Ncsc factsheet - Veilig op sociale netwerken
Upcoming SlideShare
Loading in...5
×
 

Ncsc factsheet - Veilig op sociale netwerken

on

  • 279 views

 

Statistics

Views

Total Views
279
Views on SlideShare
274
Embed Views
5

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 5

http://socialmediadna.nl 5

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Ncsc factsheet - Veilig op sociale netwerken Ncsc factsheet - Veilig op sociale netwerken Document Transcript

  • Veiligopsocialenetwerken Factsheet FS-2011-01 versie 1.2 | 30 november 2012 De afgelopen jaren zijn sociale netwerken bijzonder populair geworden en hebben ze een vaste plek veroverd in de communicatie. Sociale netwerken zijn interactieve internettoepassingen die gebruikers in staat stellen om een persoonlijk profiel te creëren, informatie te delen en contacten te onderhouden met andere gebruikers. Hoewel sociale netwerken een waardevol en leuk interactieplatform zijn voor het uitwisselen en beschikbaar stellen van informatie, kleven er ook allerlei beveiligings- en privacyrisico’s aan voor gebruikers. In dit factsheet vindt u een overzicht van risico’s verbonden aan deelname aan sociale netwerken. Daarnaast worden drie veel voorkomende aanvalsmethoden beschreven, evenals enkele maatregelen voor veilig(er) gebruik van sociale netwerken. De adviezen in dit factsheet zijn gericht op eindgebruikers. Beveiligingsrisico’s op sociale netwerken De groeiende populariteit en het toenemende gebruik van sociale netwerken zijn niet onopgemerkt gebleven door kwaadwillenden. Zij zien sociale netwerken als een geschikt hulpmiddel voor hun praktijken. Sociale netwerken zijn aantrekkelijk voor kwaadwillenden om vier redenen: > het grote aantal gebruikers; > de beschikbaarheid van (persoonlijke) informatie; > het vertrouwen tussen gebruikers; > de relatief zwakke beveiliging. Door de toegankelijkheid van sociale netwerken kunnen kwaadwillenden net zo makkelijk een account aanmaken als goedwillende gebruikers. Daardoor is het lastig om onderscheid te maken tussen legitieme gebruikers en kwaadwillenden. Hierdoor ontstaan de volgende risico’s: > Het risico bestaat dat uw computer besmet raakt met malware door deelname aan sociale netwerken. Een succesvolle besmetting kan kwaadwillenden de controle over uw computer geven. > Het risico bestaat dat kwaadwillenden inzicht krijgen in persoonsgegevens (of de gegevens van contacten) waarvan zij misbruik kunnen maken, bijvoorbeeld door het plegen van identiteitsdiefstal. Het is moeilijk een inschatting te geven van de kans dat deze risico’s optreden. Nieuwsberichten beschrijven vaak incidenten, waardoor er geen basis is voor nauwkeurige statistieken. Inzicht in andere aspecten, zoals het gemak waarmee een aanval uitgevoerd kan worden en wat kwaadwillenden ermee kunnen bereiken, stellen u in staat om een inschatting voor uw eigen situatie te maken. Deze aspecten worden hieronder beschreven. De belangrijkste feiten: > Sociale netwerken zijn aantrekkelijk voor kwaadwillenden vanwege  het grote aantal gebruikers;  de beschikbaarheid van (persoonlijke) informatie;  het vertrouwen tussen gebruikers;  de relatief zwakke beveiliging. > De twee belangrijkste risico’s van sociale netwerken:  Uw computer, tablet, smartphone etc. kan geïnfecteerd raken met malware.  Uw persoonsgegevens kunnen in handen van kwaadwillenden komen. > Kwaadwillenden passen bestaande en innovatieve aanvalsmethoden toe. > Uw profielgegevens zijn door standaard gebruikersinstellingen vaak publiek toegankelijk. > Bescherm uw online identiteit: neem maatregelen om toegang tot uw persoonlijke gegevens te beperken tot mensen die u kent en vertrouwt.
