Valse e-mails kunnen bibliotheek- organisaties besmetten met ransomware

Online criminelen leggen zich er steeds meer op toe de zwakheden van computersystemen en mensen te misbruiken. De digitale onervarenheid en onoplettendheid van veel gebruikers maken dit nog makkelijker. Iedereen die e-mails ontvangt of websites bezoekt in een kantooromgeving is een potentiële kandidaat voor een cyberaanval. Er valt veel geld te verdienen met cybercrime. De digitale wereld is ook als het gaat om criminaliteit in veel opzichten vergelijkbaar met de fysieke wereld, de dief zal naar de buren gaan als je een goede beveiliging hebt. Cybermisdaad kent een lage pakkans en de cybertools om computersystemen aan te vallen zijn tegenwoordig eenvoudig aan te schaffen via het ‘darkweb’. Een beginners-ransomware-pakketje koop je voor $39 en daarmee kan de crimineel iedere pc op slot zetten.


Het versturen van ongerichte en algemene e-mails heeft de afgelopen jaren steeds meer plaatsgemaakt voor heel doelgerichte aanvallen op organisaties. Het gaat vaak om een simpel e-mailtje, vaak op naam en over een ter zake doende onderwerp, dat door een medewerker al snel geopend zal worden. Het virus dat via een dergelijk mailtje verspreid wordt heet 'ransomware’ of ‘cryptoware’. Het zet een heel netwerk op slot, alleen een backup biedt een oplossing. Hackers proberen je te dwingen tot betaling van een bepaald bedrag opdat je computer of netwerk weer kunt gebruiken, maar ook het betalen van de criminelen is niet altijd een garantie voor de oplossing van het probleem.
Bij ‘phishing’ hengelt men naar financiële gegevens en het slachtoffer geeft ze eigenlijk door onachtzaamheid soms vrijwillig weg. Bij ransomware wordt vaak misbruik gemaakt van technische- of softwarefouten in een computersysteem. Een combinatie van beide komt steeds meer voor.

Welke netwerken zijn kwetsbaar?
Iedere organisatie die werkt met Windows en een MS-Officepakket loopt gevaar. Minder gevoelig voor virusaanvallen is een Apple- of Linux-omgeving. Volledig veilig is een online netwerk gebaseerd op Googles chromebook of chromebox. Echter, een volledig Google-netwerk heeft niemand in de bibliotheekwereld. Ik pleit al jaren voor deze gratis veilige Google-omgeving. Hoe vernieuwend bibliotheken ook willen zijn, in hun denken over ict zijn ze vaak nog behoorlijk conservatief, vaak uit onwetendheid of vanwege het gedoe om te veranderen. Terwijl automatisering juist een belangrijk proces is binnen de vernieuwing van je organisatie.Zie hierover bijvoorbeeld het artikel ‘Innoveren is investeren in mensen’ 

Leer goede en foute url’s (webadres) en e-mailadressen herkennen. In bovenstaande afbeelding met als voorbeeld Ziggo.

Waar mag je zeker niet in trappen!
‘Boerenverstand’ of wel ‘gezond verstand’ zonder de ballast van een theoretische vooropleiding is bij het gebruik van Windows belangrijk. Bij elke gelegenheid waar zich een bedreiging voor kan doen de juiste afweging maken en jezelf de juiste vragen stellen; komt de e-mail wel van de juiste persoon? Gaat de aanklikbare link wel naar het juiste webadres? Om tegenwoordig digitaal te overleven, is een digitaal oerinstinct nodig. Wie dit gevoel mist moet zich hierin verdiepen en scholen. Deze kennis is ook handig voor de privéomgeving.
Kennis die hierbij noodzakelijk is, behelst onder andere snappen hoe een webadres of een e-mail is opgebouwd; welke fout of goed is. Zie de afbeelding hierboven met Ziggo als voorbeeld. Open nooit een zip- of rar-bestand dat is toegevoegd aan een rekening. Bedrijven sturen geen rekeningen met een zip-bijlage. Ook een MS-Word- of Excel-bestand is verdacht, zeker als het van alles wil uitvoeren. Onwaarschijnlijke aanbiedingen, daar mag niemand meer intrappen. Ook is het af te raden om gegevens als ID-kopie weg te geven. Het herkennen van nepsites is eveneens van belang. Het zogenaamde veilige slotje ‘https’ of keurmerkcertificaten zeggen niets, ze zijn allemaal na te maken of te faken.

Een draak met vele digitale koppen
Onlangs heb ik in lezingen voor Bibliotheek Den Haag talloze voorbeelden laten zien van het cybergevaar. Het is ‘een draak met vele digitale koppen’, die iedere week een andere gedaante aan kan nemen. Een cyberaanval kan vele vormen aannemen: een advertentie op een betrouwbare site, een e-mail van een ‘collega’, een nep-rekening of wat dan ook.

Belangrijk is dat je gevaarlijke patronen leert herkennen. Je kunt niet vertrouwen op het geïnstalleerde anti-viruspakket, want dat biedt geen bescherming als het gaat om phishing of ransomware. Helaas kunnen we ook geen touwtjes meer uit onze digitale brievenbus laten hangen.

