Phishing is een van de meest voorkomende manieren waarop mensen worden gehackt.
De dader verstuurt daarbij een e-mail die er doodgewoon uitziet, zoals een rekening of een mededeling dat je je wachtwoord moet veranderen. Argeloze slachtoffers klikken op een link in de mail, die leidt tot een website die er ook weer legitiem uitziet.
Slachtoffers voeren daar hun gebruikersnaam en wachtwoord in en geven deze zonder dat ze het doorhebben aan de dader. Die beschikt nu over alles wat hij nodig heeft om het account van het slachtoffer te ‘hacken’.
Toen Russische spionnen in de aanloop naar de Amerikaanse presidentsverkiezingen in 2016 inbraken in het netwerk van de Democratic National Committee, maakten zij volgens het ministerie van Justitie gebruik van phishingmethoden.
Voor bedrijven vormt het een groot probleem. Je kunt je computers nog zo goed beveiligen, maar er hoeft maar één onoplettende werknemers op de verkeerde link te klikken en je bent al de pineut.
Maar er is een bedrijf dat het phishingprobleem lijkt te hebben opgelost. Geen van de 85.000 werknemers van Google is nog slachtoffer geworden van phishingpraktijken sinds het bedrijf het gebruik van een security key van 20 dollar (17 euro) verplicht heeft gesteld.
Volgens Brian Krebs, de journalist die als eerste schreef over de succesvolle ingreep, zijn Googles werknemers sinds begin 2017 verplicht om de usb-beveiligingssleutel te gebruiken.
"We hebben sindsdien geen gemelde of bevestigde gevallen gehad van accounts die zijn overgenomen", aldus Google tegen Business Insider.
Misschien verplicht jouw bedrijf je al om tweestapsverificatie in te schakelen, waardoor je bij het inloggen niet alleen je gebruikersnaam en wachtwoord nodig hebt, maar ook een extra code moet invoeren die je meestal als sms toegestuurd krijgt of in een app kunt opzoeken.
Google is hierin een stapje verder gegaan en verplicht zijn werknemers dus om security keys te gebruiken, aldus Krebs. In plaats van de code die je bij tweefactor-authenticatie moet invoeren, stop je de security key in een usb-poort en druk je op een knop om in te loggen.
Het is nogal een succes te noemen voor een groot bedrijf als dat van Google, dat over veel gevoelige gebruikersgegevens beschikt. Dat de werknemers nooit meer ten prooi vallen aan phishingmails is een hele geruststelling.
Extra beveiliging voor risicogroepen
In oktober vorig jaar kwam Google met extra beveiligingsopties voor gebruikers die veel risico lopen om benaderd te worden met phishingmails, zoals journalisten, topmensen uit het zakenleven en activisten. Ook hierbij werd gebruikgemaakt van security keys. Google werkte ook al samen met partijen als FIDO Alliance om aan security-key-technologie met de naam U2F te werken.
Uit onderzoek van Google in 2016 bleek dat het invoeren van de tweefactor-authenticatiecodes in 3 procent van de gevallen mislukt, wat volgens Google tot meer inlogtijd en meer frustraties leidt. De security-key-methode werkte in 100 procent van de gevallen.
Op de website van Brian Krebs, Krebs on Security, kun je meer lezen over de manieren waarop Google de uitdagingen rondom authenticatie en beveiliging te lijf gaat. Je kunt ook zelf gebruikmaken van een security key. De zogenaamde YubiKey van fabrikant Yubico werkt bijvoorbeeld met usb, usb-c en mobiele apparaten.