ESET beloond met AV-Test Top Product-awards voor beste Windows-antivirussoftware

ESET, een wereldleider op het gebied van cyberbeveiliging, werd beloond met Top Product Awards van AV-TEST in de nieuwste review- en certificeringsrapporten voor de categorieën ondernemingen (business) en consumenten (home consumer). ESET Endpoint Security 7.3 en ESET Internet Security 13.2, beveiligingsproducten voor Windows, behaalden, tijdens tests die in augustus en oktober 2020 werden uitgevoerd in de professionele en consumentensectie, de Top Product-awards met perfecte scores voor Bescherming en Bruikbaarheid.

AV-TEST, een toonaangevende onafhankelijke testorganisatie, gebruikt een van 's werelds grootste collecties malware om een ​​echte omgeving te creëren voor zeer nauwkeurige interne tests en realistische testcases.

De tests evalueerden de beste Windows-antivirussoftware voor zowel thuis- als zakelijke gebruikers, waarbij alle leveranciers in drie hoofdcategorieën beoordeeld worden: Bescherming, Prestaties en Bruikbaarheid. In zowel de consumenten- als bedrijfsevaluaties scoorden de oplossingen van ESET een perfecte 6 in de categorie Bescherming, die metingen uitvoert in zake malware zoals virussen, wormen en Trojaanse paarden. Een perfecte 6 werd ook behaald in de categorie Bruikbaarheid, die de impact meet van de beveiligingssoftware op de bruikbaarheid van de computer. Beide oplossingen scoorden ook bijna perfecte scores van 5,5 in de categorie Prestaties, die bij dagelijks gebruik de impact van het product op de computersnelheid meet.

Naast deze uitstekende resultaten ontving ESET afgelopen zomer zijn 100ste AV-Test-certificaat. Deze onderscheiding viel samen met de tiende verjaardag van het eerste AV-Test-certificaat door ESET behaald in juni 2010.

Roman Kováč, Chief Research Officer bij ESET, merkt op: “Het is bijzonder aanmoedigend om niet alleen geprezen te worden voor onze beveiligingsoplossingen voor consumenten en professionals, maar ook om erkend te worden voor tien jaar consistente en uitstekende resultaten bij tests door derden. Bij ESET zijn we erg trots op ons werk om technologie veiliger te maken. Deze erkenning door AV-Test bewijst opnieuw dat onze oplossingen in realistische scenario's werken. Bedrijven en thuisgebruikers kunnen erop vertrouwen dat ze bij ESET in veilige handen zijn. Na een jaar als geen ander is het nog nooit zo belangrijk geweest dat gevoelige informatie en gegevens beschermd worden met geavanceerde beveiligingssoftware, zowel op het werk als thuis."

Verneem meer over de thuis- en zakelijke oplossingen van ESET voor Windows op https://www.eset.com/be-nl/

 

How scammers target PayPal users and how you can stay safe

 

What are some common ploys targeting PayPal users? Here’s what you should watch out for when using the popular payment service.

By Amer Owaida

PayPal is one of the key players in the field of online payment providers, operating as a payment processor for popular online marketplaces, auction websites, as well as other commercial sellers. Popular brands such as Microsoft, Google Play, PlayStation Store, and Ikea are among the vendors that offer payment through the platform.

With 361 million active registered users, who make around 40 payment transactions per active account over a 12-month period, it’s also hugely popular. However, its users are also often targeted by various cybercriminals and scammers looking to make a quick buck.

The usual suspects

For one thing, the payment solution is consistently among the most-spoofed brands used in various phishing attacks. Fake websites impersonating PayPal are a hugely popular tactic utilized by cybercriminals. For example, the attackers send a spam email alerting the recipients to unusual activity on their (purported) account, urging them to quickly secure it. The email includes an embedded link that redirects the potential victim to a copycat PayPal website.

 

Read more: https://www.welivesecurity.com/2020/12/14/how-scammers-target-paypal-users-stay-safe/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

 

Microsoft Patch Tuesday fixes 58 flaws

The last Patch Tuesday of the year brings another fresh batch of fixes for Microsoft products and while the number may be lower the patches are no less important.

