Beschermen tegen phishing, jezelf en je collega’s
Phishing is een cyber criminele aanval waarmee wordt gepoogd jouw geld of identiteit te stelen, of je medewerkers te achterhalen. Dit door je over te halen zakelijke en of persoonlijke gegevens, zoals creditcardnummers, bankgegevens of wachtwoorden, te onthullen op websites die zich voordoen als legitieme sites. Cybercriminelen doen zich doorgaans voor als betrouwbare bedrijven, vrienden of kennissen in een vals bericht met een koppeling naar een phishing-website.
Tegenwoordig vinden hackers met grote regelmaat een nóg slimmere manier om je te misleiden. We staan zeker niet machteloos in de strijd tegen deze vorm van cybercrime. Als je maar zorgt voor een combinatie van technische maatregelen, bewustwording én de juiste cultuur.
Hoe kun je phishing berichten herkennen
Phishing is een populaire vorm van cybercriminaliteit, omdat het zo effectief is. Het lukt cybercriminelen heel vaak om mensen via e-mails, sms-berichten of persoonlijke berichten op sociale media te laten reageren met hun persoonlijke gegevens. De beste verdediging is bewustzijn en weten waar je op moet letten. Zodat jij je kunt beschermen tegen Phishing
Hier zijn enkele manieren waarop je een phishing-e-mail kunt herkennen:
Tip:
Wanneer je een bericht ziet waarin je wordt opgeroepen om direct actie te ondernemen, kun je gerust de tijd nemen en het bericht nauwkeurig bekijken. Weet je zeker dat het echt is? Doe rustig aan en handel veilig.
Tip:
Druk in Android lang op de koppeling om een eigenschappenpagina te krijgen die de ware bestemming van de koppeling laat zien. Doe in iOS wat Apple een ‘Light, long-press‘ noemt.
Cybercriminelen kunnen je ook op andere manieren overhalen om valse websites te bezoeken. Bijvoorbeeld met sms-berichten of telefoontjes. Geavanceerde cybercriminelen hebben hele callcenters opgezet die automatisch nummers bellen of sms’en sturen op zoek naar potentiele slachtoffers. Deze berichten bevatten vaak instructies om een pincode in te voeren of een ander soort persoonlijke informatie.
Als je toch een phishing bericht ontvangt. Klik nooit op koppelingen of bijlagen in verdachte e-mailberichten. Mocht je een verdacht bericht van een organisatie ontvangen en je zorgen maken of het bericht legitiem is, ga dan naar een webbrowser en open een nieuw tabblad. Ga vervolgens naar de website van de organisatie vanuit de eigen opgeslagen favoriet of via een zoekopdracht op het web. Je kunt de organisatie ook bellen met een telefoonnummer dat op de achterzijde van een lidmaatschapskaart, factuur of overzicht staat, of via de officiële website van de organisatie.
Indien het verdachte bericht afkomstig lijkt te zijn van een persoon die je kent, neem dan op een andere manier contact op met die persoon. Doe dit bijvoorbeeld via een SMS-bericht of telefoongesprek om het te bevestigen.
Rapporteer het Phishing bericht
Wat te doen als je toch geklikt hebt?
Mocht je vermoeden dat je per ongeluk bent getrapt in een phishing-aanval, zijn er een paar dingen die je moet doen, om je verder te beschermen tegen deze Phishing aanval.
- Schrijf zoveel mogelijk details van de aanval op als je kunt herinneren, terwijl het nog vers in uw hoofd zit. Probeer in het bijzonder informatie te noteren zoals gebruikersnamen, accountnummers of wachtwoorden die u mogelijk heeft gedeeld.
- Verander onmiddellijk de wachtwoorden van die betrokken accounts, en overal waar je hetzelfde wachtwoord zou kunnen hebben gebruikt. Tijdens het wijzigen van wachtwoorden moet u unieke wachtwoorden maken voor elk account en zo Sterke wachtwoorden maken en gebruiken.
- Controleer of meervoudige verificatie (ook wel verificatie in twee stappen genoemd, multi-factor-authorisation (MFA)) is ingeschakeld voor elk account dat je kunt gebruiken.
- Heeft deze aanval gevolgen heeft voor werk- of schoolaccounts, moet je de IT-medewerkers op de hoogte stellen van de mogelijke aanval. Als je informatie over jouw creditcards of bankrekeningen heeft gedeeld, neemt dan zo snel mogelijk contact op met die bedrijven om hen op mogelijke fraude te wijzen.
