De verborgen risico’s van klantcases
Als bedrijf wil je graag laten zien wat je voor klanten hebt bereikt. Klantcases zijn daarvoor een populair middel. Maar heb je nagedacht over de beveiligingsrisico’s die je hiermee creëert? Niet alleen voor jezelf, maar ook voor je klanten?
Een praktijkvoorbeeld
Stel, je plaatst de volgende klantcase op je website:
Clear ICT heeft het netwerk van Bakkerij Jansen in Arnhem voorzien van een nieuwe firewall en wifi van merk NetPro. “Rick van Clear ICT heeft ons fantastisch geholpen,” aldus directeur Peter Jansen. “IT beheerder André is ook erg tevreden met de nieuwe oplossing.”
Op het eerste gezicht een onschuldig stukje tekst. Toch bevat het genoeg informatie voor een gerichte aanval.
Zo misbruikt een aanvaller deze informatie
Een cybercrimineel belt naar Bakkerij Jansen:
“Goedemorgen, u spreekt met Thomas van NetPro. Ik heb net Rick van Clear ICT gesproken. Er is een kritieke update nodig voor jullie wifi systeem. Kan ik André van IT even spreken? Of stuur ik de instructies naar u, zodat u ze kunt doorsturen?”
Directeur Peter gelooft het verhaal, want:
- De beller kent de naam van de IT leverancier (Clear ICT)
- De beller kent het wifi merk (NetPro)
- De beller kent de naam van de IT beheerder (André)
Het resultaat? Alle medewerkers ontvangen een mail van hun eigen directeur met een malafide link. De aanvaller is binnen.
De cijfers: social engineering werkt
Volgens het Email Security Trends rapport van Barracuda Networks rapporteerde 85% van de bedrijven in de Benelux in 2023 minstens één succesvolle aanval via email. De gemiddelde financiële schade per getroffen bedrijf: 1,2 miljoen euro.
Cybercriminelen kiezen steeds vaker voor social engineering boven technische aanvallen. Waarom zou je complexe beveiliging proberen te kraken als je met openbaar beschikbare informatie een medewerker kunt misleiden?
Welke informatie is riskant?
Wees voorzichtig met het delen van:
| Informatie | Risico |
|---|---|
| Namen van medewerkers | Maakt gerichte phishing mogelijk |
| Gebruikte software en hardware | Aanvaller kan zich voordoen als leverancier |
| Namen van leveranciers | Basis voor geloofwaardige social engineering |
| Interne processen | Helpt bij CEO fraude scenario’s |
| Locatiegegevens | Maakt fysieke social engineering mogelijk |
Wat kun je doen?
Controleer je eigen website: Welke klantcases staan online? Bevatten ze riskante details?
Bekijk websites van leveranciers: Staan daar cases over jouw bedrijf? Vraag om aanpassing of verwijdering.
Anonimiseer waar mogelijk: Gebruik gefingeerde namen en laat specifieke productmerken weg.
Train je medewerkers: Zorg dat iedereen weet dat aanvallers deze informatie kunnen misbruiken.
Hulp nodig bij je cybersecurity strategie?
Clear ICT helpt je met het identificeren van risico’s en het opstellen van een effectief beveiligingsbeleid. We denken mee over hoe je klantcases kunt delen zonder onnodige risico’s te creëren.
Geschreven door
Rick van den Bovenkamp
IT-professional bij Clear ICT. Schrijft over cybersecurity, Microsoft 365 en moderne IT-oplossingen.
Volg op LinkedIn