 

Amer Owaida

In the last Patch Tuesday of the year Microsoft has rolled out fixes to no fewer than 58 vulnerabilities across more than ten products including Windows and other Microsoft software. 

Nine flaws have received the highest severity rating of “critical”, while 46 received a rating of “important” and three were rated as “moderate”. It is important to note that none of the bugs that were a part of the patch roll out were listed as publicly known or have been under active exploitation at the time of the release. 

Per this summary by the SANS Technology Institute, 22 remote-code execution holes have been plugged as part of this month’s bundle of security patches. This includes two critical vulnerabilities in Microsoft SharePoint,  CVE-2020-17118 and CVE-2020-17121, where exploitation is seen as more likely by the Redmond tech giant. 

While Microsoft didn’t disclose many details about the first vulnerability, they went on to describe a possible attack vector for the second one: “In a network-based attack an attacker can gain access to create a site and could execute code remotely within the kernel. The user would need to have privileges.” 

Another RCE vulnerability that merits mentioning resides in Microsoft’s Hyper-V which is used to create virtual machine environments. Tracked as CVE-2020-17095 and holding a score of 8.5 out of 10 on the CVSS scale, the security loophole could be used by a threat actor to compromise Hyper-V virtual machines. “An attacker could run a specially crafted application on a Hyper-V guest that could cause the Hyper-V host operating system to execute arbitrary code when it fails to properly validate vSMB packet data,” said Microsoft. 

Security updates were released for a wide range of products, including Windows, multiple versions of the Edge browser, Microsoft Office, Visual Studio, as well as other products and services in Microsoft’s portfolio. Compared to the usual number of patches, this month’s bundle is on the lower end of the spectrum; for example last month’s Patch Tuesday roll out fixed a whooping 112 vulnerabilities. 

Both regular users and system administrators would be well advised to apply the patches as soon as practicable. 

 

 

The Internal Revenue Service expands identity protection to all tax‑payers

U.S. tax-payers will be able to enroll in the Identity Protection PIN program that was previously available only to certain users starting mid-January.

 Amer Owaida

In an effort to battle various flavors of tax fraud and tax-related identity theft, the U.S. Internal Revenue Service (IRS) announced that, as of January 2021, it will be expanding its Identity Protection PIN Opt-In Program to all taxpayers , assuming they can properly  verify their identities. 

Previously, the Identity Protection PINs (IP PIN) were issued to eligible taxpayers who had experienced tax refund fraud or had been proven victims of identity theft. The IP PIN is a six-digit code issued by the IRS that prevents someone else beyond the holder to file a tax return in their stead using their social security number. The IRS uses the IP PIN to verify the taxpayer’s identity when accepting their paper or electronic tax return. The PIN itself is always valid only for the calendar year in which it was issued, with the taxpayer having to get a new IP PIN each January. 

“The fastest way to get an Identity Protection PIN is to use our online tool but remember you must pass a rigorous authentication process. We must know that the person asking for the IP PIN is the legitimate taxpayer,” explained IRS Commissioner Chuck Rettig in a press statement announcing the program. 

Using the Opt-In Program an eligible person will be able to apply for an IP PIN by using the IRS’s IP PIN tool. They will be required to pass through IRS’s Secure Access authentication process to verify their identity. The whole process which takes approximately 15 minutes, will require that the taxpayer provides a slew of private information including their email address, social security number, tax filing status and mailing address, mobile phone number registered to their name, and a financial account number linked to their name such as a credit card or mortgage. 

Tax season is an already stressful time for most people. This  added extra layer of protection can be seen as a welcome addition, especially since tax identity fraud has proven to be a persisting problem. If you’d like to learn more about the measures you can take to avoid various forms of banking fraud and identity theft you can also refer to the tips on fraud prevention shared by ESET Chief Security Evangelist Tony Anscombe 

 

ESET behaalt hoofdprijs in SE LMab’s Enterprise Endpoint Protection awards

ESET, een wereldleider in cybersecurity, behaalde  de AAA-prijs, de hoogst mogelijke, voor zijn ESET Endpoint Security solution -oplossing in SE Labs’ Q3 Enterprise Endpoint Protection awards. Dit jaar is het  de tweede keer dat ESET wordt beloond met de hoogste onderscheiding van SE Labs. In het eerste kwartaal van 2020 kreeg ESET dezelfde beoordeling.

