Door: Erik Jan Koedijk, strategisch adviseur
Op Cyber Monday kan een TIP van Samen Veiliger voor medewerkers uiteraard niet uitblijven. Je zult vast gelezen hebben dat een hacker op een berucht hackersforum een grote dataset van 500 miljoen WhatsApp nummers aanbiedt. Wat nu? De tips kunnen overigens ook privé prima van pas komen.
Wat is er gebeurd?
De database die wordt aangeboden sinds 16 november 2022 bevat naar verluidt WhatsApp gebruikersgegevens uit maar liefst 84 landen. Daarvan zijn 5,4 miljoen telefoonnummers afkomstig uit Nederland. Het grootste deel is afkomstig uit Egypte, gevolgd door Italië en de VS.
Naar aanleiding van de gegevens die inmiddels bekend zijn over de vraagprijzen van andere datasets schat ik in dat de Nederlandse dataset voor niet meer dan 1500 Euro kan worden aangeschaft. Wees dus voorbereid en kom in actie, want door de massale aanschaf van datasets kan een poging tot een massale overname van WhatsApp accounts (bij mensen die geen tweefactor authenticatie hebben ingesteld) een serieuze mogelijkheid vormen.
Veilig samenwerken met WhatsApp?
Organisaties hebben veel uitdagingen om samenwerken veilig te houden. Zo ook met WhatsApp. Er was een periode dat je veel mensen zag aankondigen van WhatsApp te vertrekken. Reden hiervoor was destijds het vertrek van Jan Koum. Maar kijk eens om je heen… hoeveel mensen zijn werkelijk vertrokken? Hetzelfde zie je nu binnen Twitter gebeuren. Deze media kanalen zijn echter zo sterk dat uiteindelijk veel mensen toch weer actiever worden, zo ook met WhatsApp. Whatsapp is een levendiger communicatiekanaal dan ooit!
Signal is veiliger dan WhatsApp
WhatsApp en Signal bieden allebei end-to-end-codering aan voor hun spraak-, video- en tekstberichten / gesprekken. Er is wel een verschil: Signal verbergt de metadata van zijn versleutelde berichten en dat doet WhatsApp niet. Verder is Signal wel veiliger, omdat de app eigendom is van een non-profitorganisatie; WhatsApp is eigendom van Meta (de eigenaar van onder andere Facebook en Instagram). Overschakelen naar andere kanalen zoals SIGNAL hoeft trouwens niet direct veiliger te zijn vanuit het gevaar op een datalek of reputatieschade gezien. Zonder ontbreken van duidelijke afspraken en regels over gedrag en devices is het vragen om problemen.
Context
Wat ik interessant vind, is dat veel organisaties ook WhatsApp groepjes maken. Die groepjes zijn vaak (door de gekozen naam) zeer makkelijk te herleiden naar wie er dan in dat groepje zitten. En met WhatsApp is dan ook direct een groot deel van de privacy weg, want je ziet exact wie wat wanneer leest. Verder blijven er vaak mensen in groepjes hangen en is het voordat je het weet een groot gillend datalek.
Verder: stel nu dat de hackers ook groepsstructuren buit maken. Dan zouden ze op basis van de groepsnamen wellicht de achtergrond van de nummer kunnen achterhalen, denk aan een WhatsApp groep die heet: wethouders gemeente XX. De droom voor criminelen om met social engineering aan de gang gaan. Ze weten dan immers contextueel veel meer over de nummers die ze buit maken. Aangezien we steeds dichterbij een scenario komen waar dit niet ondenkbaar is enkele tips op deze Cyber Monday in 2022.
Tips: pas deze toe in jouw organisatie
In deze korte blog tips om direct toe te passen wanneer je WhatsApp actief gebruikt. Uiteraard zijn er nog veel meer tips maar hoe meer we behandelen des te onoverzichtelijker het wordt.
- Maak een veilige samenwerkingsstrategie. Uiteraard kan Samen Veiliger daarbij helpen met workshops.
- Het beste is om er zakelijk mee te stoppen. Maar aangezien dat voorlopig toch niet zal gebeuren: maak een don’t be stupid protocol voor het gebruik van WhatsApp en communiceer dit met je gebruikers.
- Controleer direct al jouw privacy instellingen binnen WhatsApp en pas deze zo nodig aan! Bespreek dit ook met je collega’s. Ga naar instellingen en pas aan:
- Laatst gezien online: ik zou nooit iedereen doen! Maximaal ‘mijn contacten’, liever niemand.
- Profielfoto: mijn contacten
- Info: mijn contacten
- Groepen: let goed op bij deze: mijn contacten
- Status: mijn contacten
- Controleer direct al jouw security instellingen binnen WhatsApp en pas deze zo nodig aan! Ga naar account en pas aan:
- Beveiligingsmeldingen: zet aan om deze weer te geven op je telefoon
- Verificatie in twee stappen: Schakel in.
Wees voorbereid
Wees voorbereid nu zo’n grote dataset eenvoudig is aan te schaffen. Criminelen zullen weer veel tools inzetten om jou, jouw organisatie en je dierbaren op verschillende manieren proberen op te lichten. Dit kan via verschillende vormen. Denk aan vormen zoals business account scams, de verificatie truc, het voordoen als een collega van je en zo infiltreren in organisatiegroepen, vriend in nood fraude en het overnemen van je gehele whatsapp account (voor iedereen die nog steeds geen twee factor authenticatie heeft ingesteld). Wees dus op je hoede. Je leest: dit raakt je mogelijk zowel privé als zakelijk en dat maakt het soms zo complex.
Ga het gesprek met elkaar aan!
Ga naar aanleiding van dit blog het gesprek met elkaar aan. Hoe kun je nu veiliger met elkaar gaan samenwerken. Bespreek het en val niet direct in de toolsdiscussie.
Veiligheid is van ons allemaal. Alleen samen maken we elkaar meer weerbaar. Dit geldt voor zowel thuis, op school en op het werk. Stuur daarom dit blog door, zodat ook jouw vrienden en dierbaren actie ondernemen om hun WhatsApp instellingen na te lopen en zo nodig de privacy en security instellingen te verbeteren. Ik wens je een mooie Cyber Monday toe!