Hoe voorkom je cybercrime? Vijf praktische tips.

Links en rechts hoor je over digitale ellende. Cyberaanvallen op bedrijven zijn aan de orde van de dag, verder aangewakkerd door het conflict in Oekraïne. Naast criminelen die laagdrempelig een buit binnen willen halen, zien we ook een stijging van het aantal aanvallen door statelijke actoren.

“State-wie?!”

Overheden. Ik weet ook niet zo goed waarom daar ‘in het vak’ zo’n overbodig ingewikkelde term voor wordt gebruikt.

Afijn. Tijd voor een stukje brute waarheid: de grootst mogelijke oorzaak van een cyberaanval op je bedrijf ben jij waarschijnlijk zelf.

“Ho, ho! Beweer je nu dat ik allerlei ongure zaken uitspook op mijn werk-apparaten?” Niet helemaal. Wat ik bedoel is dit:

Laten we eerlijk zijn: het kan iedereen overkomen. Dus telt een gewaarschuwd mens voor twee. En een gewaarschuwd mens, gewapend met voorkennis telt misschien zelfs wel voor drie. Dus ga ik je in de rest van dit blog wat tips geven waarmee je jezelf weer een stukje beter kunt wapenen tegen malafide mails en wankele websites. Schrijf je mee?

1. Installeer een wachtwoordmanager

Dat het onverstandig is om overal hetzelfde wachtwoord te gebruiken, weet je waarschijnlijk wel. Maar voor elk programma en elke website die je gebruikt een apart wachtwoord aanmaken èn onthouden is natuurlijk geen doen. Daar zijn wachtwoordmanagers voor.

Een wachtwoordmanager is een soort kluis voor al je wachtwoorden. Komt erop neer dat je één master-wachtwoord nodig hebt om bij de rest van je inloggegevens te kunnen. Best praktisch; zo hoef je maar een enkel wachtwoord te onthouden in plaats van 73 verschillende. Je moet alles even instellen, maar daarna maakt zo’n programma je leven écht een stuk makkelijker. Voorbeelden van veelgebruikte, goede wachtwoordmanagers zijn LastPass (gratis, met premium opties), Bitwarden (gratis, met premium opties) en 1Password ($36 per jaar voor persoonlijk gebruik).

2. Gebruik Multi-Factor Authenticatie (MFA)

Je kent het wel: log je in met je wachtwoord, moet je nog he-le-maal je telefoon erbij pakken om de login goed te keuren door op een notificatie te drukken. Of, nog erger: om een complete code in te voeren. Superirritant. Dat. Dat is MFA.

MFA gaat uit van het feit dat alleen een wachtwoord niet meer genoeg is. Bij het inloggen moet je daarom een combinatie gebruiken van minimaal twee van de drie onderstaande punten:

  • Iets wat je weet, bijvoorbeeld je wachtwoord.
  • Iets wat je hebt, bijvoorbeeld je emailadres waar een inlogcode heen wordt gestuurd
  • Iets wat je bent, bijvoorbeeld een vingerafdruk om je telefoon te ontgrendelen en op die notificatie te tikken

De gedachte erachter is dat elke gebruikte factor het cybercriminelen weer een stap moeilijker maken om accounts te stelen. Steeds meer websites en apps maken er gebruik van en vereisen het soms zelfs. Irritant, elke keer zo’n code invoeren, maar wel veilig.

3. Investeer in goede beveiligings-software…

Er bestaat nogal wat software die je helpt om je apparaten veilig te houden, zoals virus-scanners, back-up-diensten en VPNs. En dan heb je daarbinnen weer betaalde en gratis versies, die ook weer allemaal hun eigen functionaliteiten-pakket hebben. Ik kan me voorstellen dat je soms door het digi-bos de software-bomen niet meer ziet. Het is geen doen om gedetailleerd op je opties in te gaan, maar ik kan je wel meegeven waar je op wilt letten bij het kiezen van je beveiligings-software:

  • Wat is de specialisatie van de software?
    Elke beveiligings-software heeft een zwaartepunt in wat ze aanbieden. Zo is Norton bijvoorbeeld een bedrijf met roots in antivirus-software (hoewel hun diensten inmiddels zijn uitgebreid). En dan is NordVPN bijvoorbeeld een bedrijf wat zich weer specialiseert in het  veilig en privé houden van al je online-activiteiten. Kies wat je nodig hebt voor jouw situatie.