SE Labs is een onafhankelijk testbedrijf dat tot doel heeft de beveiliging van informatietechnologie te verbeteren door de evaluatie van producten en diensten die ontworpen zijn om aanvallen te detecteren, tegen indringers te beschermen of beide. Tussen juli en september 2020 testte het lab negen beveiligingsoplossingen voor endpoints om te evalueren hoe effectief die producten zijn in het detecteren en beschermen tegen realtime bedreigingen. ESET Endpoint Security behaalde een totale nauwkeurigheidsclassificatie van 1.135, de op een na hoogste score van alle geteste beveiligingsoplossingen.

ESET Endpoint Security, combineert robuuste antivirus- en netwerkbeveiligingssoftware om bedrijven te beschermen. Tijdens het testproces werd het blootgesteld aan een mix van doelgerichte aanvallen, real-world openbare e-mails en webgebaseerde bedreigingen. De resultaten tonen aan dat de oplossing effectief is in het blokkeren van kwaadaardige URL's, het behandelen van exploits en het correct classificeren van legitieme applicaties en websites.

Jiri Kropáč, hoofd van Threat Detection Labs bij ESET, verklaart: “ESET Endpoint Security biedt klanten het best mogelijke beschermingsniveau. Het ontvangen van deze AAA-rating van SE Labs is daar een bewijs van. We verbeteren voortdurend onze technologie en passen die aan om een evenwicht te bieden tussen geavanceerde detectie, preventie en optimale prestaties. In het rapport komt dit tot uiting in de erkenning van het vermogen van de oplossing om kwaadaardige URL's te blokkeren en applicaties te classificeren.”

 

In 2021 zullen ransomware en bestandsloze malware een grotere bedreiging vormen, aldus ESET

 Na een jaar waarin de COVID-19-pandemie onze manier van leven, werken en socialiseren drastisch heeft veranderd, zullen we in 2021 wellicht een verhoogde dreiging zien in ransomware en bestandsloze malware, aldus het laatste trendrapport van ESET. Cybersecurity Trends 2021: Staying secure in uncertain times onderzoekt voorspellingen van experts op het gebied van cyberbeveiliging en onthult de belangrijkste uitdagingen die naar verwachting gevolgen zullen hebben voor consumenten en bedrijven tijdens het komende jaar.

 Trend # 1: Het werk in de toekomst - omarm een ​​nieuwe realiteit

De komst van de COVID-19-pandemie luidde de massale implementatie van telewerken in, waarbij meer dan ooit tevoren op technologie werd vertrouwd. De verhuizing van het kantoor heeft voordelen opgeleverd voor werknemers, maar heeft ook de bedrijfsnetwerken kwetsbaar gemaakt voor aanvallen.

 Jake Moore, beveiligingsspecialist bij ESET, legt uit: “We hebben allemaal geleerd dat telewerken voordelen kan opleveren voor organisaties. Ik denk echter niet dat we vijf dagen per week zullen blijven telewerken. Steeds meer medewerkers zullen op natuurlijke wijze en moeiteloos migreren naar wat voor hen en hun bedrijf het best uitkomt. Naarmate ons beroeps- en privéleven steeds meer digitaal worden, zal cyberbeveiliging de hoeksteen van zakelijke beveiliging blijven. Cyberaanvallen zijn een constante bedreiging voor organisaties. Deze moeten dus veerkrachtige IT-teams en -systemen bouwen om de reputatieschade en financiële gevolgen van dergelijke aanvallen te vermijden."

 Trend # 2: Ransomware met een twist - betaal of uw gegevens worden gelekt

Nu ransomware-aanvallers steeds meer effectieve manieren zoeken om van slachtoffers losgeld te eisen en hen tot betalen te dwingen, wordt de inzet voor slachtoffers steeds groter. Exfiltratie en afpersing zijn geen nieuwe technieken, maar het zijn zeker groeiende trends.