Iedere USB-stick is gevaarlijk!
Alle bibliotheken hebben internetpc’s en regelmatig ‘vergeten’ gebruikers hun usb-stick. Stop zo’n usb-stick nooit in je (netwerk)-pc. Al jaren is dit bewust of onbewust een truc om een virus over te brengen. Echter de laatste tijd is het steeds meer doelbewust een manier om pc’s of netwerken te besmetten of te gijzelen. Bekijk nooit vreemde usb-sticks in je netwerk. Usb-sticks kunnen automatisch allerlei programma's opstarten als je ze in een pc stopt. Alleen met een Chromebook is zo’n stick nog veilig te bekijken. Het beste is om het gebruik van usb-sticks totaal onmogelijk te maken in een bedrijfsnetwerk. Zie dit ongemak als een leermoment om de cloud of andere online tools in te zetten om bestanden uit te wisselen.(Zie ook dit artikel)

Bibliotheekwebsites en websites raadplegen.
De website van een bibliotheek is een geliefd doelwit van hackers. Men kan proberen persoonsgegevens te achterhalen of de ‘betrouwbare’ bibliotheekwebsite te misbruiken om daar malware te plaatsen. Het ‘afluisteren’ van gegevensoverdracht, zoals een inloggende gebruiker, is mogelijk op een onbeveiligde website. Landelijk heeft de KB een https-beveiliging geïnstalleerd en bij Bibliotheek.nl is alleen het inloggen beveiligd. Een aantal lokalen bibliotheken zoals die van Den Bosch, Schiedam en Kennemerwaard en ook het Groningse Biblionet en de Overijsselse bibliotheken zijn met https beveiligd. Ik heb niet alle bibliotheeksites bekeken; check je eigen site met Google Chrome. Deze browser geeft veel informatie over de veiligheid en de echtheid van het https-certificaat. Staat daar een i met cirkel voor de www in de url, dan is je site niet beveiligd. Kijk eens bij www.kb.nl dan zie je het verschil. Klik op het groene slotje en bij details kan je zien of het certificaat nog geldig is, ook zie je cookies staan en wat je browser allemaal mag doen op die site: microfoon aanzetten bijvoorbeeld.

Google Chrome verplicht bibliotheken in te loggen met https.
Websites die wachtwoorden en betalingsgegevens doorsturen en geen https gebruiken, gaat Google vanaf begin 2017 als onveilig aanduiden. Het inloggedeelte van uw website zal minimaal onder https moeten vallen, anders krijgen uw gebruikers vervelende boodschappen over een onveilige bibliotheeksite. Maar zoals ik eerder reeds opmerkte: https garandeert geen totale veiligheid, omdat een website vaak bestaat uit diverse onderdelen: informatie, foto’s en reclame. Een reclameblok komt vaak van andere partijen en die kunnen weer gehackt zijn. Ook bepaalde informatie kan van een andere partij komen, zoals op bibliotheekwebsites bijvoorbeeld de G!DS.

Zoeken met Chrome, Firefox, Safari of Internet Explorer?
In de ict-wereld is men vaak erg eigenwijs maar gelukkig werken de grootmachten soms ook samen, zoals Apple, Google en Firefox op een aantal gebieden. Zij delen hun informatie over veilige en onveilige sites in het project Google Safe Browsing. Zij helpen miljoenen mensen zichzelf te beschermen door waarschuwingen weer te geven. Wanneer de gebruikers van browsers als Safari, Chrome en Firefox proberen websites te bezoeken die hun persoonlijke gegevens willen stelen of ransomware willen installeren om hun computers te hacken, krijgen zij een waarschuwingsscherm.
Alle versies van Internet Explorer, behalve versie 11, worden door Microsoft niet meer ondersteund en zijn gevaarlijk om te gebruiken. In Windows 10 is alleen de Edge-browser veilig. Microsoft heeft hiervoor het concept ‘SmartScreen’ ontwikkeld. Uit een recent onderzoek (1) (okt 2016) blijkt dat de Edge-browser in Windows 10 als beste onveilige sites herkent. Maar oplettendheid van de gebruiker blijft nodig. Ernstig is, blijkt uit een ander onderzoek (2), dat een op de vier internetgebruikers de veiligheidswaarschuwingen negeert en toch zo’n gevaarlijke site bezoekt.

Mobiele gevaren
In een volgend artikel ga ik uitgebreid in op alle mobiele gevaren, zoals diefstal van alle contacten en Facebook installeren op je mobiel of hoe je phishinglinks kunt herkennen.

Veilige systemen
Belangrijk is dat we onze bibliotheeksystemen veilig maken. De beste oplossing is een apart netwerk voor het bibliotheeksysteem en een netwerk voor de kantooromgeving, dat volledig in de cloud werkt en waar geen onderlaag van Windows is.(3) Darren Bilby is een Google-onderzoeker die stelt: ‘De verantwoordelijkheid moet liggen bij de producenten van hardware en software. We geven ze systemen die niet veilig te gebruiken zijn en geven vervolgens de gebruiker de schuld", aldus Bilby (4). Hij vindt ook dat het een slecht idee is om gebruikers over veilig internetgebruik te willen leren met lessen over phishing en verdachte executables. Helaas is de praktijk anders en gaat er door fouten in systemen en onwetendheid van de gebruikers veel fout. Het digitale oerinstinct moet wel getraind worden.