Just a quick note, but always interesting to use as reference in security discussions with management teams or in security workshops: cybersecurity threat and data breach reports.
For meeting requests in Microsoft Outlook, the program does not have a bcc (aka Blind copy) option to add participants to a meeting, without publishing all personal data (mail addresses) to the other participants.
Microsoft is aware of the issue, but hasn’t fixed the option yet.
Still you can request to have this option or request this function in Outlook, via Windows Feedback hub (hit the W10 Windows button, and type feedback) of via Microsoft Tech Community or Microsoft Q&A.
Visibility of participants to other participants
When you add participants to the “Required” or “Optional” section, they can see each others mail addresses. For smaller groups of people, that probably know each other, it’s not a big thing.
But for public events, this might be an issue. And certainly for large groups of participants, this is an overload of information.
And additionally, it might be considered as an inconvenience (or even a data breach) to publish data of other participants in a large group.
Limiting visibility to other participants
For matters of data protection it would be very handy to send the invite to the participants without exposing too much data.
Work around
As the bcc: option is missing, you can add people to the “Resources” option.
Steps
Create a new meeting request.
In the meeting options select, the “Required” or “Optional” button.
Then in the resources option, add the contacts or mail addresses of the participants.
Then add the required information to the invite, including online meeting options (Teams, …) and send the mail.
Alternative option : using iCAL file option via mail
Another option is
to create an meeting in your agenda,
add the required meeting details (including teams invite)
At the end of this article, you can also find the download link for an offline version of this article.
Als je echt om privacy geeft en het is van het grootste belang…
Zoals hieronder uitgelegd, kun je WhatsApp zeker beveiligen, maar ze hebben nog steeds je gegevens en metadata en ze definiëren de regels waarmee WhatsApp de show uitvoert. En dat kan veranderen, wanneer ze maar willen.
En je moet weten dat WhatsApp eigendom is van en wordt beheerd door Facebook. En Facebook heeft al bewezen dat ze een echt slechte reputatie hebben als het gaat om privacy …
Als je echt niet wilt toegeven qua privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens… (zie einde van dit artikel).
Het is aan jou om te beslissen welk risico je wilt nemen. Als je het gebruik van WhatsApp en je privacy wilt afwegen tegen de best mogelijke beveiliging, lees dan verder.
Als je om privacy geeft en toch Whatsapp wilt gebruiken
End-to-end encryptie
Het goede nieuws is dat WhatsApp een end-to-end encryptie gebruikt.
En hoewel Facebook of andere partijen mogelijk niet meeluisteren met uw gesprekken, kunnen de contactgegevens, de metagegevens (de gegevens over uw gesprekken) worden onderschept en eigendom zijn van / worden beheerd door Facebook / WhatsApp.
Verder is het belangrijk om te weten dat encryptie NIET van toepassing is op de WhatsApp back-ups.
Zoals hieronder wordt uitgelegd, kunt u dus overwegen whatsApp-back-up uit te schakelen om uw gegevens te beschermen.
En als je er toch voor wilt kiezen om WhatsApp te gebruiken, kun je de privacy en beveiliging in alle lagen van de applicatie beter vergrendelen.
Algemene beveiligingsregels
Minimaliseer uw gegevens
Over het algemeen is het altijd slim om uw gegevens in de applicatie te minimaliseren.
Geef geen persoonsgegevens weg
houd uw profielgegevens tot het minimum dat nodig is
Ga naar het WhatsApp status tabblad (rechts naast chats)
en klik vervolgens op “Instellingen” (Settings)
Ook, heel belangrijk, beperk het delen van persoonlijke gegevens, er is een specifieke set opties in het gedeelte Privacy.
uw profiel alleen delen met vertrouwde contactpersonen
De publicatie van
“laatst gezien” tijdstempel
profielfoto
status
groepen
live locatie
…
Stel voor elk van deze opties de juiste keuze in om delen uit te schakelen.
Kies “Alleen delen met…” (Only Share with…) > geen contactpersonen selecteren (of enkel een beperkte set vertrouwde contactpersonen)
Resultaat
Zorg er ook voor dat u het “Vingerafdrukslot” (Fingerprint lock) inschakelt, indien beschikbaar op uw smartphone.
Koperstip: voor de volgende smartphoneaankoop moet u rekening houden met de beschikbaarheid van een vingerafdrukscanner op uw telefoon.
Houd de app up-to-date
Werk uw apps continu bij, incl. WhatsApp, naar de nieuwste versie, om ervoor te zorgen dat alle beveiligingsfouten of beveiligingsproblemen meteen worden opgelost.