Tony Anscombe, Chief Security Evangelist bij ESET, merkt op: “Organisaties worden slimmer, zetten technologieën in die aanvallen afweren en creëren veerkrachtige back-up- en herstelprocessen. Slechte actoren hebben dus een 'Plan B' nodig, om geld te verdienen met hun inspanningen, hun veerkracht te versterken bij aanvallen en niet meer afhankelijk te zijn van slechts één soort bedreiging.

“Gedwarsboomde aanvallen of specifieke back-up- en herstelprocessen zijn misschien niet langer voldoende om een ​​toegewijde cybercrimineel die losgeld eist, af te weren. Het succes voor het genereren van inkomsten door een gewijzigde techniek biedt cybercriminelen een grotere kans op financiële winst. Dit is een trend dat we in 2021 meer zullen zien. Daarvan ben ik helaas zeker! "

Trend # 3: Meer dan preventie - gelijke tred houden met de evolutie van cyberdreigingen

Tijdens de afgelopen jaren hebben groepen cybercriminelen steeds meer complexe technieken gebruikt om zeer gerichte aanvallen uit te voeren. Enige tijd geleden begon de beveiligingsgemeenschap te praten over aanvallen met "fileless malware", die zich installeert op tools en processen van het besturingssysteem om die voor kwaadaardige doeleinden te gebruiken. Onlangs hebben deze technieken aan populariteit gewonnen nadat ze in verschillende cyberspionagecampagnes en door verschillende aanvallers gebruikt werden, voornamelijk om spraakmakende doelen zoals overheidsorganisaties te bereiken.

Camilo Gutiérrez Amaya, Senior Security Researcher bij ESET, licht toe: “Bestandsloze bedreigingen zijn snel geëvolueerd en de verwachting is dat deze methodes in 2021 gebruikt worden bij steeds meer complexe en grootschalige aanvallen. Voor beveiligingsteams benadrukt dit nog eens de noodzaak om processen te ontwikkelen met behulp van tools en technologieën zodat ze niet alleen voorkomen dat kwaadaardige code de computersystemen in gevaar brengt, maar dat ze over detectie- en reactie mogelijkheden beschikken nog vóór deze aanvallen uitgevoerd worden. "

Trend # 4: Bad vibes - beveiligingsfouten in slimme seksspeeltjes

Nu er voortdurend nieuw slim speelgoed voor volwassenen op de markt komt, heeft onderzoek aangetoond dat we nog lang niet in staat zijn om slimme seksspeeltjes te gebruiken zonder het risico te lopen op een cyberaanval. Tegenwoordig zijn deze bevindingen relevanter dan ooit, aangezien we een snelle groei in de verkoop van deze seksspeeltjes zien als gevolg van de wereldwijde gezondheidscrisis en sociale afstandsmaatregelen wegens COVID-19.

Cecilia Pastorino, beveiligingsonderzoekerster bij ESET, voegt hieraan toe: “De nieuwste ontwikkelingen in de slimme seksspeeltjes sector omvatten modellen met VR (virtual reality) en door AI (artificiële intelligentie) aangedreven seksrobots met camera's, microfoons en spraakanalyse gebaseerd op deze technologie. Zoals al keer op keer is bewezen, zullen veilige ontwikkeling en bewustmaking van het publiek essentieel zijn om de bescherming van gevoelige gegevens te waarborgen. Ondertussen zullen we gebruikers in staat stellen slimme consumenten te worden om betere praktijken van leveranciers te eisen en zo in de komende jaren controle te behouden over hun digitale privacy.”

Voor meer informatie over de trends die de wereld in 2021 zullen beïnvloeden, gaat u naar de link  ESET’s Cybersecurity Trends 2021 , daar u leest er het volledige rapport.

 

Turla Crutch attacks Ministry of Foreign Affairs in an EU country, misuses Dropbox in cyber-espionage, ESET discovers

ESET researchers discovered a previously undocumented backdoor and document stealer used for cyber-espionage. ESET has been able to attribute the program, dubbed Crutch by its developers, to the infamous Turla APT group. It was in use from 2015 until at least early 2020. ESET has seen Crutch on the network of a Ministry of Foreign Affairs in a country of the European Union, suggesting that this malware family is only used against very specific targets. These tools were designed to exfiltrate sensitive documents and other files to Dropbox accounts controlled by Turla operators.

