Het IT-landschap verandert. De digitale innovaties volgen elkaar in een sneltreinvaart op. Helaas komen hierbij ook digitale bedreigingen om de hoek kijken. Een klassiek voorbeeld hiervan is een phishing mail. Waar phishing voorheen voornamelijk consumenten raakte, vinden deze frauduleuze berichten steeds makkelijker hun weg richting het bedrijfsleven. Op dit moment is phishing zelfs één van de grootste problemen in ons huidige IT-landschap. Onderzoek toont aan dat 91% van alle cyberaanvallen begint met een foute e-mail. Cybercriminelen passen steeds geavanceerdere technieken toe, waardoor frauduleuze berichten steeds lastiger van echt te onderscheiden zijn. En één van die technieken is dus phishing.
Welke vormen zijn er nu eigenlijk en hoe ga je als bedrijf om met dit fenomeen? Hoe kan iedere medewerker legitieme e-mailberichten onderscheiden van phishing? Wij vertellen je hier graag meer over. Ons doel van deze blog? Dat jij straks op een effectieve manier kan reageren op phishing.
Wat is phishing?
Van Dale omschrijft phishing als volgt:
phi·shing (het; o)
𝙾𝚙𝚕𝚒𝚌𝚑𝚝𝚎𝚛𝚒𝚓 𝚠𝚊𝚊𝚛𝚋𝚒𝚓 𝚒𝚎𝚖𝚊𝚗𝚍 𝚟𝚒𝚊 𝚎-𝚖𝚊𝚒𝚕 𝚘𝚏 𝚒𝚗𝚝𝚎𝚛𝚗𝚎𝚝 𝚐𝚎𝚑𝚎𝚒𝚖𝚎 𝚏𝚒𝚗𝚊𝚗𝚌𝚒ë𝚕𝚎 𝚐𝚎𝚐𝚎𝚟𝚎𝚗𝚜 𝚊𝚏𝚑𝚊𝚗𝚍𝚒𝚐 𝚠𝚘𝚛𝚍𝚎𝚗 𝚐𝚎𝚖𝚊𝚊𝚔𝚝.
In de praktijk is phishing een vorm van social engineering waarbij cybercriminelen zich voordoen als een legitieme partij. Hierdoor vertrouwt het potentiële slachtoffer deze partij. De cybercriminelen sturen berichten via e-mail, sms of social media met daarin een frauduleuze link. Het aanklikken van de link en invullen van de gevraagde bedrijfsgegevens kan zeer ernstige gevolgen hebben voor jouw bedrijf.
Met één muisklik worden je medewerkers bijvoorbeeld omgeleid naar een nagemaakte en bijna niet van echt te onderscheiden website van een officiële instantie (de afzender). Denk aan een bank, overheidsinstantie of een bekend bedrijf. Via de website vist de cybercrimineel naar gegevens met als doel grote geldbedragen buit te maken. Dit doen ze door de verkregen informatie te gebruiken om frauduleuze handelingen te verrichten en steeds vaker ook door de data door te verkopen.
Daarnaast zien we steeds vaker spear phishing. Dit is een nieuwere vorm van phishing, waarbij cybercriminelen zich richten tot één specifiek slachtoffer. Dit soort aanvallen zijn uiterst goed voorbereid waarbij het slachtoffer denkt dat de berichten afkomstig zijn van een collega of een relatie.
Phishing: bijna niet meer van echt te onderscheiden
Het is in het belang van jouw bedrijf om je medewerkers te trainen. Hiermee vergroot je hun bewustwording én krijgen ze een natuurlijke argwaan bij het zien van phishing berichten.
Ongemerkt vormt het beheersbaar houden van phishing voor veel bedrijven een uitdaging. Hierbij is het belangrijk om bewustwording onder de medewerkers te creëren door bijvoorbeeld scholing. De mens blijft namelijk de zwakste schakel als het op phishing aankomt. Omdat de berichten haast niet van echt te onderscheiden zijn, vertrouwt de gemiddelde medewerker het bericht. Deze kijkt dan dus niet verder en gaat in op het frauduleuze bericht. Je zult versteld zijn hoeveel medewerkers binnen jouw bedrijf niet weten dat zij geen wachtwoorden of overige (financiële) gegevens morgen verstrekken. Of dat ze bepaalde bestandsformaten zoals .exe, .scr en .pif nooit zomaar mogen openen.
Scholing
Met scholing leer je jouw medewerkers wat de basisprincipes van phishing zijn én wat cybercriminelen proberen te bereiken. Dit zorgt voor meer bewustwording bij je medewerkers, waardoor ze terughoudender worden bij het zien van dit soort berichten. Tegenwoordig zijn er voldoende kwalitatief goede oplossingen die je kan inzetten om phishing te voorkomen. Een goed voorbeeld is Phished.io. Dit is een speler die geautomatiseerde phishingsimulaties met interactieve opleidingen over cyber security en krachtige Next-Gen Threat intelligence combineert.
Ben je benieuwd hoe goed je collega’s een phishing mail kunnen ontdekken?
Vraag een demo aan, zodat we vrijblijvend een scan kunnen doen!
Zorg er natuurlijk ook voor dat medewerkers weten dat ze bij de ICT-afdeling of jouw ICT-partner terecht kunnen om verdachte e-mails te laten controleren. Zorg ervoor dat je dit blijft communiceren. Zo stimuleer je bewustwording, zodat jouw medewerkers zich tegen phishing mails kunnen wapenen.
Let dus op het volgende:
- Controleer altijd het domein, e-mailadres van de afzender, de aanhef en op spel- en taalfouten;
- Ga nooit in op verzoeken om geld over te maken of ‘’persoonlijke’’ zakelijke informatie te delen;
- Wees extra alert op berichten waarin direct om actie wordt gevraagd;
Controleer altijd de meegestuurde link in een bericht. Bij twijfel zeker niet op de link klikken!; - Open nooit zomaar de meegestuurde bijlage.
Technische maatregelen
Naast scholing is het belangrijk om te zorgen dat in de basis zo min mogelijk van dit soort mails bij je eindgebruikers terecht komen. Veel organisaties hebben al hun e-mail in Exchange Online. Hier kan voor lage aanvullende kosten de add-on Defender for Office 365 Plan 1 op aangezet worden. Hiermee laat je alle inkomende e-mail nog veel actiever scannen. Zo worden alle URL’s actief gecontroleerd met ATP Safe Links.
Maak phishing onderdeel van je cyber security plan
Het is belangrijk om als organisatie na te denken waar je grootste risico’s liggen als het gaat om cybercriminaliteit en welke maatregelen je daarvoor treft. En welke scenario’s er relevant zijn en hoe je daar met bepaalde procedures mee omgaat.
Wil jij ook een gedegen cyber security plan ontwikkelen of juist updaten, zodat je deze effectief in kan zetten? Neem dan contact met ons op om een persoonlijk plan te maken. Dan bepalen we samen op basis van de vastgestelde risico’s welke organisatorische en technische maatregelen er relevant zijn voor jouw organisatie.
Meer lezen over dit onderwerp? Lees dan ook onze blog over informatiebeveiliging waarin je 5 tips krijgt over hoe je zelf aan de slag gaat met informatiebeveiliging: 5 tips om zelf aan de slag te gaan