Wat niet te bewaren in uw mailbox

E-mail ontvangen via een webinterface kan handig zijn, maar aanvallers zitten achter mailboxen van bedrijven aan, en op een dag kunnen ze wellicht die van u bezoeken.

Als iemand toegang krijgt tot uw mailbox, is een mogelijk gevolg een BEC-aanval, in welk geval uw correspondentie sterk kan bijdragen tot het succes ervan. Natuurlijk helpt beveiligingssoftware de kansen in uw voordeel te keren, maar iedereen kan in phishing trappen, dus is het belangrijk de potentiële schade te beperken door berichten te verwijderen waarvan u niet wilt dat ze in andermans handen vallen – voor het geval dat. Hier leest u wat u eerst moet verwijderen.

Authenticatiegegevens

De meeste moderne diensten vermijden het verzenden van zelfs tijdelijke wachtwoorden, en bieden in plaats daarvan unieke links naar een interface voor het wijzigen van wachtwoorden. Wachtwoorden via onversleutelde e-mail verzenden is tenslotte een heel slecht idee. Maar sommige bedrijven sturen wachtwoorden nog steeds per e-mail, en deze praktijk komt iets vaker voor bij interne diensten en middelen. Bovendien sturen werknemers zichzelf soms wachtwoorden, inloggegevens en hun antwoorden op geheime vragen.

Dit soort e-mails zijn precies waar aanvallers naar op zoek zijn: Met toegang tot bedrijfsmiddelen kunnen ze extra informatie krijgen voor social engineering-manipulaties en zo hun aanvallen verder ontwikkelen.

Online servicemeldingen

Wij krijgen allerlei meldingen van online diensten: registratiebevestigingen, links voor het opnieuw instellen van wachtwoorden, meldingen voor het bijwerken van het privacybeleid. Deze berichten op zich zijn voor niemand erg interessant, maar ze laten wel zien op welke diensten u geabonneerd bent. De aanvallers zullen waarschijnlijk scripts klaar hebben staan om hun zoektocht naar deze meldingen te automatiseren.

In de meeste gevallen is uw mailbox de belangrijkste sleutel tot al deze diensten. Als ze weten welke u gebruikt, kunnen de aanvallers een nieuw wachtwoord aanvragen en via uw mailbox binnenkomen.

Scans van persoonlijke documenten

Zakelijke gebruikers (vooral die in kleine bedrijven) zijn vaak geneigd hun mailbox te gebruiken als een soort cloudopslag voor bestanden, vooral als de kantoorscanner scans per e-mail levert. Kopieën van paspoorten, identiteitsbewijzen van belastingplichtigen en andere documenten zijn vaak nodig voor routinewerk of zakenreizen.

We raden aan om e-mails die persoonlijke informatie bevatten onmiddellijk te verwijderen. Download deze documenten en bewaar ze in een versleutelde opslag.

Gevoelige bedrijfsdocumenten

Voor veel werknemers is de uitwisseling van documenten een integraal onderdeel van de workflow van het bedrijf. Sommige documenten kunnen echter niet alleen waardevol zijn voor uw collega’s, maar ook voor aanvallers.

Denk hierbij bijvoorbeeld aan een financieel verslag. Een financieel verslag, waarschijnlijk te vinden in de mailbox van de accountant, biedt een schat aan nuttige informatie – en een ideaal startpunt voor BEC-aanvallen. In plaats van bijvoorbeeld lukraak e-mails naar collega’s te sturen, kunnen cybercriminelen met dergelijke informatie rechtstreeks echte informatie over specifieke contractanten, rekeningen en transactiebedragen gebruiken om aantrekkelijke onderwerpregels op te stellen. Ze kunnen ook nuttige informatie verkrijgen over de zakelijke context van de onderneming, partners en opdrachtnemers, zodat ze die ook kunnen aanvallen. In sommige gevallen kan een zorgvuldige bestudering van een financieel verslag ook een gelegenheid bieden voor beursmanipulatie.

Daarom is het belangrijk gevoelige informatie bij ontvangst te wissen en nooit onversleuteld uit te wisselen.

Persoonlijke gegevens

Persoonsgegevens van anderen, zoals cv’s, sollicitatie- en registratiedocumenten, enzovoort, kunnen ook in uw mailbox terechtkomen. Wanneer mensen uw bedrijf toestemming geven om hun persoonsgegevens op te slaan en te verwerken, verwachten zij dat u die informatie veilig bewaart. Regelgevers verwachten dat ook, zeker in landen met een strenge wetgeving inzake persoonsgegevens.

Hoe kunt u zich beveiligen tegen een compromittering van uw mailbox?

Wij raden u aan informatie die interessant kan zijn voor aanvallers te verwijderen – niet alleen uit uw inbox, maar ook uit uw mappen met verzonden en verwijderde mail. Als u voor uw bedrijf commercieel gevoelige informatie per e-mail moet verzenden, gebruik dan encryptie, die door de meeste e-mailclients voor bedrijven wordt ondersteund.

Bovendien raden wij aan om waar mogelijk tweestapsverificatie te gebruiken. Als u dat doet, zullen uw andere accounts niet in handen vallen van een aanvaller, zelfs niet als die uw mailbox in gevaar brengt.

Sla wachtwoorden en gescande documenten op in gespecialiseerde toepassingen, zoals onze Password Manager.

Doe aan preventie door uw mailbox veilig te houden, uw inkomende mail zorgvuldig te screenen op het niveau van de mailserveren door, als extra beschermingslaag, betrouwbare beveiligingsoplossingen te gebruiken op bedrijfscomputers.

Tips