Phishing is een veelvoorkomende kwaal in het digitale tijdperk. We kennen ze allemaal wel, de mails, sms’jes of appberichten waarin cybercriminelen ons naar valse websites proberen te leiden zodat ze nietsvermoedende slachtoffers gevoelige informatie als wachtwoorden of creditcardgegevens kunnen ontfutselen.
Waar die berichten vroeger vaak makkelijker te herkennen waren, gebeurt phishing tegenwoordig op professionelere manieren. De amateuristisch en in slecht Engels of Nederlands opgestelde mails van weleer maken steeds vaker plaats voor levensecht ogende berichten met logo’s van erkende organisaties als banken, de Belastingdienst en creditcardmaatschappijen. De moderne phishingmail heeft vaak een alarmerend karakter (uw bankpas dreigt te verlopen, er staat een belangrijk bericht klaar in MijnOverheid dat urgente actie vereist) dat bedoeld is om mensen zo snel mogelijk op de bijgevoegde link te laten klikken.
Doet u dit? Dan is de kans groot dat u terecht komt op een imitatie van een legitieme website. Hier wordt gevraagd naar uw gebruikersnaam en wachtwoord. Als u hier gehoor aan geeft, vallen uw gegevens in handen van de cybercrimineel die achter de zwendel zit. Die gebruikt de persoonlijke info bijvoorbeeld om identiteiten te stelen, bankrekeningen leeg te halen of persoonlijke informatie van het slachtoffer te verkopen op de zwarte markt. Ook kunnen deze gegevens worden gebruikt om toegang te krijgen tot bedrijfsaccounts en bedrijfsgegevens.
Omdat phishing op verschillende manieren en steeds professioneler gebeurt, is het niet vanzelfsprekend dat elke medewerker altijd elke phishingpoging herkent. Maar gelukkig kunt u zich als organisatie wel wapenen tegen deze vorm van cybercriminaliteit. Op deze pagina leest u hoe.
Eenvoudig, gevaarlijk en effectief
In tegenstelling tot veel andere vormen van cybercriminaliteit, vereist phishing geen geavanceerde technische expertise. Het is feitelijk de eenvoudigste uit te voeren type cyberaanval. Tegelijkertijd is het ook de gevaarlijkste en effectiefste. Waarom? Omdat phishing zich niet richt op technische kwetsbaarheden van een apparaat of netwerk, maar op het krachtige, helaas niet altijd even rationele besturingssysteem dat de techniek aanstuurt: de menselijke geest.
De zwakste schakel binnen de IT-veiligheidsketen is meestal geen foutje in de computercode of netwerkbeveiliging, maar een medewerker die even niet oplet en argeloos een link aanklikt of een met malware geïnfecteerde bijlage opent.
Phishing kan diverse gedaanten aannemen. Een paar voorbeelden.
- Bulk phishing. Aanvallers sturen grote hoeveelheden e-mails naar zoveel mogelijk adressen in de hoop dat iemand toehapt. Deze vorm van phishing is niet gericht op specifieke personen of organisaties.
- Spear fishing werkt met inhoud die specifiek is toegesneden op een geselecteerd slachtoffer. Aanvallers speuren het internet af om namen, functies, e-mailadressen en contacten van specifieke personen binnen organisaties te vinden. Hierdoor wordt een phishingmail een stuk geloofwaardiger en gevaarlijker.
- In het geval van clone phishing maken cybercriminelen een kopie van eerder bezorgde en legitieme berichten. De koppelingen vervangen ze door malicieuze software, waarmee de boeven systemen van gebruikers kunnen overnemen als het slachtoffer op de koppeling klikt.
- Phishing blijft niet beperkt tot e-mail alleen. In het geval van phone phishing belt de cybercrimineel u op en doet hij zich bijvoorbeeld voor als iemand van de Belastingdienst, politie of Microsoft. De bedrieger probeert meestal op een opdringerige manier duidelijk te maken dat de gebelde een probleem heeft en echt zijn rekening- of inloggegevens moet delen zodat de zogenaamde barmhartige samaritaan aan de andere kant van de lijn het probleem kan verhelpen. ‘Smishing’ is een variant op phone phishing waarbij de cybercrimineel gebruikmaakt van sms of WhatsApp.
Wat kunnen organisaties doen tegen phishing? Een checklist
Maar wat kunnen organisaties nu eigenlijk doen tegen phishing? Hoe wapent u zichzelf tegen deze laagdrempelige, maar o zo verraderlijke vorm van cybercriminaliteit? Doe uw voordeel met de nu volgende tips.
Herken de signalen
Phishingaanvallen maken meestal gebruik van angst of verleiding om het beoordelingsvermogen van mensen te beïnvloeden en te vertroebelen. Voor de goede verstaander herbergen ze daarom vaak een aantal signalen.
- Bevat een mail of telefoontje een aanbod of bericht (een miljoenenschenking, een grote hoofdprijs in een loterij waar u niet aan deelneemt) dat te mooi is om waar te zijn? Dan is een gezonde dosis achterdocht op zijn plaats.
- U herkent de afzender, maar hebt nooit contact met die persoon.
- Het bericht jaagt schrik aan en bevat alarmerend taalgebruik om urgentie te suggereren. Denk bijvoorbeeld aan mails die u waarschuwen dat de afzender een account beëindigt of uw bankpas intrekt als u niet snel actie onderneemt door op de bijgevoegde link te klikken.
- Het bericht bevat ongewone bijlagen of verdachte koppelingen.