  • Prijs/kwaliteit/kwantiteit
    Veel beveiligings-software biedt pakketten met licenties voor meerdere apparaten (bijvoorbeeld 5 apparaten). Als je bijvoobeeld een een PC en twee laptops hebt, is dit verstandig omdat je dan met één abonnement al je apparaten kunt beschermen. Maar er zijn ook softwarepakketten waar je per licentie betaalt. Bedenk wat voor jouw samenstelling van apparaten het meest voordelig is.
  • Vergelijk de functionaliteiten
    Als je eenmaal met een tevreden glimlach een shortlist van keuzes voor beveiligings-software hebt samengesteld, is het tijd om écht te gaan vergelijken. Check goed waar je precies voor betaalt. “Smart Home Protection” klinkt bijvoorbeeld superinteressant maar als je geen slimme lampen of koelkast hebt, heb je er weinig aan. Ook bieden bijvoorbeeld sommige softwarepakketten een ingebouwde password-manager (zie tip 1!) en anderen weer niet. Vergelijk zorgvuldig.

En als je dan een pakket hebt gekozen, ben je er nog niet. Het is het zaak om de boel goed bij te houden.

4. …en houd deze (en je andere) software up-to-date

Er zijn namelijk ook genoeg voorbeelden van hacks en datalekken die veroorzaakt zijn door gaten in software en niet door menselijk handelen. Daarom is het belangrijk om alle software die je gebruikt regelmatig te updaten. Er worden in operating systems (zoals Windows), browsers en praktisch alle software, continu kwetsbaarheden ontdekt. Soms worden ze opgelost voordat iemand er misbruik van heeft kunnen maken, soms niet. Wil je zeker weten dat je zo goed mogelijk beschermd bent? Zorg er dan voor dat je altijd de nieuwste updates installeert. Het handigste is om gewoon “Automatisch Updaten” aan te vinken voor je programma’s.

5. Herken verdachte mails en websites

Komen we weer even terug bij dat plaatje hierboven. Want alle genoemde tips gaan je niet zomaar uit de brand helpen als je tóch op die link in de email klikt en je wachtwoord invoert op een namaak-site. (Met uitzondering van 2FA dan, hè? Dat is daar nu juist voor bedoeld.)

Om te checken of de link in je mail, of de website waar je je op bevindt wel legitiem is, kun je een paar dingen doen:

  • Let goed op de URL, spelfouten en design
    Kijk vooral eerst goed naar het webadres van de site waar je je bevindt. Klopt dat wel?

  • Check of je een beveiligde HTTPS-verbinding met de site hebt.
    Dit verzekert je ervan dat al het verkeer tussen jou en de website versleuteld is. Je kunt ’t checken aan de hand van het slotje wat in de adresbalk naast het website-adres staat. Geen slotje? Open slotje? Wees dan supervoorzichtig met wat je op de site doet.

  • Haal de website door een Safety Checker.
    Twijfel je aan de hand van bovenstaande, zijn er nog twee dingen die je extra kunt doen. Zo zijn er online tools om te checken of een website wel veilig is. Google heeft bijvoorbeeld een zoekfunctie voor de veiligheidsstatus van websites die je vertelt of het al dan niet gevaarlijk is een website te bezoeken. Voor een vergelijkbare, uitgebreidere check met meer gedetailleerde informatie, kun je terecht op URLvoid.

  • Onderzoek de socialmedia-aanwezigheid van het bedrijf
    Een laatste, effectieve manier om de legitimiteit van een (bedrijfs-)website te checken is om het bedrijf op te zoeken op social media. Kijk bijvoorbeeld naar de Facebook- of LinkedIn-pagina van een bedrijf. Ziet dat er legitiem uit? Hoeveel mensen werken er? Bestaan die pagina’s überhaupt?

Als je bovenstaande naast elkaar legt, zou je een aardig compleet beeld moeten kunnen vormen van hoe legitiem een website is. Kun je zelf inschatten hoeveel gevaar je loopt. En oh ja, ik zou nog iets schrijven over email herkennen, maar dit stuk is inmiddels aan de maat. Wil je weten waar je op moet letten bij het checken van de legitimiteit van een mail, lees hier dan effe verder.