Met Black Friday en Sinterklaas achter de rug, is het tijd voor de kerstvakantie. En in januari is het traditiegetrouw opruiming in veel webwinkels. Veel mensen nemen rondom de feestdagen twee weken vrij om 2023 fris te beginnen. Maar dat geldt niet voor iedereen. Er is een groep die rondom de feestdagen juist volop in de business zit: cybercriminelen.
Cybercriminelen gebruiken de kerstvakantie om hun eigen soort cadeaus binnen te halen. Het gevolg? Cybercriminaliteit zit in de lift tijdens deze donkere dagen. Waarom dit zo is én wat je kunt doen om dit te voorkomen, bespreken we met verschillende securityexperts.
Ander (online) gedrag
Voor de securityexperts is het duidelijk: het einde en begin van het jaar wordt gekenmerkt door een toename in cybercriminaliteit. Adam Meyers, SVP of intelligence bij CrowdStrike vertelt: “Onze intelligence laat duidelijk zien dat het tempo van malafide activiteiten tijdens de feestdagen toeneemt. Afgelopen jaren zagen we vooral tussen midden november en eind december een toename. We verwachten niet anders voor dit jaar.”
Wat hier volgens de experts aan ten grondslag ligt, is een verandering in – voornamelijk online – gedrag. “Aan het einde van het jaar wijken onze onlineactiviteiten af van onze normale gewoonten”, vertelt Meyers. “Dit komt onder andere door dagen als Black Friday en Cyber Monday waarop flinke kortingen worden aangeboden en we meer online bestellen.” Vincent Turner, directeur Nederland bij BlueVoyant vult aan: “In afgelopen Black Week zijn de aankopen in ons land – ondanks de economische omstandigheden – met veertig procent toegenomen ten opzichte van vorig jaar. Opeens is er dus een fikse stijging in het aantal online transacties, waarbij we ook vaker gebruikmaken van buitenlandse webshops.” En dat zijn ideale omstandigheden voor cybercriminelen.
> LEES OOK: Werknemers onbewust van gevaar cyber criminaliteit
Feestelijke spoofing en phishing
Kwaadaardige spoofing-websites schieten dan ook als paddenstoelen uit de grond tijdens de feestdagen. “Deze websites, die legitieme webwinkels, pakketdiensten of luxe merken nabootsen, verleiden nietsvermoedende consumenten om persoonlijke informatie in te voeren, zoals creditcardgegevens, een e-mailadres of wachtwoord”, vertelt Turner. “Door buitenlandse websites te gebruiken, wordt de Nederlandse consument nog kwetsbaarder. Mensen herkennen op deze websites de rode vlaggen, zoals spelfouten en afwijkend taalgebruik, niet.”
Juist omdat we meer online aankopen doen zijn we extra gevoelig voor phishing
Ook phishing-e-mails komen tijdens de feestdagen vaker voor. Mark Schoonderbeek, CISO Benelux bij Dustin: “We zien dat de hoeveelheid phishing-e-mails om toegang te krijgen tot geld en/of wachtwoorden, stijgt in december.” Volgens Meyers is dit een logisch gevolg: “De feestdagen zijn het perfecte moment voor phishing. Juist omdat we meer online (kerst)aankopen doen, overspoeld worden met kerstkortingen in onze mailbox en veel tijd doorbrengen in webwinkels, worden we extra gevoelig voor spam en phishing.”

Voorbeeld van een spoofingwebsite.
