Laat criminelen er niet vandoor gaan met het geld en de gegevens van klanten

Ali Neil_Verizon

Met Black Friday, Sinterklaas en Kerstmis in aantocht zal binnenkort iedereen weer op jacht zijn naar de beste koopjes. Volgens onderzoek van Thuiswinkel.org zullen de feestdagen van 2021 een recordjaar betekenen voor de (digitale) retail.

In al deze opwinding is het eenvoudig om de basisprincipes van online beveiliging te vergeten. Hierdoor kunnen consumenten en retailers makkelijke en winstgevende doelwitten worden voor cybercriminelen.


Ons Verizon Business 2021 Data Breach Investigations Report (2021 DBIR) heeft onlangs aangetoond dat cybercriminelen zich voornamelijk richten op gevoelige gegevens in winkels. Het gaan dan met name om betaalgegevens van consumenten (42%), persoonlijke informatie (41%) en inloggegevens (33%).

Als iets te mooi lijkt om waar te zijn, is het dat waarschijnlijk ook!

De detailhandel blijft een interessant doelwit voor financieel gemotiveerde criminelen die munt willen slaan uit het feit dat deze sector over zowel betaalkaart- als persoonsgegevens beschikt. Gebruikte tactieken zijn onder meer pretexting en phishing, waarbij de eerste meestal resulteert in frauduleuze geldtransacties. Bij 77 procent van de datalekken die in het DBIR voor 2021 in de detailhandel zijn onderzocht, werd van deze tactieken gebruikgemaakt.

Phishing-campagnes kunnen worden onderverdeeld in vier verschillende groepen. De eerste is oplichting, bijvoorbeeld een e-mail van een familielid dat in het buitenland vastzit en geld nodig heeft om thuis te komen. De tweede is merkimitatie, waarbij de e-mail zogenaamd afkomstig is van een bank of een bekend merk en de gebruiker wordt gevraagd een betaling te bevestigen of een koopje wordt aangeboden. De derde is afpersing, bedoeld om de gebruiker bang te maken. En tot slot is er Business Email Compromise (BEC), een zeer gerichte aanval op een bedrijf in plaats van op een individu. Bij alle aanvallen worden gebruikers aangespoord om op links te klikken, die hen naar valse pagina's leiden, of om vertrouwelijke informatie te sturen.

Het gebruik van QR-codes is tijdens de pandemie ook toegenomen, vooral bij kleinere winkeliers en horecagelegenheden, als een gemakkelijke bestel- en betaaloplossing. Consumenten moeten echter oppassen, want deze codes kunnen hen ook naar schadelijke URL's leiden waarin ze worden gevraagd een betaling te verrichten, locatiegegevens te delen of een social media-account te linken. Dit alles zonder hun medeweten, met als doel om persoonlijke inlog- en betaalgegevens te stelen.

Als een bedrijf een korting aanbiedt die te mooi is om waar te zijn - dan is het dat waarschijnlijk ook! Klik niet op de link!

Het belangrijkste advies om phishing te voorkomen is natuurlijk om de e-mails niet te openen, maar onze menselijke aard en nieuwsgierigheid maken dit makkelijker gezegd dan gedaan.

Training is hier de beste verdediging. Werknemers dienen regelmatig getraind te worden over phishing-aanvallen en hoe ze deze kunnen herkennen. Zo kunnen vertrouwelijke gegevens binnen een bedrijf worden beschermd en is een werknemer bij het doen van zijn eigen online aankopen ook geholpen.

Het evenwicht bewaren - de verantwoordelijkheid van de retailer

In de wereld van cybersecurity verkeren detailhandelaren in de lastige situatie dat zij rekening moeten houden met zowel hun eigen beveiliging als die van hun vele klanten. In het digitale tijdperk van nu is het belangrijk om zoveel mogelijk beveiligingsmaatregelen te treffen. Maar het is net zo belangrijk dat een bedrijf zich bewust is van wat cybercriminelen willen en hoe ze dat doen. Openstaan voor de nieuwste technologieën is van onschatbare waarde om potentiële aanvallers altijd een stap voor te zijn.

