Opdracht 5 voor Security, Privacy en Ethiek, periode 1
Doelgroep: MBO-4 eerstejaars studenten.
De les van de module Security, Privacy en Ethiek bij de opleiding Docent ICT bij Windesheim te Zwolle:
Doelen
Je kunt:
- De verschillende vormen van Ransomware en Spoofing herkennen en beschrijven.
- De definities van “Security by design” en “Security by default” geven en deze toegelicht met een aantal concrete voorbeelden.
- De werking en opzet van het Security Awareness Maturity Model beschrijven.
Om gelijk met de deur in huis te vallen wil ik de benoemde termen hier als eerst toelichten, zodat je een beetje een idee krijgt van wat er wordt bedoeld:
- Ransomware: Criminelen versleutelen je bestanden en vragen losgeld om ze terug te krijgen.
- Spoofing: Criminelen doen zich voor als iemand anders om je te misleiden.
Security by Design: Beveiliging is ingebouwd in de software net als een autogordel standaard in een auto zit. - Security by Default: Beveiliging staat al aan zonder dat je iets hoeft te doen net als een koelkast die altijd koelt als je hem aanzet.
- Security Awareness Maturity Model: Hoe goed een bedrijf snapt dat beveiliging belangrijk is van ‘we letten nergens op’ tot ‘iedereen is superalert’.
Hieronder zal ik ze verder uitleggen:
Ransomware en Spoofing
Ransomware
Een vorm van malware (schadelijke software) die bestanden op een computer versleutelt. Slachtoffers moeten losgeld (ransom) betalen om weer toegang te krijgen tot hun bestanden. Vaak wordt betaling in Bitcoin gevraagd om de daders anoniem te houden.
Actuele voorbeelden:
WannaCry (2017): Bron: https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
In mei 2017 vond een grote cyberaanval plaats met de zogeheten WannaCry-ransomware. Deze aanval trof wereldwijd meer dan 200.000 computers in meer dan 150 landen. Ziekenhuizen, bedrijven en overheden werden geraakt.
Wat gebeurde er precies?
WannaCry maakte gebruik van een beveiligingslek in Windows. Deze kwetsbaarheid was eigenlijk al door Microsoft opgelost, maar veel systemen hadden die update nog niet geïnstalleerd. Daardoor kon de ransomware zich razendsnel verspreiden.
Waarom is dit belangrijk?
Deze aanval liet zien hoe belangrijk het is om updates uit te voeren en backups te maken. Veel organisaties waren niet goed voorbereid, waardoor hele netwerken platlagen.
Les voor jou als student Software Development:
Zorg dat je systemen up-to-date zijn, dat er altijd backups zijn en dat je beveiligingsrisico’s serieus neemt – ook als het “maar een update” lijkt.
Locky (2016): Verspreidde zich via e-mails met schadelijke bijlagen. Bron: https://en.wikipedia.org/wiki/Locky
Locky is een vorm van ransomware die voor het eerst opdook in 2016. Net als WannaCry versleutelt Locky bestanden op je computer, zodat je er niet meer bij kunt. Daarna krijg je het verzoek om losgeld te betalen in bitcoin om je bestanden terug te krijgen.
Hoe werkt Locky?
Locky werd meestal verspreid via e-mail. In zo’n e-mail zat een bijlage (bijvoorbeeld een Word-document met een nep-factuur). Zodra je die opende en macro’s inschakelde werd Locky automatisch gedownload en actief op je computer.
Wat doet Locky?
Locky versleutelde bestanden zoals foto’s, documenten en databases.
Bestanden kregen een andere naam en extensie (bijv. .locky).
De gebruiker kreeg een melding met instructies om losgeld te betalen via het dark web.
Waarom is Locky belangrijk om te kennen?
Locky liet zien hoe gevaarlijk e-mailbijlagen kunnen zijn en hoe makkelijk gebruikers kunnen worden misleid. Het laat zien hoe belangrijk het is om er bewust van te zijn en het niet zomaar openen van onbekende bijlagen.
Les voor jou als student ICT:
Zorg voor goede e-mailfilters, leer gebruikers veilig gedrag aan (geen macro’s aanzetten zonder reden!) en gebruik back-ups zodat je geen losgeld hoeft te betalen als het misgaat.