“The main malicious activity is exfiltration of documents and other sensitive files. The sophistication of the attacks and technical details of the discovery further strengthen the perception that the Turla group has considerable resources to operate such a large and diverse arsenal,” says Matthieu Faou, an ESET researcher who investigates the Turla APT group. “Furthermore, Crutch is able to bypass some security layers by abusing legitimate infrastructure – here, Dropbox – in order to blend into normal network traffic while exfiltrating stolen documents and receiving commands from its operators.”

 In order to have a rough idea of the working hours of the operators, ESET exported those hours at which they uploaded ZIP files to the Dropbox accounts they operate. For this, researchers collected 506 different timestamps ranging from October 2018 to July 2019, as this should show when the operators were working and not when the victims’ machines were active. The operators are likely to operate in the UTC+3 time zone. 

ESET Research was able to identify strong links between a Crutch dropper from 2016 and Gazer. The latter, also known as WhiteBear, is a second-stage backdoor used by Turla in 2016-2017.

Turla has been an active cyber-espionage group for more than 10 years. It has compromised many governments, especially diplomatic entities, all around the world, operating a large malware arsenal that ESET has documented over the last few years.

For more technical details on how Turla Crutch attacks and collects sensitive information, read the blog post “Turla Crutch: Keeping the ‘back door’ open” on WeLiveSecurity.com. Make sure to follow ESET Research on Twitter for the latest news from ESET Research.

 

 

Mobile payment apps: How to stay safe when paying with your phone?

Are mobile payements and digital wallets safe? Are the apps safer than credit cards? What are the risks? Here is what to know.

 By Amer Owaida

While cash transactions aren’t going anywhere anytime soon, the convenience of electronic payment solutions has been steadily growing in popularity over the years. According to a recent survey by the US Federal Reserve, cash payments accounted for just 26% of all payments. Meanwhile, credit and debit cards and electronic payment methods were used for 65% of all payments.

The COVID-19 pandemic has also triggered changes in how people shop, with e-commerce experiencing a surge in demand due to either governments limiting interaction between people to curb the spread of the disease or by people isolating themselves and doing most of their shopping online.

As convenience is king, the surge of both cashless payment methods and online shopping, as well as the use of smartphones for shopping, has led to the increased adoption of mobile payment methods. Apple Pay, Google Pay, PayPal, Venmo, and WeChat Pay prove to be among some of the most popular mobile payment apps. However, they may come with their own sets of risks, and threat actors like to utilize them in their scams as well.

Risks

Since we’re mainly focusing on mobile payment apps, it stands to reason that one of the greatest risks is losing your smartphone, which houses most of your sensitive information and your payment data if you use payment apps. If you haven’t secured it properly, criminals could rack up charges on your cards or use your payment apps to go on a shopping spree. Besides ending up with either an empty bank account or overcharging your balance, the incident may damage your credit rating with the bank, which may make taking out a loan or mortgage difficult in the future.

Smartphones, like other computing devices, can also be infested by malware. Depending on the type, it can carry out various kinds of malicious activities; keyloggers can record and transmit every finger tap on your smartphone to the cybercriminals allowing them to gain hold of your passwords or account credentials you use to access your payment apps. Alternatively, they can deploy fake apps that masquerade as something else and attack your payment apps. Just one example – ESET researchers discovered a trojan masquerading as a battery optimization tool, which targeted users of the official PayPal app and attempted to transfer €1,000 (roughly US$1,200)  to the attacker’s accounts.

Full article on:  https://www.welivesecurity.com/2020/11/30/mobile-payment-apps-how-stay-safe-paying-phone/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

 

SIM swap scam: What it is and how to protect yourself

Here’s what to know about attacks where a fraudster has your number, literally and otherwise

By Amer Owaida

SIM swap scams have been a growing problem, with fraudsters targeting people from various walks of life, including tech leaders, and causing untold damage to many victims. Here’s why you should be on the lookout for attacks where someone can upend your life by first hijacking your mobile phone number.

How SIM swap fraud works

Also known as SIM hijacking and SIM splitting, SIM swapping can be described as a form of account takeover fraud. To make the attack work, the cybercriminal will first gather information on their mark, often through trawling the web and searching for every tidbit of data the potential victim may have (over)shared. The victim’s personal information can also be gleaned from known data breaches or leaks, or via social engineering techniques, such as phishing and vishing, where the fraudster wheedles the information directly out of the target.