Minder alert
In december gebeurt er veel tegelijk. Zo moeten de laatste projecten nog worden afgerond en de laatste targets nog worden gehaald. “Het einde van het jaar is vaak druk en hectisch bij bedrijven”, vertelt Lodi Hensen, head of incident response & threat intelligence bij Tesorion. “Hoe drukker mensen zijn en hoe meer stress ze ervaren, hoe minder goed ze opletten. Ze klikken dan eerder op een link en laten gegevens achter op plekken waar ze dat beter niet hadden kunnen doen.” Schoonderbeek vult aan: “Cybercriminelen weten dit. Ze spelen met hun phishing in op het menselijk verlangen om iedereen te plezieren én gebruiken het gebrek aan tijd als middel om mensen te laten handelen zonder eerst logisch na te denken.” Meyers besluit: “Hierdoor worden zowel consumenten als bedrijven doelwit op een moment dat ze minder op hun hoede zijn en worden afgeleid door de drukte van de laatste maand van het jaar.”
> LEES OOK: Bijna 5 procent Nederlandse webshops verdacht: deel voert niet-bestaande of niet-verdiende keurmerken
Beperkt aantal poortwachters
Dankzij de kerstvakanties worden december en januari bovendien gekenmerkt door beperkte bezetting. “Securityteams zijn meestal maar voor slechts een derde of minder bemand tijdens vakanties”, vertelt Gill Vandenbroeck, CISO NTT DATA BeNeLux. “Cybercriminelen buiten dit uit. Er zijn dan immers minder ogen om ze in de gaten te houden.” Dit zijn dan ook de dagen waarop ze hun plannen tot uitvoering brengen. “Een ransomware-infectie leidt niet altijd direct tot versleuteling of diefstal van data”, vertelt Mark Herrewijnen, information security specialist bij TOPdesk. “De gemiddelde tijd tussen infectie en activatie is drie dagen, maar varieert van onmiddellijk tot een jaar na infectie. Vaak wordt er gewacht tot een moment waarop ze hun malafide activiteit zo lang mogelijk verborgen kunnen houden, om zoveel mogelijk data buit te maken.”
Cybercriminelen hebben zich op een eerder moment toegang verschaft en wachten geduldig op het juiste moment
“Ze hebben zich op een eerder moment in het jaar al toegang verschaft tot de IT-infrastructuur en wachten geduldig af”, vult Hensen aan. “We zien dat steeds meer hackersgroepen tijdens de feestdagen, in de weekenden of avonduren hun daadwerkelijke ransomware proberen uit te rollen. Vanwege de stand-by bezetting van bedrijven, kan er immers minder snel worden ingegrepen.” Al met al genoeg redenen voor cybercriminelen om in december een kans te wagen. En voor bedrijven om juist in deze periode extra maatregelen te nemen.
De basis op orde
Tijd om de aanval te bespreken. Hoe sta je als securityprofessional het beste je mannetje, ook tijdens de feestdagen? Volgens de experts valt en staat het met de basis op orde hebben. Hensen: “Het is wenselijk om EDR- en NDR-oplossingen ingericht te hebben, waarmee je verdacht gedrag op endpoints en het netwerk detecteert én – minstens net zo belangrijk – erop kunt reageren. Je wilt immers vóór de feestdagen al weten of systemen besmet zijn, waar eventuele kwetsbaarheden zitten en of je patchmanagement op orde is. Zodat criminelen daar in ieder geval geen gebruik van kunnen maken.” Guido Gerrits, field channel director EMEA bij
Thales, vult aan: “Je moet in de basis de drie-eenheid op orde hebben: discover, protect en control. Dus weten waar je data staat en welk belang het heeft voor je bedrijfsvoering, het beschermen van die data – zowel in stilstand, in beweging en in gebruik – met bijvoorbeeld encryptie en/of tokens en zorgen dat je controle hebt over wie toegang heeft tot die data via autorisaties en sleutelmanagement. Deze basis is met name belangrijk als je diensten of services tijdelijk opschaalt tijdens de feestdagen om aan de vraag te kunnen voldoen. Dit moet je echt van tevoren inschatten, om te voorkomen dat je beveiliging op het laatste moment nog opgeschaald moet worden.”