Spoofing
Spoofing draait altijd om het misbruiken van vertrouwen. De aanvaller doet zich voor als iemand anders om je iets te laten doen wat je anders niet zou doen. Denk aan inloggen op een nepwebsite, klikken op een verkeerde link of het afgeven van persoonlijke informatie.
E-mail Spoofing: Criminelen sturen valse e-mails die lijken te komen van een betrouwbare afzender.
Caller ID Spoofing: Je krijgt een telefoontje van een ‘bekend’ nummer, maar het is eigenlijk een oplichter.
IP Spoofing: Hackers verbergen hun echte locatie door een vals IP-adres te gebruiken.
Website- en URL-spoofing: Het nabootsen van legitieme websites om gebruikers te verleiden gevoelige informatie prijs te geven.
Waarom is spoofing gevaarlijk?
- Je kunt gevoelige gegevens kwijtraken (zoals wachtwoorden of bankgegevens).
- Het is vaak moeilijk te herkennen.
- Zelfs systemen kunnen erdoor worden misleid, niet alleen mensen.
Herkenbare voorbeelden
E-mail spoofing
Je krijgt een e-mail van je “school”, maar het adres is net iets anders (bijvoorbeeld @firda.edu in plaats van @firda.nl) en ze vragen je om ergens in te loggen.
WhatsApp of sms-spoofing
Je krijgt een berichtje van je “vader” dat hij met spoed geld nodig heeft. Het telefoonnummer lijkt kloppend, maar het is nagemaakt.
Fake websites (URL-spoofing)
Je typt ‘rabobank.nl’ in, maar komt op ‘rab0bank.nl’. Alles ziet er hetzelfde uit, maar het is een kopie bedoeld om je inloggegevens te stelen.
Wi-Fi spoofing
Je zit in de trein of op school en ziet een netwerk genaamd ‘Gratis_WiFi’. Je maakt verbinding, maar het is een netwerk van een aanvaller die je dataverkeer afluistert.
Hoe kun je spoofing herkennen?
- Check altijd het e-mailadres van de afzender en de domeinnaam van een website.
- Wees alert op taalfouten, spoedverzoeken en onlogische vragen.
- Vertrouw geen gratis wifi-netwerken zonder wachtwoord.
- Gebruik een wachtwoordmanager; die herkent echte websites aan het certificaat.
- Kijk bij e-mails op de knop ‘Beantwoorden’ om te zien of het e-mailadres verandert.
Wat kun je eraan doen?
- Gebruik tweefactorauthenticatie (2FA).
- Controleer links voordat je klikt (hover er met je muis overheen).
- Meld verdachte berichten altijd bij je docent, werkgever of IT-afdeling.
- Gebruik antivirussoftware die spoofing (vooral in e-mails) kan herkennen.
- Wees terughoudend met wat je deelt op sociale media. Informatie wordt vaak gebruikt bij social engineering-aanvallen.
Security by Design & Security by Default
Security by Design:
Beveiliging is vanaf het begin onderdeel van de software of het systeem en wordt niet achteraf toegevoegd.
Voorbeelden:
- Een app die standaard versleutelde communicatie gebruikt.
- Een website die gebruikers niet toestaat zwakke wachtwoorden te kiezen.
Security by Default:
Een systeem is standaard zo veilig mogelijk zonder dat de gebruiker zelf instellingen hoeft te veranderen.
Voorbeelden:
- Een nieuwe router die standaard een sterk wachtwoord heeft in plaats van ‘admin123’.
- Een smartphone waarbij gegevens standaard worden versleuteld.
Security Awareness Maturity Model
Dit model laat zien hoe volwassen een organisatie is op het gebied van security awareness (bewustwording van cybersecurity). Er zijn vijf niveaus:
Non-Existent: Er is geen security awareness-programma.
Initial: Er is enig bewustzijn, maar geen gestructureerde aanpak.
Defined: Er is een officieel programma, maar niet iedereen volgt het.
Managed: Security awareness is een integraal onderdeel van het beleid.
