Beschermen tegen phishing, jezelf en je collega’s

Phishing

Phishing is een cyber criminele aanval waarmee wordt gepoogd jouw geld of identiteit te stelen, of je medewerkers te achterhalen. Dit door je over te halen zakelijke en of persoonlijke gegevens, zoals creditcardnummers, bankgegevens of wachtwoorden, te onthullen op websites die zich voordoen als legitieme sites. Cybercriminelen doen zich doorgaans voor als betrouwbare bedrijven, vrienden of kennissen in een vals bericht met een koppeling naar een phishing-website.

Tegenwoordig vinden hackers met grote regelmaat een nóg slimmere manier om je te misleiden. We staan zeker niet machteloos in de strijd tegen deze vorm van cybercrime. Als je maar zorgt voor een combinatie van technische maatregelen, bewustwording én de juiste cultuur.

Hoe kun je phishing berichten herkennen

Phishing is een populaire vorm van cybercriminaliteit, omdat het zo effectief is. Het lukt cybercriminelen heel vaak om mensen via e-mails, sms-berichten of persoonlijke berichten op sociale media te laten reageren met hun persoonlijke gegevens. De beste verdediging is bewustzijn en weten waar je op moet letten. Zodat jij je kunt beschermen tegen Phishing

Hier zijn enkele manieren waarop je een phishing-e-mail kunt herkennen:

  • Urgente oproep of bedreigingen: wees voorzichtig met e-mails waarin je wordt gevraagd onmiddellijk ergens op te klikken, te bellen of een bijlage te openen

  • Ze zullen vaak beweren dat je nu moet handelen om een beloning te claimen of een boete te voorkomen

  • Het creeren van een vals gevoel van urgentie is een veelgebruikte truc bij phishing aanvallen en scams

  • Ze doen dit op een manier dat je er niet te veel over nadenkt of contact opneemt met een vertrouwde adviseur die u mogelijk waarschuwt

Tip:

Wanneer je een bericht ziet waarin je wordt opgeroepen om direct actie te ondernemen, kun je gerust de tijd nemen en het bericht nauwkeurig bekijken. Weet je zeker dat het echt is? Doe rustig aan en handel veilig.

  • Eerste keer of onregelmatige afzenders. Hoewel het niet ongebruikelijk is om voor de eerste keer een e-mailbericht van iemand te ontvangen, vooral als deze zich buiten je organisatie bevindt, kan dit een teken zijn van phishing. Wanneer je een e-mailbericht ontvangt van iemand die je niet herkent of die door de mail client wordt identificeert als nieuwe afzender, neem dan even de tijd om deze extra zorgvuldig te bekijken voordat je verdergaat

  • Spelling en slechte grammatica. Professionele bedrijven of organisaties hebben meestal een redactie die ervoor zorgt dat klanten hoogwaardige, professionele inhoud te zien krijgen. Als een e-mailbericht duidelijke spellings- of grammaticafouten bevat, kan het een scam zijn. Deze fouten zijn soms het gevolg van een rare vertaling van een vreemde taal en soms zijn ze opzettelijk opgenomen om te proberen filters te omzeilen die deze aanvallen proberen te blokkeren

  • Algemene begroetingen. Een organisatie die je al langer kent en waarmee je samenwerkt, kent jouw naam. Tegenwoordig is het heel makkelijk om een e-mailbericht te personaliseren. Als het e-mailbericht begint met een algemeen ‘Beste meneer of mevrouw’, is dat een waarschuwing dat het niet echt uw bank of winkelsite is

  • Verdachte koppelingen of onverwachte bijlagen. Als je vermoedt dat een e-mailbericht een scam is, open dan geen enkele koppeling of bijlage die je ziet. Beweeg in plaats daarvan de muisaanwijzer over de koppeling (maar klik er niet op) om te zien of het adres overeenkomt met de koppeling die in het bericht is getypt

Tip:

Druk in Android lang op de koppeling om een eigenschappenpagina te krijgen die de ware bestemming van de koppeling laat zien. Doe in iOS wat Apple een ‘Light, long-press‘ noemt.