- Indien je geld bent kwijtgeraakt of het slachtoffer bent geworden van identiteitsdiefstal, meld het dan bij de lokale autoriteiten. De details in stap 1 zullen erg nuttig zijn voor hen.
Structurele maatregelen voor bescherming tegen Phishing aanval
Zoals gezegd met phishing proberen internetcriminelen de gebruikersnamen en wachtwoorden van jou of je medewerkers te achterhalen. Waren voorheen de malafide mails van tien meter afstand te herkennen door de talloze taalfouten en de miserabele opmaak, tegenwoordig vinden hackers met grote regelmaat een nóg slimmere manier om je te misleiden. Maar we staan zeker niet machteloos in de strijd tegen deze vorm van cybercrime. Als je maar zorgt voor een combinatie van technische maatregelen, bewustwording én de juiste cultuur.
Allereerst is het natuurlijk belangrijk de nodige technische maatregelen te treffen. Je medewerkers in laten loggen met een gebruikersnaam en wachtwoord alleen is niet meer voldoende, dat is wel gebleken. Zero Trust is het uitgangspunt waarbij alle apparaten, gebruikers en netwerken worden als onbetrouwbaar behandeld. Met een goede Zero Trust-strategie verleg je de focus van toegangscontrole van je netwerk naar slimme controles die kijken naar de hele context.
Maar er zijn ook andere maatregelen die je kunt nemen. In veel bedrijven worden inkomende mails gecontroleerd op links die naar malafide website verwijzen. Ook daar hebben hackers iets op gevonden: ze maken een mail met links die verwijzen naar keurige websites. Zijn de mails alle firewalls netjes doorgekomen? Dan veranderen ze dat wat achter de link zit van keurige website naar kwaadwillende rommel. Gelukkig is ook daar een oplossing voor. Zorg voor een technische oplossing waarbij de link in een mail pas – of nogmaals – wordt gecheckt op het moment dat de medewerker erop klikt.
Hoe belangrijk technische maatregelen ook zijn, het is misschien nog wel belangrijker dat je medewerkers zich bewust zijn van de gevaren. Dat kan natuurlijk door groepen medewerkers te trainen. Waar moet je op letten? Wat zijn de gevaren?
Maar misschien is het nog wel beter je medewerkers te laten ervaren hoe slinks internetcriminelen te werk gaan. Organiseer eens een phishing mailcampagne waarbij je al je medewerkers een mail stuurt die zogenaamd vanuit de HR-afdeling komt. Vertel je mensen bijvoorbeeld dat er een nieuw systeem is waar de salarisstroken zijn te vinden. Een onderwerp dat de meeste mensen aan zal spreken en vraag of iedereen vast wil proberen in te loggen. Wedden dat het overgrote deel van je mensen zonder enige twijfel klikt op de link?
Dit houdt in dat enerzijds je medewerkers scherper moeten zijn wanneer ze een mail met links ontvangen, maar het betekent ook iets voor de manier waarop je binnen je organisatie communiceert. Is er een verandering? Kondig dat dan aan zonder links mee te sturen, maar verwijs bijvoorbeeld naar een plek op het intranet.
Waar gehakt wordt, vallen spaanders. Iedereen kan per ongeluk eens op een verkeerde link klikken of een mail naar de verkeerde persoon sturen (lang leve Autofill in Outlook). Een foutje dat grote gevolgen kan hebben. De meeste mensen houden zo’n fout het liefst onder de pet, maar daar is je organisatie niet bij gebaat. Zorg dat je een cultuur creëert waarin mensen durven zeggen: ik heb een fout gemaakt. Kun je me helpen dit op te lossen? Op die manier wordt de impact van zo’n fout veel kleiner en kunnen mensen bovendien van elkaar leren. Als je zorgt dat je mensen zich veilig genoeg voelen om hun fouten te delen, maak je ook je organisatie weer een stuk minder kwetsbaar voor cybercriminaliteit. Iets met win-win?
Beschermen tegen Phishing, interesse?
Wil je weten hoe je jouw organisatie het beste kunt beschermen tegen Phishing door hackers? Meer weten over een passende Zero-Trust-strategie, phishing mailcampagnes of andere bewustwordingstrajecten? Neem dan contact met ons op we praten je bij.