“Passkeys zijn zeker geen wondermiddel in de strijd tegen cybercriminelen”, dat zegt Jelle Wieringa, Security Awareness Advocate van KnowBe4. Steeds meer grote techbedrijven introduceren met de passkeys-functie een nieuwe manier waarmee mensen kunnen inloggen. In plaats van dat mensen een wachtwoord invoeren, moeten ze een handeling verrichten met een apparaat zoals hun smartphone. Denk aan het klikken op een login-bevestigingsbericht of een veegpatroon of het checken van een vingerafdruk. Mensen kunnen zich met deze passkeys-technologie beter beschermen tegen phishing-e-mails. Maar het is niet zo dat passkeys volledig bestand zijn tegen phishing, zoals Apple beweert. Daar is een combinatie aan veiligheidsmaatregelen voor nodig.
Phishing
Cybercriminelen kunnen phishing op veel manieren uitvoeren. Ze laten hun slachtoffers bijvoorbeeld op linkjes klikken die doorverwijzen naar de website van de zogenaamde afzender. Wanneer mensen hier hun mailadres en wachtwoord invoeren, kunnen cybercriminelen deze stelen en in hun voordeel gebruiken. Omdat mensen met passkeys geen wachtwoorden meer hoeven te gebruiken, maar in plaats daarvan een handeling uitvoeren met hun eigen apparaat, kunnen ze voorkomen dat cybercriminelen succesvol zijn en hun gegevens misbruiken voor het inloggen op hun online accounts.
BEC-aanvallen
Maar dat geldt niet voor alle phishing-e-mails. Neem bijvoorbeeld Business Email Compromise (BEC)-aanvallen. Dit is een vorm van social engineering waarbij een cybercrimineel zich in een e-mail voordoet als de CEO of een HR-manager van een bedrijf. In die e-mail vraagt hij een medewerker van dat bedrijf om ‘zo snel mogelijk’ bepaalde data te delen of een geldbedrag op een rekeningnummer te storten. Cybercriminelen besteden veel tijd en aandacht aan deze e-mails. Door zaken zoals het e-mailadres, afzender, onderwerp en tone of voice zo realistisch mogelijk te maken. Tegen dit soort social engineering-aanvallen gaan passkeys niet werken.
Geen cure-all-fix
Als mensen zich niet realiseren wanneer ze gemanipuleerd worden en eigenhandig data delen met een cybercrimineel, gaat technologie nooit het verschil maken. Ook passkeys niet. Ze zijn dus geen cure-all-fix en zeker niet anti-phishing. Mensen moeten niet alleen vertrouwen op technologie, maar ook kennis hebben over en zich bewust zijn van de tactieken van cybercriminelen om veilig gedrag te kunnen vertonen. Alleen zo verkleinen we de kans dat cybercriminelen hun slag kunnen slaan.