  • Hoe gaan kwaadwillenden te werk? Door inzicht te krijgen in de gehanteerde aanvalsmethoden van kwaadwillenden, kunnen aanvallen op sociale netwerken beter worden herkend en vermeden. De gebruikte aanvalsmethoden op sociale netwerken komen deels overeen met andere manieren om gebruikers te verleiden, zoals phishing en het verspreiden van malware. Daarnaast ontwikkelen kwaadwillenden ook specifieke methoden om misbruik te maken van de omgeving van sociale netwerken, zoals malafide applicaties. Phishing Sociale netwerken worden gebruikt voor verschillende doeleinden. Een belangrijk voorbeeld is de ‘netwerkfunctie’: het maken van nieuwe en ook het onderhouden van bestaande contacten. Om dit te faciliteren delen gebruikers persoonlijke informatie. Kwaadwillenden kunnen die informatie gebruiken om gerichte phishingberichten te versturen. Het phishing- bericht ziet er uit als een gewone e-mail of privébericht. Dit bericht lijkt afkomstig te zijn van het sociale netwerk zelf, bijvoorbeeld een verzoek om contact te leggen, of vanuit een andere partij, zoals een financiële dienstverlener. Deze berichten zijn door het persoonlijke karakter geraffineerder en vergroten de verleiding om het bericht te openen. Mogelijk biedt het bericht een link naar een malafide website waarop u kunt klikken om op het sociale netwerk in te loggen. Dit stelt kwaadwillenden vervolgens in staat uw inloggegevens te bemachtigen. Malware verspreiden Het verspreiden van malware (kwaadaardige software), zoals virussen, trojans en wormen, is een belangrijke schakel in het uitvoeren van verdere illegale acties. Een computer die door malware is besmet, kan worden ingezet voor andere aanvallen en/of het vergaren van persoonsgegevens. Het verspreiden van malware op sociale netwerken gebeurt vaak via malafide sites waar kwaadwillenden in (e-mail)berichten naar verwijzen: > Kwaadwillenden kunnen een gekaapt account van een bestaande gebruiker misbruiken om daarmee berichten te versturen. > Kwaadwillenden kunnen zelf een account aanmaken, eventueel namens een ander, en dit misbruiken om malafide links te verspreiden. De eerste optie is waarschijnlijk succesvoller omdat kwaadwillenden kunnen profiteren van het vertrouwen tussen gebruikers onderling. Bestaande contacten van een legitieme gebruiker zijn minder alert op potentiële aanvallen vanaf het profiel van de gebruiker. Verder maken kwaadwillenden misbruik van specifieke gewoontes op sociale netwerken om hun malware te verspreiden. Een voorbeeld hiervan is het gebruik van verkorte URLs. Hiermee kunnen kwaadwillenden hun malafide links makkelijk verbergen en sneller verleiden tot het klikken op URLs waarvan de herkomst niet valt te controleren. Een profiel kapen Kwaadwillenden kunnen uw inloggegevens van sociale netwerken gebruiken om uw account over te nemen, ofwel te kapen. Hiermee kunnen zij vervolgens misbruik maken van de contactenlijst en het daaraan gekoppelde vertrouwen. Het kapen van een account is relatief makkelijk omdat kwaadwillenden meestal alleen uw inloggegevens nodig hebben. Deze zijn, zoals elders in dit factsheet beschreven, met bestaande aanvalsmethoden te bemachtigen. Zodra kwaadwillenden toegang hebben, kunnen zij vanuit uw account gegevens proberen te verwerven bij contacten uit uw lijst, of onder hen malware verspreiden. Verder kunnen ze uw account misbruiken om spam te versturen. Een malafide applicatie: Koobface Koobface is een worm die zich verspreidt via Facebook. De worm stuurt Facebookberichten aan contacten, ofwel vrienden, van een geïnfecteerde gebruiker. In het bericht worden de vrienden naar een externe website geleid waar zij een bestand downloaden dat zich voordoet als update van de Adobe Flash Player. Wanneer zij dit bestand downloaden en uitvoeren is hun systeem eveneens geïnfecteerd.