Optimized: Security is volledig ingebed in de bedrijfscultuur en werknemers handelen er proactief naar.
Voorbeeld:
- Niveau 1: Werknemers klikken zonder na te denken op phishing-mails.
- Niveau 3: Er worden af en toe trainingen gegeven over phishing.
- Niveau 5: Medewerkers herkennen verdachte mails direct en melden deze actief.
Ook is er bijbehorende les 5 een opdracht: ‘Beveiliging van een E-Mail”:
Hoe veilig is een willekeurige e-mailadres?
Test je eigen en een aantal willekeurige e-mailadressen via:
https://nl.internet.nl/test-mail/
Over de e-mailtest
Nadat je een e-mailadres hebt opgegeven, testen we of de achterliggende e-mailvoorziening ondersteuning biedt voor de onderstaande moderne Internetstandaarden.
- IPv6: bereikbaar via modern internetadres?
- DNSSEC: domeinnamen ondertekend?
- DMARC, DKIM en SPF: echtheidswaarmerken tegen e-mailphishing?
- STARTTLS en DANE: beveiligde mailserver-verbinding?
- RPKI: route-autorisatie?
Let op: sommige standaarden zijn zelfs relevant als je je domeinnaam niet gebruikt voor het ontvangen en verzenden van e-mail.
Testrapport?
Nadat de test is afgerond, wordt een testrapport getoond. Dit rapport bevat een procentuele totaalscore en resultaten per testonderdeel en subtest. Voor meer informatie zie “Toelichting op testrapport”.
E-mail testrapport phurestudios.com:
E-mailtest: phurestudios.com
Het domein phurestudios.com heeft een testscore van 62%.
62%
- Gezakt :Niet bereikbaar via modern internetadres, of verbetering mogelijk (IPv6)
- Gezakt :Niet alle domeinnamen ondertekend (DNSSEC)
- Gezakt :Niet alle echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF)
- Gezakt :Mailserver-verbinding niet of onvoldoende beveiligd (STARTTLS en DANE)
- Geslaagd :Geautoriseerde route-aankondiging (RPKI)
Toelichting op testrapport
Permalink testresultaat (2025-03-09 15:55 UTC)
Herhaal de test
Gezakt :Modern adres (IPv6)
Helaas! Je mailserver is niet bereikbaar voor verzenders met moderne adressen (IPv6), of er is verbetering mogelijk. Daardoor maakt je mailserver nog geen onderdeel uit van het moderne internet. Vraag je e-mailprovider om IPv6 volledig aan te zetten.
Toon details
Nameservers van domein
Geslaagd:IPv6-adressen voor nameserversopen
Geslaagd:IPv6-bereikbaarheid van nameserversopen
Mailserver(s)
Gezakt:IPv6-adressen voor mailserver(s)open
Niet-testbaar:IPv6-bereikbaarheid van mailserver(s)open
Gezakt :Ondertekende domeinnamen (DNSSEC)
Helaas! De domeinen van je e-mailadres en mailserver(s) zijn niet (allemaal) ondertekend met een geldige handtekening (DNSSEC). Verzenders die domeinhandtekeningen controleren, kunnen nu niet betrouwbaar het IP-adres van je ontvangende e-mailserver(s) opvragen. Een aanvaller kan het IP-adres daardoor ongemerkt manipuleren en aan jou gestuurde e-mails omleiden naar een eigen mailserver. Vraag je nameserver-beheerder en/of je mailprovider om DNSSEC te activeren.
Toon details
E-mailadresdomein
Gezakt:DNSSEC aanwezigheidopen
Niet-testbaar:DNSSEC geldigheidopen
Mailserverdomein(en)
Gezakt:DNSSEC aanwezigheidopen
Niet-testbaar:DNSSEC geldigheidopen
Gezakt :Echtheidswaarmerken tegen phishing (DMARC, DKIM en SPF)
Helaas! Je domein bevat niet alle echtheidswaarmerken tegen e-mailvervalsing (DMARC, DKIM en SPF). Ontvangers kunnen daardoor niet betrouwbaar phishing- of spammails die jouw domeinnaam in hun afzenderadres misbruiken, scheiden van jouw echte e-mails. Vraag je mailprovider om DMARC, DKIM en SPF te activeren.