With enough information in their hands, the fraudster will contact the target’s mobile phone provider and trick its customer service representative into porting their telephone number to a SIM card owned by the criminal. More often than not, the scammer’s story will be something along the lines that the switch is needed due to the phone being stolen or lost.

Once the process is done, the victim will lose access to the cellular network and phone number, while the hacker will now receive the victim’s calls and text messages.

What makes the scams so dangerous?

Commonly, the point of this type of attack is to gain access to one, or more, of the target’s online accounts. The cybercriminal behind the attack is also banking on the assumption that the victim uses phone calls and text messages as a form of two-factor authentication (2FA).

If that’s the case, the fraudsters can wreak unseen havoc on their victim’s digital and personal lives, including cleaning out their bank accounts and maxing out their credit cards, damaging the victim’s standing and credit with banks in the process.

The hackers could also access their victim’s social media accounts and download sensitive messages or private conversations that could be damaging in the long run. Or even post insulting messages and statuses that could cause major reputational damage to their victims.

How to protect yourself

Start by limiting the personal information you share online, avoid posting your full name, address, phone number. Another thing you should avoid is oversharing details from your personal life: chances are that you included some aspects of it in your security questions that are used to verify your identity.

When it comes to using 2FA, you might want to reconsider SMS text messages and phone calls being your sole form of additional authentication. Instead, opt for using other forms of two-factor authentication such as an authentication app or a hardware authentication device.

Phishing emails are also a popular way for cybercriminals to obtain sensitive information. They do so by impersonating a trusted institution, relying on the assumption that you won’t hesitate to answer their questions or scrutinize the emails too closely. While many of the phishing emails will be caught by your spam filters, you should also educate yourself on how to spot a phish.

Telecom companies are also working towards protecting their clients. Verizon, for example, launched a feature called ‘Number Lock’ that should protect its customers against potential SIM-swapping attacks, while AT&T, T‑Mobile, and Sprint offer the option of additional authentication in the form of PIN codes, passcodes, and additional security questions. You should check with your provider to learn how to enable such features, should they offer them.

In summary

While SIM swap scams are ever-present and a threat to everybody, there are ways to protect yourself. Taking one or more of the several steps outlined in the article can help you lower your chances of falling victim to such an attack. Additionally, you can contact your bank and telecommunications providers to inquire about any supplementary security services you can enable to lock down your accounts.

 

 

Waar moet u op letten op deze Black Friday en Cyber ​​Monday?

Vijf top tips van ESET!

 In een jaar als geen ander zullen de Black Friday- en Cyber ​​Monday-deals van 2020 vast waanzinniger zijn dan ooit. Nu veel sectoren, en meer bepaald de detailhandel, verlamd zijn door pandemische lockdowns en afstandsbeperkingen, biedt het komende weekend een kans om wat verliezen goed te maken. De pandemie heeft het al groeiende online winkelen nog versneld, waarbij de e-commerceverkoop tegen het einde van 2020 naar verwachting 4,2 miljard dollar zal bedragen (Statista).

Hoewel veel fysieke winkels gesloten zullen zijn of de gebruikelijke drukte tot een minimum zal beperkt worden, zal er zoals altijd online veel aanbiedingen en gouden zaakjes zijn. Dit is dus de perfecte voedingsbodem voor cyberaanvallen en oplichting, van phishing-e-mails tot verdachte advertenties op social media. Voor velen zijn mobiele toestellen de belangrijkste manier van online winkelen geworden, het is dus van cruciaal belang dat consumenten op alle hun technologieën beschermd zijn.

Hier zijn de vijf tips van ESET om deze Black Friday en Cyber ​​Monday veilig te blijven: 

1.      Blijf bij wat u weet – Ziet u een aanbieding in een promotionele e-mail of een online advertentie die te mooi lijkt om waar te zijn, dan is dat waarschijnlijk ook zo! Onmiddellijk een item vinden van een onbekende leverancier met de beste prijs kan verdacht zijn. Bent u niet zeker van een website, klik dan niet op de link maar ga naar de website van de organisatie die de afzender beweert te vertegenwoordigen om te weten of het aanbod legitiem is. 