De meeste beveiligingsinbreuken of hacks richten zich specifiek op verouderde software.
Hoe u uw WhatsApp-beveiliging kunt vergrendelen, de controlelijst
Zonder beveiligingsconfiguratie is het vrij eenvoudig om een WhatsApp-account te kapen, omdat de eerste registratie alleen is gebaseerd op mobiele nummerregistratie en / of sms (kort bericht).
Dit maakt de eerste WhatsApp-gebruiker extreem gevoelig voor accountovername. Wees niet het volgende slachtoffer en vergrendel WhatsApp vanaf het eerste gebruik.
Whatsapp tweestapsverificatie (2FA) of multifactorauthenticatie (MFA) inschakelen
Allereerst moet je MFA inschakelen, het is een must.
Wanneer je 2FA / MFA inschakelt op de WhatsApp-instellingen, voorkom je dat iemand anders gewoon je telefoonnummer of WhatsApp-account kan overnemen.
Gebruik de sterke authenticatie van je telefoon
E-mailadres registreren voor je account
Een pincode instellen
Houd er rekening mee dat de pincode in WhatsApp geen inlogmethode is, maar een herstel- / herinstallatiefunctie.
Maar u kunt de smartphonebeveiliging gebruiken om toegang tot toepassingen in te schakelen.
Het wordt sterk aangeraden om 2FA of MFA (multifactorauthenticatie, zoals uitgelegd in eerdere paragrafen) in te schakelen.
Whatsapp-tweestaps- of multifactorauthenticatie inschakelen
Gebruik telefoon sterke authenticatie
Vingerafdruk
Binnen de privacy-instellingen vindt u de optie “Vingerafdrukvergrendeling” (als uw smartphone de vingerafdrukscanner aan boord heeft).
Ga naar Instellingen > Account > Privacy om de vingerafdrukvergrendeling in te schakelen
Selecteer vervolgens de laatste optie (Vingerafdrukvergrendeling)
In dit vingerafdrukvergrendelingsmenu kunt u de ontgrendeling inschakelen en de time-outperiode kiezen. Hou het kort.
(Misschien is “meteen”/”immediately” een beetje lastig, zet ‘m dan op 1 minuut bijvoorbeeld…)
De beveiligingsmeldingen inschakelen
In de account settings
er is een beveiligingsoptie
Zorg ervoor dat u de optie “Beveiligingsmeldingen weergeven” inschakelt.
Dit zorgt ervoor dat u meldingen ontvangt wanneer de beveiligingscode van uw contacten verandert.
De privacy-instellingen vergrendelen
Verwijder overbodige persoonsgegevens uit uw profiel
Er is niet veel informatie die u zelf aan uw profiel kunt toevoegen.
Houd het tot het strikte minimum, en ik stel ook voor om geen persoonlijke foto toe te voegen, maar eerder een algemene foto.
Schakel in de privacyinstellingen alle publicatie van uw profielgegevens uit.
Locatietracking stoppen
Een belangrijke optie in de vorige lijst is ook het uitschakelen van locatietracking (“Live locatie”).
Back-up uitschakelen
Hoewel WhatsApp end-to-end-codering gebruikt voor zijn berichten, wordt de codering niet gehandhaafd wanneer de gegevens in de back-up worden opgeslagen
Als u zich echt zorgen maakt over privacy en beveiliging, schakelt u de back-up uit.
Trouwens, als u het verlopen van het bericht activeert, is de back-up toch overbodig…
Select de “Chats” optie
Kies in de chatoptie de optie “Chat back-up”
In de Google drive settings (tenminste voor Android devices), selecteer “Backup to Google Drive” en selecteer dan “Nooit/Never”.
It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.
Andere operationele beveiligingstaken
Verouderde leden uit groepen verwijderen
Het is heel belangrijk om groepen die u beheert te bewaken en overbodige leden zo snel mogelijk te verwijderen.
Zo voorkom je dat er gegevens ‘lekken’ naar deelnemers die die informatie niet nodig hebben.
Groepen verlaten die u niet meer gebruikt
Controleer groepen waarvan u lid bent en sluit deze groepen af/afsluit deze groepen als u ze niet meer nodig hebt, als u geen informatie meer wilt delen of als u niet wilt dat leden uw informatie/berichten zien.
Zo voorkomt u dat u gegevens ‘lekt’ naar deelnemers om u te zien of te volgen.