Toon details
DMARC
Niet-testbaar:DMARC policyopen
DKIM
Geslaagd:DKIM aanwezigheidopen
SPF
Gezakt :Beveiligde mailserver-verbinding (STARTTLS en DANE)
Helaas! Verzendende mailservers die beveiligd e-mailtransport (STARTTLS en DANE) ondersteunen, kunnen met jouw ontvangende mailserver(s) geen of een onvoldoende beveiligde verbinding opzetten. Passieve en/of actieve aanvallers kunnen daardoor e-mails onderweg naar jou lezen. Vraag je mailprovider om STARTTLS en DANE te activeren, en veilig in te stellen.
Toon details
TLS
Geslaagd:STARTTLS beschikbaaropen
Geslaagd:Ciphers (Algoritmeselecties)open
Geslaagd:Sleuteluitwisselingsparametersopen
Geslaagd:Hashfunctie voor sleuteluitwisselingopen
Geslaagd:Secure renegotiationopen
Informatie:Client-initiated renegotiationopen
Certificaat
Geslaagd:Vertrouwensketen van certificaatopen
Geslaagd:Publieke sleutel van certificaatopen
Geslaagd:Handtekening van certificaatopen
Informatie:Domeinnaam op certificaatopen
DANE
Niet-testbaar:DANE geldigheidopen
Niet-testbaar:DANE-vervangingsschemaopen
Geslaagd :Route-autorisatie (RPKI)
Goed gedaan! Alle IP-adressen van je ontvangende mailserver(s) en bijbehorende nameservers hebben een route-aankondiging die wordt gematcht door de gepubliceerde route-autorisatie (RPKI). Daardoor is het e-mailtransport tussen verzendende mailservers met ingeschakelde route-validatie en jouw ontvangende mailserver(s) beter beschermd tegen diverse onbedoelde of kwaadwillige route-configuratiefouten, die kunnen leiden tot de onbereikbaarheid van je servers of de onderschepping van internetverkeer naar je servers.
Toon details
Nameservers van domein
Geslaagd:Aanwezigheid van Route Origin Authorisationopen
Geslaagd:Geldigheid van route-aankondigingopen
Nameservers van mailserver(s)
Geslaagd:Aanwezigheid van Route Origin Authorisationopen
Geslaagd:Geldigheid van route-aankondigingopen
Mailserver(s)
Geslaagd:Aanwezigheid van Route Origin Authorisationopen
Geslaagd:Geldigheid van route-aankondiging
Zie hier het Word document dat ik geschreven heb voor les 5:
Reflectie/ mijn visie: tijdens het schrijven van deze blogpost realiseerde ik me hoe kwetsbaar veel mensen eigenlijk zijn als het gaat om wachtwoorden. Als ik rondvraag hoe MBO-4 eerstejaars-studenten denken over wachtwoorden dan hoor ik vaak terug dat studenten eenvoudige wachtwoorden gebruiken simpelweg omdat het ‘makkelijk is om te onthouden’. Maar juist dat gemak maakt je kwetsbaar.
Door deze blogpost te schrijven werd ik zelf ook weer wat bewuster van hoe belangrijk het is om niet alleen technische oplossingen aan te bieden, maar ook stil te staan bij bewustwording. Ik denk dat juist op het MBO veel winst te behalen valt in die bewustwording door de risico’s concreet te maken en het gesprek erover aan te gaan met zowel collega’s als ook studenten. Dit laatste kan ook mooi tijdens de SLB-lessen.
Bronnen
WannaCry (2017): https://en.wikipedia.org/wiki/WannaCry_ransomware_attack
Locky (2016): https://en.wikipedia.org/wiki/Locky
Wat is spoofing? Definitie van spoofing: https://www.malwarebytes.com/nl/spoofing
Steeds meer spoofing: https://www.nu.nl/tech/6333023/steeds-meer-spoofing-criminelen-misbruiken-willekeurig-nummer-voor-oplichting.html?referrer=https%3A%2F%2Fwww.google.com%2F
Hoe veilig is een willekeurig e-mail adres?: https://nl.internet.nl/test-mail/
Leave a Reply