Uit onze gegevens blijkt dat in de afgelopen 5 jaar, 35 procent van de 1.354 inbraken waarbij betaalkaartgegevens werden gestolen, het gevolg was van gecompromitteerde Point of Sale-systemen (PoS), zoals gebruikt in fysieke winkels. 38 procent was het resultaat van gecompromitteerde webapplicaties, zoals online winkelsites.

Deze webaanvallen compromitteren de betaalapplicatie van een website en installeren vervolgens code in de applicatie waarmee de betaalkaartgegevens van klanten worden gestolen als zij afrekenen. Dit zijn de alledaagse aanvallen die niet per se de krantenkoppen halen, maar wel dezelfde gevolgen hebben. Cybercriminelen zijn tegenwoordig op zoek naar kwetsbare e-commerce-applicaties om efficiënte en geautomatiseerde aanvallen uit te voeren.

Dingen die bedrijven kunnen doen om deze dreiging te verminderen zijn:

  • Gegevensbeveiliging: Om gegevens veilig te houden, moeten retailers passende maatregelen nemen om cyberaanvallen tegen te gaan. Hoewel er geen allesomvattende oplossing is, zijn er stappen die bedrijven kunnen nemen om het risico te verkleinen.
  • Software voor data-integriteit implementeren: Cybercriminelen die webapplicaties aanvallen, richten zich niet op gegevens in ruste. In plaats daarvan injecteren ze code om klantgegevens vast te leggen wanneer deze worden ingevoerd. Om dit tegen te gaan, moet software voor data-integriteit worden geïnstalleerd. Daarnaast moeten besturingssystemen worden gepatcht en de code van de betaalapplicatie worden bijgewerkt.
  • Nieuwe technologie omarmen: Blijf nieuwe technologieën omarmen die het moeilijker maken voor criminelen die POS-terminals zien als laaghangend fruit. Denk hierbij aan EMV en mobiele wallets, of andere methodes die gebruik maken van een eenmalige transactiecode, in tegenstelling tot PAN.

Hoewel criminelen vaak uit zijn op betaalkaartinformatie, is dat niet de enige datasoort die zij als nuttig beschouwen. Retailers moeten onthouden dat beloningsprogramma's die gebruikmaken van 'punten' mogelijk ook doelwitten zijn, aangezien deze waardevolle persoonlijke informatie over klanten bevatten.

Beveiliging is ieders verantwoordelijkheid

Eén ding is zeker: de beveiliging van gegevens, ongeacht waar ze zich bevinden - in een retailorganisatie, op een mobiel apparaat, een social media-account of op een computer - is ieders verantwoordelijkheid. Consumenten hebben de verantwoordelijkheid om ervoor te zorgen dat ze zorgvuldig en bewust weten met wie ze hun gegevens delen en hoe ze online communiceren. Ook retailers hebben de grote verantwoordelijkheid om niet alleen hun eigen gegevens en merk te beschermen, maar ook de gegevens van hun kopers. 

Voor veel retailers, vooral kleinere, is de invoering van uitgebreide beveiligingsmaatregelen betaalbaar noch haalbaar. Maar elke beveiligingsstap, hoe klein ook, kan zeer positieve gevolgen hebben als het gaat om het opsporen en afschrikken van cybercriminelen.

 

 Ali Neil is Director of International Security Solutions bij Verizon Business

Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

Hoe phishingbewust is jouw organisatie echt?

Hoe phishingbewust is jouw organisatie echt?

Het NK-Phishing is terug! Na vier succesvolle edities is de competitie waarbij medewerkers van verschillende organisaties worden getest er weer. Lukt het jouw team om de phishing mails van dit jaar te herkennen? In teams van 10 strijd jouw organisatie tegen meer dan 500 andere deelnemers voor een mooie prijs.