Verzoek om toegang tot gegevens
Als je de informatie wilt controleren die WhatsApp over je weet, kun je een kopie van die infromation aanvragen
Ga naar je accountinstellingen
En klik vervolgens op de optie “Informatie aanvragen”
Overweeg om andere tools te gebruiken, enkele alternatieven
Als je echt niet wilt toegeven aan privacy, kijk dan eens naar alternatieven die niet zijn gebouwd door bedrijven die geld verdienen met je persoonlijke gegevens…
At the end of this article, you can also find the download link for an offline version of this article.
If you really care about privacy and it’s paramount…
As explained below you surely can lockdown WhatsApp, but they still have your data and metadata and they define the rules by which WhatsApp runs the show. And that can change, whenever they want.
And you should know that WhatsApp is owned and managed by Facebook. And Facebook already has proven to maintain a really bad reputation when it comes down to privacy…
If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data… (see end of this article).
It’s up to you to decide what risk you want to take. If you want to balance the use of WhatsApp and your privacy with the best possible security, continue to read.
If you care about privacy and still want to use Whatsapp
End-to-end encryption
The good news is, WhatsApp is using an end-to-end encryption.
And although Facebook or other parties might not listen in on your conversations, the contact data, the meta data (the data about your conversations) might be intercepted, and is owned/managed by Facebook/WhatsApp.
Furthermore it’s important to know that encryption DOES NOT apply to the WhatsApp backups.
So, as explained below, you might consider disabling WhatsApp backup to protect your data.
And if you still want to choose to use WhatsApp, better lock down the privacy and security in all layers of the application.
General security rules
Minimize your data
In general it’s always smart, to minimize your data in the application.
Don’t give away personal data
keep your profile data to the minimum needed
Go to the WhatsApp status tab
then click “Settings”
Also, very important, limit personal data sharing, there is a specific set of options in the Privacy section.
only share your profile with trusted contacts
Disable the publication of
“last seen” time stamp
profile photo
status
groups
live location
…
For each of these options set the right choice to disable sharing.
Choose “Only Share with…” > do not select any contacts (or a limited set of trusted contacts)
Result
Also make sure to enable the “Fingerprint lock” if available on your smartphone.
Buyers tip: for next smartphone purchase you must consider the availability of a fingerprint scanner on your phone.
Keep the app up to date
Continuously update your apps, incl. WhatsApp, to the latest version, to make sure that all security bugs or security issues are fixed right away.
Most of security breaches or hacks do specifically target outdated software.
How to lock down your WhatsApp security, the check list
Without security configuration it’s fairly easy to hijack a WhatsApp account, as the initial registration is only based on mobile number registration and/or SMS (short message).
This makes the initial WhatsApp user extremely sensitive to account take over. Don’t be the next victim, and lock down WhatsApp from the first use.
Enable Whatsapp Two-step (2FA) or multifactor authentication (MFA)
First of all you need to enable MFA, it’s a must.
When you enable 2FA/MFA on the WhatsApp settings, you avoid that someone else simply can take over your phone number or WhatsApp account.
Use phone strong authentication
Register email address to the account
Set a pin/password
Be aware that the PIN in WhatsApp is not a login method but a recovery/reinstallation feature.
It’s highly suggested to enable these group options, and make sure information is not kept longer as needed.
Other operational security tasks
Remove obsolete members from groups
It’s quite important to monitor groups you manage and remove redundant members as soon as possible.
This way you avoid ‘leaking’ data to participants who do not need that information.
Leave groups you don’t use anymore
Monitor groups you are member of, and you should quit/exit these groups if you do not need them anymore, or you do not want to share information anymore, or if you don’t want members to see your information/messages.
This way you avoid ‘leaking’ data to participants to see you or track you.
Data access request
If you want to check the information that WhatsApp knows about you, you can request a copy of that infromation
If you really do not want to give in on privacy, better check for alternatives that are not built by companies that make money with your personal data…, like
End 2020 IDG published a study on Security priorities, and it provides important guidelines to the priorities of securing yourself and your company
Protection of confidential and sensitive data
End-user awareness
Corporate resilience
Enhance access control
Understand external threats
Application security
Plan for unexpected risks
This pretty much confirms that your customers, stakeholder’s and staff interest in protecting personal data is driving security from business perspective.
If you see the increase of cyberattacks and ransomware hitting the business, it’s pretty obvious that Business Continuity Management and Disaster recovery must be on top of your priority list. You need to have a tested plan against successful cyberattacks and ransomware, to avoid extended business damage and massive (ransom) costs … afterwards.
To put a plan together, you need to understand who is your adversary and what the current state of cybersecurity is. And this study is a simple but smart guide to define your priorities.