  • Malafide applicaties Sociale netwerken stellen ontwikkelaars in staat om toepassingen, of applicaties, op basis van hun sociale netwerk te ontwikkelen. Kwaadwillenden proberen hiervan misbruik te maken door in te spelen op de behoeftes van gebruikers op sociale netwerken. Hiervoor worden doorgaans zogenaamde malafide applicaties (malware) ontwikkeld. Een voorbeeld is de Profile Creeper application op Facebook. Met deze toepassing zou men in staat zijn om te controleren wie zijn profiel heeft bekeken. In plaats daarvan is het een survey scam, waarbij gebruikers vragenlijsten in moeten vullen om zogenaamd toegang te krijgen tot de functionaliteit. Het invullen van deze lijsten is een inkomstenbron voor de verspreiders. Deze malafide applicatie wordt veelal op de volgende manier aangeboden aan gebruikers: “I just saw who STALKS me on Facebook! You can see who creeps around your profile too! [LINK]” Als u deze toepassing accepteert door op de link te klikken, dan wordt hetzelfde bericht verspreid naar alle contacten. Hierdoor ontstaat een kettingreactie wat de reikwijdte van deze malafide applicatie vergroot. Andere risico’s Andere risico’s zijn primair het gevolg van de toegankelijkheid van gedeelde (persoons)- gegevens. De privacyinstellingen voor sociale netwerken staan vaak standaard op ‘publiek’ ingesteld. Dit houdt in dat de inhoud van het profiel openbaar is. Vaak is de informatie in profielen persoonlijk en is het niet gewenst dat iedereen deze kan inzien. Daarnaast is het risicovol wanneer informatie (indirect) gerelateerd wordt aan werkzaamheden of wanneer informatie over de werkgever wordt gedeeld op sociale netwerken. Het openbaren van deze informatie zou een overtreding kunnen vormen van het (informatie)beveiligingsbeleid van de werkgever. Inmiddels zijn enkele voorbeelden in de media verschenen waaruit blijkt hoe deelname aan sociale netwerken ook zijn weerslag kan hebben op het zakelijke leven van gebruikers1 . In de gebruikersvoorwaarden van sociale netwerken staat beschreven op welke wijze de sites omgaan met gegevens. Met “omgaan” wordt eveneens bedoeld in hoeverre de websites de geplaatste content kunnen gebruiken en zich toe kunnen eigenen. Deze omgang introduceert eventuele risico’s voor gepubliceerde inhoud waarop intellectuele eigendomsrechten van toepassing kunnen zijn. Hierbij kan bijvoorbeeld gedacht worden aan onderzoeksresultaten, merkrechten en inbreuk op octrooien. Maatregelen voor veilig(er) gebruik Deelname aan sociale netwerken gaat altijd gepaard met risico’s. Enkele tips om deze risico’s te beperken: > Lees de voorwaarden Zoals aangegeven kunnen sociale netwerken zelf de nodige risico’s introduceren, in het bijzonder op het gebied van privacy. Door de voorwaarden van een sociaal netwerk door te nemen kunt u een overwogen beslissing nemen over het aangaan van een lidmaatschap en over het vrijgeven van uw informatie en persoonsgegevens. Lees ook updates van de voorwaarden. Voorwaarden van sociale netwerken veranderen namelijk regelmatig. 1 http://www.frankwatching.com/archive/2009/12/18/social- media-de-spanning-tussen-organisatie-en-werknemer/ Programma’s van derden Het toevoegen van programma’s van derden, zoals spelletjes en quizzes, stelt deze partijen veelal in staat om toegang te krijgen tot (bepaalde) delen van uw profiel. Dit betekent niet per definitie dat de applicatie kwaadwillende aspecten bevat. In plaats daarvan gebruiken derden de beschikbare informatie van het profiel om andere diensten te personaliseren. Voorbeelden hiervan zijn gepersonaliseerde advertenties.
