Tijd om de beveiliging van onze smartphones waterdicht te maken

Share this post:

Door Eric Bos, Security Consultant Enterprise Mobility bij IBM | 

De helft van de Belgen heeft een smartphone. Wereldwijd zullen er tegen 2020 volgens Forrester Research meer dan 5,4 miljard actieve toestellen in gebruik zijn. De laatste jaren is mobiele malware één van de voornaamste kopzorgen geworden van CIO’s en andere directeurs. (Lees hier waarom mobiele veiligheid een steeds grotere kopzorg wordt voor organisaties.) De smartphone is de zwakke schakel in ons netwerk van toestellen. Organisaties gebruiken dezelfde gebruikersnamen, wachtwoorden en securityvragen op verschillende platformen. En dat weten hackers ook. Ze wringen zich via de smartphone binnen op alle toestellen waar confidentiële data op staat. Bedrijven die er vandaag niet in slagen om het dataverkeer op hun smartphones in kaart te brengen, lopen grote risico’s. Uit een recente studie van Europol[1] bleek nog dat mobiele malware een steile opmars maakt in strafrechtelijk onderzoek in 14 Europese landen. Tijd om het cybergevaar op mobiele toestellen onder ogen te zien. (lees hier van welke 3 gebieden op het vlak van mobile security organisaties zich vooral bewust moeten zijn.)

Malafide personen richten zich op het stelen van persoonlijke mobiele data via allerhande technieken. Een eerste is SMiShing, een verbastering van SMS en Phishing. De meeste internetgebruikers weten een phishingemail in gebrekkig Nederlands en dito lay-out ondertussen te onderscheiden van een authentiek exemplaar. Toch wijzen studies uit dat gebruikers de neiging hebben om sneller te klikken op besmette links op hun mobiele toestel, dan op hun PC. Mobiele URL’s zijn vaak korter, waardoor het onduidelijk is dat ze verwijzen naar websites met malafide bedoelingen. Bovendien gebruiken werknemers hun smartphones almaar vaker op publieke, onbeveiligde Wifinetwerken. Een speeltuin voor hackers, die door de vaak gebrekkige beveiliging relatief makkelijk toegang kunnen krijgen tot verbonden smartphones, en dus een stijgend risico voor bedrijven. (Lees hier hoe hackers de ingebouwde bescherming van smartphones omzeilen.)

En er is meer. Via verschillende wegen vinden hackers hun weg naar de vertrouwelijke data van nietsvermoedende smartphonegebruikers. In de zomer van 2015 maakte een Android-lek genaamd Stagefright 95% van alle Androidtoestellen kwetsbaar. Een hacker met slechte bedoelingen kon via een MMS malware installeren op het mobiele toestel en de MMS vervolgens automatisch wissen. De ontvanger hoefde de MMS zelfs niet te openen voor het kwaad al was geschied. Almaar vaker ontwikkelen hackers ook zelf apps die malware verspreiden onder smartphones. Valse gaming-apps of zogenaamde securityapps staan bol van de malware. (Ontdek hier de belangrijkste risicofactoren voor mobiele devices.)

Standaardbeveiliging onvoldoende

De ingebouwde beveiliging van mobiele toestellen is onvoldoende opgewassen tegen het oprukkend cybergevaar. Deze is niet in staat om plotse gedragswijzigingen te detecteren of afwijkingen te identificeren aan de hand van real-time gebruikers- en locatiedata. Een toestel dat een financiële transactie met het scherm naar beneden doet, heeft alle schijn van een hacker die het toestel vanop afstand heeft overgenomen. Idem dito wanneer twee toestellen tegelijkertijd eenzelfde account proberen te gebruiken. Standaardbeveiliging is blind voor dergelijke anomalieën.

(Lees hier waarom mobiele veiligheid een steeds grotere kopzorg wordt voor organisaties.)

[1] https://www.europol.europa.eu/content/malware-has-gone-mobile-stopthinkconnect-keep-cybercriminals-out-your-mobile-device