The better you prepare, the less it will cost. But you’ll only be able to tell when it goes wrong.
Have you ever assessed the maturity of #cybersecurity implementation?
The #ZeroTrust#maturity model assessment by #Microsoft provides you with great insights, where to start or which part of your security needs improvement.
Easy to use, easy to understand, great results and great guidance.
Vind zoveel mogelijk phishing-indicatoren in de e-mail die ik onlangs heb ontvangen. Screenshot hieronder.
Hoeveel indicatoren kun je vinden?
Het nummer om te verslaan is 12.
Kun je ze vinden, of kan je het beter doen? (zo ja, twijfel niet om de indicatoren die je vond te melden in een commentaar).
Tip: Stop met verder te scrollen als je de uitdaging wilt aangaan, voordat ik hieronder de oplossing verklap.
Snelle oplossing: overzicht van de indicatoren
Belangrijk: De bizarre (onverwachte) naam van de afzender
Belangrijkste: Het e-mailadres van de afzender komt niet overeen met de naam
Heel belangrijk: Spelfouten
Zeer belangrijk: Slechte grammatica
Belangrijk: Verkeerde leestekens
Belangrijke fouten in het ontwerp / de lay-out
Uiterst belangrijk: URL komt niet overeen en wijst naar een phishing-website
Belangrijk: Gevoel van dringendheid: “Wachtwoord verloopt binnen (0) dagen”
Verdachte instructies (contra-intuïtief)
Productfouten
Verkeerde bedrijfsreferenties
E-mail voettekst ontbreekt (of afmeldlink ontbreekt of privacynote ontbreekt)
En aan het einde: een bonus (die is niet weergegeven in (en niet van toepassing op) het huidige voorbeeld screenshot).
De aanpak voor een gedetailleerde analyse
Over het algemeen zijn er 4 niveaus van indicatoren waar je op moet letten
het gemakkelijke deel, duidelijke zichtbare fouten
verborgen indicatoren, gemakkelijk te vinden (bijv. muisaanwijzer over de links, ZONDER te klikken!)
geavanceerde onderdelen, waarvoor je een beetje kennis nodig hebt
deskundige kennis / ervaring vereist
Ten eerste, het makkelijke deel.
De gemakkelijkst te vinden en meest zichtbare #phishing indicatoren
1. Belangrijk: De bizarre (onverwachte) naam van de afzender
In dit specifieke geval wordt de naam van de afzender gevormd uit:
het ontvangerdomein dat als voorvoegsel wordt gebruikt (ALARM!)
onvolledig e-maildomein achtervoegsel (ALARM!)
Taak: controleer de naam van de afzender.
Evaluatie: gealarmeerd zijn, als
de naam van de afzender heeft een vreemd, abnormaal formaat (
de afzender is niet bij u bekend,
de post wordt niet verwacht, een verrassing uit het niets
2. Het belangrijkste: Het e-mailadres van de afzender komt niet overeen
Het eenvoudige deel is om te controleren of de naam van de afzender overeenkomt met het e-mailadres van de afzender.
Dit is niet altijd zichtbaar, zeker niet op smartphones.
Taak: controleer expliciet het volledige e-mailadres.
Evaluatie: gealarmeerd zijn, als
de naam van de afzender komt niet overeen met het volledige e-mailadres
3. Heel belangrijk: Spelfouten
Hoewel phisher steeds meer “professioneel” wordt, zijn spelfouten een belangrijke indicator. Marketingbedrijven besteden (meestal) enige tijd om de grammatica goed te krijgen.
4. Zeer belangrijk: Slechte grammatica
In de voorbeeldmail ziet u de instructie “Gebruik hieronder om te bewaren” (EN: “Use below to keep…”)
Wat gebruiken??
Een goed gebruik van grammatica zou zijn: “Gebruik onderstaande link om uw wachtwoord te behouden.”
5. Belangrijk: Verkeerde leestekens
Naast slechte grammatica zijn verkeerde leestekens (spaties, stippen, komma’s, …) een belangrijke indicator voor spam, hoewel spammers tegenwoordig de neiging hebben om betere zorg te gebruiken om inhoud te bouwen.
6. Belangrijke fouten in het slechte ontwerp / lay-out
Controleren op belangrijke lay-outproblemen of HTML-fouten
De gevaarlijkste
7. Uiterst belangrijk: URL komt niet overeen en wijst naar een phishing-website
Een veel voorkomende phishing-techniek om u op malwarelinks te laten klikken.