  • Niet-overeenkomende e-maildomeinen. Als in de e-mail wordt gezegd dat deze afkomstig is van een betrouwbaar bedrijf, zoals Microsoft of je bank, maar het e-mailbericht wordt verzonden vanaf een ander e-maildomein, zoals Yahoo.com of microsoftsupport.ru, gaat het waarschijnlijk om een scam. Let ook op zeer subtiele spelfouten van de legitieme domeinnaam. Zoals micros0ft.com, waarbij de tweede “o” is vervangen door een 0, of rnicrosoft.com, waarin de “m” is vervangen door een “r” en een “n”. Dit zijn veelgebruikte trucs van scammers.

Cybercriminelen kunnen je ook op andere manieren overhalen om valse websites te bezoeken. Bijvoorbeeld met sms-berichten of telefoontjes. Geavanceerde cybercriminelen hebben hele callcenters opgezet die automatisch nummers bellen of sms’en sturen op zoek naar potentiele slachtoffers. Deze berichten bevatten vaak instructies om een pincode in te voeren of een ander soort persoonlijke informatie.

Als je toch een phishing bericht ontvangt. Klik nooit op koppelingen of bijlagen in verdachte e-mailberichten. Mocht je een verdacht bericht van een organisatie ontvangen en je zorgen maken of het bericht legitiem is, ga dan naar een webbrowser en open een nieuw tabblad. Ga vervolgens naar de website van de organisatie vanuit de eigen opgeslagen favoriet of via een zoekopdracht op het web. Je kunt de organisatie ook bellen met een telefoonnummer dat op de achterzijde van een lidmaatschapskaart, factuur of overzicht staat, of via de officiële website van de organisatie.

Indien het verdachte bericht afkomstig lijkt te zijn van een persoon die je kent, neem dan op een andere manier contact op met die persoon. Doe dit bijvoorbeeld via een SMS-bericht of telefoongesprek om het te bevestigen.

Rapporteer het Phishing bericht

Wat te doen als je toch geklikt hebt?

Mocht je vermoeden dat je per ongeluk bent getrapt in een phishing-aanval, zijn er een paar dingen die je moet doen, om je verder te beschermen tegen deze Phishing aanval.

  1. Schrijf zoveel mogelijk details van de aanval op als je kunt herinneren, terwijl het nog vers in uw hoofd zit. Probeer in het bijzonder informatie te noteren zoals gebruikersnamen, accountnummers of wachtwoorden die u mogelijk heeft gedeeld.
  2. Verander onmiddellijk de wachtwoorden van die betrokken accounts, en overal waar je hetzelfde wachtwoord zou kunnen hebben gebruikt. Tijdens het wijzigen van wachtwoorden moet u unieke wachtwoorden maken voor elk account en zo Sterke wachtwoorden maken en gebruiken.
  3. Controleer of meervoudige verificatie (ook wel verificatie in twee stappen genoemd, multi-factor-authorisation (MFA)) is ingeschakeld voor elk account dat je kunt gebruiken.
  4. Heeft deze aanval gevolgen heeft voor werk- of schoolaccounts, moet je de IT-medewerkers op de hoogte stellen van de mogelijke aanval. Als je informatie over jouw creditcards of bankrekeningen heeft gedeeld, neemt dan zo snel mogelijk contact op met die bedrijven om hen op mogelijke fraude te wijzen.
  5. Indien je geld bent kwijtgeraakt of het slachtoffer bent geworden van identiteitsdiefstal, meld het dan bij de lokale autoriteiten. De details in stap 1 zullen erg nuttig zijn voor hen.