Meer leren over social engineering
Het helpt ook om u eens te verdiepen in de psychologische achtergronden van social engineering, aanvalstechnieken die misbruik maken van menselijke eigenschappen om vertrouwelijke informatie te verkrijgen of iemand te verleiden tot het verrichten van een bepaalde handeling. De door psycholoog Robert Cialdini opgestelde principes van beïnvloeding helpen u bijvoorbeeld om social engineering beter te doorgronden.
Blijf medewerkers trainen
Phishing en cybercriminaliteit zijn niet statisch: het zijn vormen van fraude die voortdurend evolueren, zeker nu ze een solide basis vormen voor tal van illegale verdienmodellen. Dit betekent dat u als organisatie medewerkers continu moet blijven trainen, en wel op een adaptieve manier die bij hun rol en digitaal bewustzijnsniveau past.
Toets niet alleen bekende zaken, maar vooral ook onderdelen en situaties waar een medewerker minder affiniteit mee heeft. Met phishingsimulaties (een gespecialiseerd cybersecurity bedrijf stelt in opdracht van u phishingmails op en stuurt die rond binnen uw organisatie om te zien hoe mensen hiermee omgaan) kunt u periodiek het veiligheidsbewustzijn van medewerkers en afdelingen meten.
Check URL’s
Vraagt de afzender van een mail u om gevoelige informatie? Controleer dan altijd het afzenderadres (wie heeft de mail gestuurd en klopt dat mailadres) en de URL van de pagina voordat u klikt. Waar leidt die naartoe? En begint de pagina met https? Een harde garantie voor veiligheid is dat niet, maar het is wel zo dat legitieme sites vanuit veiligheidsoogpunt standaard https in plaats van http gebruiken. Een andere goede check is door niet de URL aan te klikken, maar rechtstreeks naar de webpagina van het bedrijf te gaan. U kunt daar vaak ook contactgegevens vinden zodat u het verzoek op een andere manier kunt valideren.
Informatie opzoeken
Heeft u het vermoeden dat er een luchtje zit aan een bepaald bericht of een telefoonoproep? Speur dan eens het internet af op basis van de inhoud en/of verstrekte namen in het bericht. Er zijn verschillende sites te vinden die actuele lijsten met bekende en minder bekende scams en phishingmails publiceren. Denk bijvoorbeeld aan Fraudehelpdesk.nl.
Bouw aan bewustwording van bovenaf
Het bestrijden van phishing is geen exclusief feestje van en voor de IT-afdeling. Ook in de bestuurskamer moet de strijd tegen phishing voldoende aandacht krijgen. CEO’s, CFO’s en andere topmanagers zijn namelijk een aantrekkelijk doelwit voor cybercriminelen. Deze kopstukken binnen de organisatie hebben immers beslissingsbevoegdheid en meestal toegang tot gevoelige en bedrijfskritische informatie. Zorg dat ook leidinggevenden sterke bondgenoten worden in de strijd tegen phishingaanvallen.
Maak duidelijke procesafspraken
Zorg bovendien voor duidelijke procesafspraken. Ontvangt u een bericht dat enige twijfel oproept? Check dan altijd even bij een collega of doe navraag naar de oorsprong van de mail, sms of app via een andere bron dan langs het kanaal waarlangs contact is gezocht. Het afspreken van duidelijke handelwijzen door de hele organisatie helpt om de gevaren van phishing te ondervangen.
Hoe helpt een externe partij?
Het is voor veel organisaties best een uitdaging om een goede verdedigingslinie op te werpen tegen phishingaanvallen. Een gespecialiseerde externe partij kan in zo’n geval een helpende hand bieden. Dat doet ze bijvoorbeeld door het netverkeer consequent te monitoren. Klikt een medewerker op een link in een phishingmail? Dan ziet een sensor verkeer met een website die als onbetrouwbaar is aangemerkt (securityspecialisten hebben vaak uitgebreide databases met phishingwebsites), maakt het monitoringssysteem een ticket aan en kunt u vervolgens nagaan of uw medewerker ook inloggegevens heeft achtergelaten.
Een externe partner kunt u ook helpen met het uitvoeren van phishingtests. Daarnaast kan hij optreden als ‘mystery guest’ die een dag rondloopt binnen uw organisatie en kritisch kijkt naar hoe medewerkers omgaan met phishingmails en andere veiligheidsissues. Het voordeel van een externe partij is dat die met een frisse en onafhankelijke blik naar de organisatie kijkt en wellicht dingen constateert die mensen intern (bedrijfsblindheid) over het hoofd zien.
Een externe specialist beschikt vaak over precies de juiste tools om phishingsites snel te herkennen. Denk bijvoorbeeld aan de ‘phishingkits’ waarmee cybercriminelen de landingspagina’s voor hun phishingcampagnes bouwen. Omdat de software allerlei standaard componenten bevat die steeds hergebruikt worden, kunnen cybersecurityspecialisten een site herkennen die met zo’n phishingkit is gebouwd.
Meer informatie
Phishing is een verraderlijke en alomtegenwoordige vorm van cybercriminaliteit die menig bedrijf veel geld kost. Met de bovenstaande tips en de hulp van een kundige cybersecuritypartner kunt u er gelukkig wel iets tegen doen. Wil jij ook serieus werk maken van de strijd tegen phishing? En kunt u daar wel wat hulp bij gebruiken? Dan staat Tesorion u graag bij. Neem gerust contact met ons op voor meer informatie over onze diensten of een deskundig advies.