Taak: controleer zorgvuldig de bron-URL door met de muis over de koppeling te gaan en de bron-URL weer te geven. Maar KLIK NIET op de link.
Taak: Controleer ALTIJD de bron-URL.
Evaluatie, moet u gealarmeerd zijn als
de URL komt niet overeen met het e-mailadresdomein van de afzender
de URL is een volledig onbekend domein
De phisher gebruikt mentale druk om je te laten klikken
8. Gevoel van urgentie: “Wachtwoord verloopt binnen (0) dagen”
De phisher probeert je hersenen te verkorten en dringt er bij je op aan om op de phishing-link te klikken, door het bericht zeer dringend te maken, waardoor je onmiddellijk actie moet ondernemen.
Niet doen.
NIET KLIKKEN, NIET HAASTEN.
Neem de tijd, een mail NEVER is urgent (denk aan het netiquette principe van het reageren op mail binnen 24 of 48 uur…).
Volwassen, openbare systemen sturen je ver van tevoren een heleboel meldingen. En “Wachtwoord verloopt binnen (0) dagen” is de verkeerde manier om u te vertellen “Wachtwoord is verlopen”.
9. Verdachte instructies
Denkt u echt dat een bedrijf u zou vragen om uw wachtwoord???
Integendeel, u wordt vaak gevraagd om uw wachtwoord te wijzigen of extra beveiligingsfuncties toe te voegen, zoals MFA.
Deze hebben wat meer onderzoek nodig
10. Productfout
Een tijdje geleden verplaatste Microsoft de Office online suite van “Office 365” naar “Microsoft 365″… dus de gebruikte productreferentie, is verkeerd. Microsoft verwijst in de huidige communicatie niet naar ‘Office 365’.
Toch kunnen sommige meldingen verwijzen naar Office 365… dit is dus niet altijd duidelijk of gemakkelijk te detecteren.
11. Verkeerde bedrijfsreferentie
Niet altijd te gemakkelijk te detecteren, maar in de e-mailvoettekst verwijst Microsoft niet naar zichzelf als gewoon “(C) 2021 Microsoft”, maar het moet “Microsoft Corporation” zijn en heeft een link naar de privacyverklaring en / of afmeldopties
Er is meer
12. Mail footer ontbreekt
Wat u van een gerespecteerd bedrijf kunt verwachten, is een e-mailvoettekst met aanvullende instructies, zoals privacyverklaring, afmeldfunctie, raadpleeg uw profiel of open de beheerdersinterface om uw profiel en beveiliging te beheren.
Enkele voorbeelden:
E-mails van het Microsoft 365-beheercentrum eindigen op :
Wanneer het e-mailreputatiesysteem u helpt…
Mail wordt in de spam folder gestoken
wanneer de e-mail is gedetecteerd als spam, als gevolg van een slechte e-mailreputatie van het afzender- of afzenderdomein, zal uw e-mailsysteem (server/client) de e-mail markeren als spam. Ter informatie gebruikt Microsoft de e-mailclient, Microsoft smartscreen en defender intelligence om e-mails te markeren voor spam.
controleer beter de e-mails in de spammap, omdat deze vals-positief kunnen zijn (legitieme e-mails gemarkeerd als spam)
Antimalware tagt de e-mail als [spam]
veel anti-malware / anti-virus programma’s hebben een spam / phishing-controle, die de e-mail als verdacht markeert en naar spam verplaatst. Deze programma’s gebruiken de virus-/spamdefinities van de leverancier.
Wat moet je doen met phishing mail?
ZORG ER ZEKER VOOR dat
je de mail aangeeft bij lokale cyberautoriteiten (bv. in België, stuur verdachte post door naar SafeOnWeb, via suspicious@safeonweb.be)
je de e-mail markeert als spam in uw e-mailclient of antivirusprogramma’s (zodat Microsoft of uw antivirusprogramma de e-mail kan analyseren om hun spamdefinities bij te werken.)
je jouw contacten/afzenders waarschuwt als ze u spam- of phishingmails sturen. Hun systeem kan geïnfecteerd of gehackt zijn.
While the main reference documents for CMMC (Cybersecurity Maturity Model Certification) are published by the US OSD (Office of the Under Secretary of Defense) there are some more interesting documents you should reference when diving into CMMC….
This page is a providing a quick overview of useful stuff, when diving into CMMC.
(more information added when interesting links are found. Feel free to notify me if you think information is missing or out of date).
Sadly, not all information is not posted on the CMMC home/landing page, but for example this public briefing presentation in PDF format is very useful:
You must be logged in to post a comment.