnoud
Lees, “Als we niemand iets vertellen misschien kunnen we dan reputatieschade voorkomen”
Wat natuurlijk averechts werkt.
Zowel dienstverlening bieden als 100% veilig zijn bestaat niet. Het is na zoiets makkelijk om te zeggen dat precies die ene specifieke aanval had moeten worden gestopt.
Dat is vrij stellig. Kan je wijzen op organisaties die dat 100% voor elkaar hebben gekregen op een werkbare en betaalbare manier? Ik leer graag, hoe? Afstappen van e-mail is natuurlijk niet genoeg, phishing kan via elk communicatiekanaal incl. de postbode. En de meeste organisaties bouwen niet zelf software maar nemen licenties af.Alleen nog passwordless ondersteunen voor -alle- webbased applicaties, dan ben je vast een heel eind. Maar ook dat is niet 100% veilig. En zal je moeten afstappen van sommige diensten en bijbehorende dienstverlening naar de klant. Als je vervolgens ook van de klant vraagt dat ze alleen passwordless inloggen voor de online boeking dan lopen ze weg, dus de klant zelf kan je zo niet beschermen.
Enige dat ik kan bedenken voor 100% veilig tegen specifiek phishing (niet tegen alle andere dreigingen) is air gapped werken / elk systeem onbereikbaar laten zijn als je niet op een fysieke kantoorlocatie bent, in deze cloud- en thuiswerk-tijden lastig tot niet werkbaar voor de meeste organisaties. En Diginotar liet zien dat een menselijke fout dan nog steeds kan gebeuren.
Oftewel: waren de maatregelen proportioneel gegeven de risico’s? Ik heb geen idee.
Al moet ik zeggen dat die reactie suggereert dat ze de boel duidelijk niet op orde hebben.. Dit was een schoolvoorbeeld waar informeren nodig is.
Je kanwerknemers bijvoorbeeld de instructie geven om nooit bedrijfsgerelateerde links te openen in de privemail maar alleen in de werkmail, en dan in de werkmail met software pakketten url’s aanpassen zodat werknemers door een grote rode waarschuwingspagina moeten klikken omdat de url extern is. Daar is gewoon bestaande, en betaalbare, software voor. Phishing cursussen e.d. ook voor medewerkers, en evt. een paar keer per jaar een test mail rondsturen om te controleren of de trainingen genoeg gevolg hebben.
Daarmee sluit je inderdaad niet 100% uit dat er gephissed gaat worden, maar maak je het waarschijnlijk wel moeilijk genoeg dat je niet meer het laagsthangende stukje fruit bent, en dat men op zoek gaat naar de volgende.
Een aanpak die voorkomt dat phishing ook tot ongewenste logins leidt is het gebruik van hardware authenticatie tokens. Als het goed is heeft een hotel hier al de infrastructuur voor (pasjes voor de schoonmakers). Voeg een rfid kaartlezer toe aan de computers voor de administratie, eis in de software dat er met een administratie-pas (als 2FA) wordt ingelogd en >99% van de phishing aanvallen wordt in de kiem gesmoord.
En daarbij een goede netwerk segmentatie, zodat je niet van buitenaf bij de administratie komt.
Wat AI hiervan vindt: 😀 Ik heb het artikel van Arnoud gelezen en kan me goed vinden in zijn kritiek. Zijn belangrijkste punt is dat de focus van de berichtgeving ten onrechte op de falende medewerkers ligt, terwijl de verantwoordelijkheid veel meer bij het bedrijf, Van der Valk, zou moeten liggen.
-edit Arnoud: Sorry, ik wil graag reacties van mensen en geen statistisch waarschijnlijke tekstvlakken.-