2.      Look-a likes en nepwebsites - Zoek het hangslot en, op een desktop, de https: // aan het begin van het websiteadres. Deze geven aan dat de communicatie tussen u en de site gecodeerd is en dat alle gegevens die u verzendt, niet kunnen gezien worden door iemand die het verkeer onderschept. 

3.      Onbetrouwbare informatie - Verdachte teksten met kwaadaardige links, ingewikkelde phishingmails en frauduleuze bankmeldingen zijn allemaal technieken die door online oplichters gebruikt worden. Pas ook op voor dreigende berichten die u willen aan zetten om gevoelige informatie, zoals bankgegevens, door te geven. 

4.      Wachtwoorden en pincodes - Het kan lijken als een veelvuldige herhaling, maar sterke, unieke wachtwoorden vormen de basis voor een positieve online winkelervaring. Maak geen accounts aan bij winkeliers, tenzij absoluut noodzakelijk, en zorg ervoor dat u een veilige betaalmethode gebruikt, zoals Apple Pay, Android Pay of PayPal om uw hoofdbankrekening hieraan niet te koppelen. U kunt nog een stap verder gaan en, waar mogelijk, twee-factor-authenticatie inschakelen zodat u een extra beveiligingslaag aan uw transacties toevoegt. 

5.      Software veiligheid voorop- Houd uw toestellen en besturingssystemen up-to-date en zorg dat beveiligingssoftware geïnstalleerd en volledig operationeel is op alle toestellen. Software-updates verhelpen bekende kwetsbaarheden, zorg er dus voor dat u ze installeert wanneer daarom gevraagd wordt. Beveiligingssoftware, zoals ESET Internet Security of ESET Mobile Security, bevatten extra functies – zoals Banking & Payment Protection - om u te beschermen tijdens het online winkelen. Zo wordt de stress van het winkelplezier weggenomen.

 

Up to 350,000 Spotify accounts hacked in credential stuffing attacks

This won't be music to your ears – researchers spot an unsecured database replete with records used for an account hijacking spree

Amer Owaida

Researchers have found an unsecured internet-facing database containing over 380 million individual records, including login credentials that were leveraged for breaking into 300,000 to 350,000 Spotify accounts. The exposed records included a variety of sensitive information such as people’s usernames and passwords, email addresses, and countries of residence.

The treasure trove of data was stored on an unsecured Elasticsearch server that was uncovered by vpnMentor. Both the origin and owners of the database remain unknown. However, the researchers were able to validate the veracity of the data by contacting Spotify, which confirmed that the information had been used to defraud both the company and its users.

For context, credential stuffing is an automated account takeover attack during which cybercriminals leverage bots to hammer sites with login attempts using stolen access credentials from data breaches that occurred at other sites until they find the right combination of “old” access credentials and a new website and gain access. Usually applying some form of multi-factor authentication mitigates the chances of accounts being compromised, but Spotify doesn’t support the option.

The team contacted the Swedish audio streaming giant on July 9^th and received an almost immediate response. Within a period of eleven days between July 10^th and 21^st, Spotify addressed the issue and deployed a rolling reset of passwords for all users affected by the issue.

“In this case, the incident didn’t originate from Spotify. The exposed database belonged to a 3rd party that was using it to store Spotify login credentials. These credentials were most likely obtained illegally or potentially leaked from other sources that were repurposed for credential stuffing attacks against Spotify,” the researchers explained.

The continuing success of credential stuffing attacks can, in large part, be attributed to users having poor password hygiene. People often commit many of the common cardinal sins of password creation and use, such as password recycling or even sharing their access credentials with others.

 

To illustrate the questionable choices people make when it comes to their passwords,  you need not look any further than the list of the most common passwords of 2020, which is topped by veritable gems like “123456” and “123456789”.

 

To protect the sensitive data stored in your accounts, you should start by opting for a strong and unique password, or even better passphrase. For convenience’s sake, you can also use a password manager that will do all the heavy lifting for you, including generating and storing all your tough-to-crack passcodes, so you’ll only have to remember one master password. For an extra layer of security, also activate multi-factor authentication where possible.