  • > Beperk de toegang van het profiel tot vrienden en bekenden Voorkomen de toegang door onbekenden tot profielen door de toegang te beperken tot contacten. > Accepteer en verifieer uitsluitend uitnodigingen van bekenden Een van de aspecten van een sociale netwerksite is, naast het linken van bestaande vrienden en zakelijke contacten, het maken van nieuwe contacten. Voor sommigen is het zelfs een sport om met zoveel mogelijk contacten te linken. Het al te enthousiast toevoegen van contacten kan ook betekenen dat onbekenden worden toegelaten. Het linken van onbekenden kan betekenen dat, ook al is de toegang beperkt tot bekende contacten, persoonlijke informatie toch terecht komt bij personen die kwade bedoelingen hebben. Verifieer bij twijfel de desbetreffende persoon. Het kan namelijk zijn dat iemand anders hun identiteit misbruikt op het sociale netwerk. > Publiceer heel bewust De genoemde risico’s van sociale netwerken worden versterkt, doordat het lastig is om gegevens die eenmaal op internet staan, er weer vanaf te krijgen. Daar komt bij dat gegevens die eenmaal publiek op een profiel hebben gestaan, vaak in de database (de ‘cache’) van zoekmachines zoals Google staan of naar andere websites zijn gekopieerd. > Volg werkgeversrichtlijnen Inmiddels zijn meerdere werkgevers aan de slag gegaan met het introduceren van richtlijnen voor werknemers als het gaat om hun deelname aan sociale netwerken. Om problemen in de professionele sfeer te voorkomen, is het verstandig om deze te volgen. > Gebruik sterke en unieke wachtwoorden Om in ieder geval het risico op accountovername te beperken is het belangrijk om sterke wachtwoorden te gebruiken. Simpele wachtwoorden zijn met meer gemak te kraken door kwaadwillenden. Gebruik het wachtwoord voor de sociale netwerksite niet voor andere websites. > Zorg dat de virusscanner up-to-date is Antivirussoftware kan een belangrijk deel van de bekende kwaadaardige software detecteren en u op de hoogte brengen van zijn aanwezigheid. Hierdoor kan in ieder geval een deel van de aanvallen gepareerd of voorkomen worden. > Installeer beveiligingsupdates voor uw besturingssysteem en browser tijdig Updates komen beschikbaar om ontdekte kwetsbaarheden in uw besturingssysteem of browser te verhelpen. Het installeren van deze updates biedt daardoor meer bescherming en kan helpen te voorkomen dat al langer bekende kwetsbaarheden uitgebuit kunnen worden door kwaadwillenden. Tot slot De hierboven genoemde maatregelen richten zich vooral op het beperken van risico’s maar nemen uiteraard niet het risico weg. Daarom is het ook belangrijk om aan te geven op welke manier de eventuele schade beperkt kan worden als aanvallers wel succesvol zijn. Indien men toch op een link klikt die vervolgens een bericht plaatst op een profiel, verwijder dit bericht dan direct. Dat geldt ook wanneer een account gekaapt is en men probeert de gevolgen ervan te beperken. Breng dan, voor zover mogelijk, contacten op de hoogte en probeer met behulp van het sociale netwerk, het probleem te verhelpen. Als kwaadwillenden applicaties hebben geautoriseerd om inzage te hebben in uw persoonsgegevens, kunt u dat in de meeste gevallen terugdraaien. Uitgave van Nationaal Cyber Security Centrum Postbus 117 |2501 CC Den Haag Publicatienr: FS-2011-01 www.ncsc.nl Aan deze informatie kunnen geen rechten worden ontleend.