Structurele maatregelen voor bescherming tegen Phishing aanval

Zoals gezegd met phishing proberen internetcriminelen de gebruikersnamen en wachtwoorden van jou of je medewerkers te achterhalen. Waren voorheen de malafide mails van tien meter afstand te herkennen door de talloze taalfouten en de miserabele opmaak, tegenwoordig vinden hackers met grote regelmaat een nóg slimmere manier om je te misleiden. Maar we staan zeker niet machteloos in de strijd tegen deze vorm van cybercrime. Als je maar zorgt voor een combinatie van technische maatregelen, bewustwording én de juiste cultuur.

Neem technische maatregelen

Allereerst is het natuurlijk belangrijk de nodige technische maatregelen te treffen. Je medewerkers in laten loggen met een gebruikersnaam en wachtwoord alleen is niet meer voldoende, dat is wel gebleken. Zero Trust is het uitgangspunt waarbij alle apparaten, gebruikers en netwerken worden als onbetrouwbaar behandeld. Met een goede Zero Trust-strategie verleg je de focus van toegangscontrole van je netwerk naar slimme controles die kijken naar de hele context.

Maar er zijn ook andere maatregelen die je kunt nemen. In veel bedrijven worden inkomende mails gecontroleerd op links die naar malafide website verwijzen. Ook daar hebben hackers iets op gevonden: ze maken een mail met links die verwijzen naar keurige websites. Zijn de mails alle firewalls netjes doorgekomen? Dan veranderen ze dat wat achter de link zit van keurige website naar kwaadwillende rommel. Gelukkig is ook daar een oplossing voor. Zorg voor een technische oplossing waarbij de link in een mail pas – of nogmaals – wordt gecheckt op het moment dat de medewerker erop klikt.

Zorg voor bewustwording

Hoe belangrijk technische maatregelen ook zijn, het is misschien nog wel belangrijker dat je medewerkers zich bewust zijn van de gevaren. Dat kan natuurlijk door groepen medewerkers te trainen. Waar moet je op letten? Wat zijn de gevaren?

Maar misschien is het nog wel beter je medewerkers te laten ervaren hoe slinks internetcriminelen te werk gaan. Organiseer eens een phishing mailcampagne waarbij je al je medewerkers een mail stuurt die zogenaamd vanuit de HR-afdeling komt. Vertel je mensen bijvoorbeeld dat er een nieuw systeem is waar de salarisstroken zijn te vinden. Een onderwerp dat de meeste mensen aan zal spreken en vraag of iedereen vast wil proberen in te loggen. Wedden dat het overgrote deel van je mensen zonder enige twijfel klikt op de link?

Dit houdt in dat enerzijds je medewerkers scherper moeten zijn wanneer ze een mail met links ontvangen, maar het betekent ook iets voor de manier waarop je binnen je organisatie communiceert. Is er een verandering? Kondig dat dan aan zonder links mee te sturen, maar verwijs bijvoorbeeld naar een plek op het intranet.

Creëer de juiste cultuur

Waar gehakt wordt, vallen spaanders. Iedereen kan per ongeluk eens op een verkeerde link klikken of een mail naar de verkeerde persoon sturen (lang leve Autofill in Outlook). Een foutje dat grote gevolgen kan hebben. De meeste mensen houden zo’n fout het liefst onder de pet, maar daar is je organisatie niet bij gebaat. Zorg dat je een cultuur creëert waarin mensen durven zeggen: ik heb een fout gemaakt. Kun je me helpen dit op te lossen? Op die manier wordt de impact van zo’n fout veel kleiner en kunnen mensen bovendien van elkaar leren. Als je zorgt dat je mensen zich veilig genoeg voelen om hun fouten te delen, maak je ook je organisatie weer een stuk minder kwetsbaar voor cybercriminaliteit. Iets met win-win?

Beschermen tegen Phishing, interesse?

Wil je weten hoe je jouw organisatie het beste kunt beschermen tegen Phishing door hackers? Meer weten over een passende Zero-Trust-strategie, phishing mailcampagnes of andere bewustwordingstrajecten? Neem dan contact met ons op we praten je bij.

Tweet
Share
Share
0 Shares