Daarnaast heeft MFA volgens Gerrits en Hensen een belangrijke plek in de beveiligingsbasis. Gerrits: “Zorg dat je voor alle omgevingen waar op ingelogd moet worden twee- of multifactorauthenticatie hebt ingesteld. Door je netwerk te segmenteren en Zero Trust-principes te volgen, hebben werknemers alleen toegang tot gegevens waartoe zij gemachtigd zijn terwijl tegelijkertijd hun identiteit daarvoor wordt geverifieerd. Hiermee houd je criminelen makkelijker buiten de deur.” Hensen besluit: “En wellicht een open deur, maar weet wie je wanneer moet bellen als er sprake blijkt te zijn van een cyberaanval. Het blijft aan jou om de eerste stappen te zetten en de schade zoveel mogelijk te beperken.”
Goede cyberhygiëne in de gehele organisatie is een must
Zo sterk als de zwakste schakel
Maar ook met de basis op orde, is de ketting zo sterk als de zwakste schakel. Er is maar één onoplettende medewerker nodig om een netwerk te infiltreren. Goede cyberhygiëne in de gehele organisatie is daarom een must, zegt Gerrits. “Denk bijvoorbeeld aan goede wachtwoordhygiëne onder medewerkers naast tweefactorauthenticatie, waarbij ze unieke wachtwoorden gebruiken die per account wisselen. Ook cybersecuritytrainingen blijven een goed middel om in te investeren. Zo houd je het bewustzijn bij medewerkers hoog en geef je ze het vertrouwen om door risico’s te navigeren.”
Met het verhoogde aantal phishing-pogingen tijdens de feestdagen is daarnaast herkenning van malafide e-mails extra belangrijk, vindt Vandenbroeck. “E-mails met phishing worden precies afgestemd op wat er op dat moment leeft in een organisatie of maatschappij. Denk aan een e-mail met een track-en-tracecode voor de kerstpakketten, informatie over de eindejaarsbonus of een appje van de baas met de vraag om nog snel kerstkaarten te bestellen. Phishing wordt steeds echter, dus het is noodzakelijk om ervoor te zorgen dat medewerkers – ondanks alle drukte – alert blijven op zaken als het e-mailadres van een afzender, hyperlinks en websites waarop ze inloggen. Maak de drempel zo laag mogelijk om bij twijfel altijd contact op te nemen met de IT- of securityafdeling.” Schoonderbeek: “Geef ze bijvoorbeeld handvatten met de Stop, Think, Ask, Report (STAR) – methode. Dat zijn goede stappen om bij twijfel op terug te vallen.”
Geen nachtmerrie tijdens de kerstvakantie
Dat cybersecurity tijdens de kerstvakantie extra aandacht en alertheid verdient is duidelijk. En dat kan alleen als er al een goede basis staat. “Het belangrijkste is dat je niet pas op het laatste moment voorbereidingen gaat treffen”, vertelt Hensen. “Dan ben je te laat. En dat geldt niet alleen voor de feestdagen. Maak gebruik van een combinatie van quick wins en zaken die structureel op orde moeten zijn.” Turner vult aan: “Je hebt als bedrijf de verantwoordelijkheid om (potentiële) klanten en je eigen merk te beschermen tegen cyberdreigingen zoals spoof-websites. Sommige bedrijven, doen dat door hun klanten voor te lichten en hen te waarschuwen voor kwaadaardige nepwebsites. Maar bedrijven kunnen en moeten ook proactief handelen. Niet alleen in december, maar het hele jaar door.” Zo verklein je de kans dat de kerstperiode een nachtmerrie wordt en zit je met een gerust hart aan het kerstdiner.
Dit artikel is tot stand gekomen in samenwerking met Marcommit.
Meer over cybercriminaliteit:
- ISIDOOR 2021: NCTV en NCSC organiseerden grootste cybercrisisoefening ooit in Nederland
- NCTV: Digitale dreiging blijft toenemen
- Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid
Volg Security Management op LinkedIn