• Home
  • Nieuws
  • Phishing: herkennen, awareness en testen

Je hebt vast wel eens een mailtje ontvangen van een prins uit Nigeria die jou een fortuin nalaat, of een prijs die je hebt gewonnen namens een bekende winkelketen. Je moet alleen even je gegevens achterlaten en it’s yours! De mails staan vol met spelfouten en hebben een bedenkelijke afzender. Duidelijk een geval van phishing. De cybercriminelen die hierachter zitten worden echter steeds beter in hun vak, waardoor phishing berichten bijna niet meer te onderscheiden zijn van echte mails. In dit artikel lees je meer over phishing, hoe je phishing kunt herkennen én hoe je kunt testen hoe het gesteld is met de security awareness binnen jouw organisatie. 

Wat is phishing?

Phishing is een vorm van cybercriminaliteit. Bij phishing doen criminelen zich bijvoorbeeld voor als bank, overheidsinstelling of directie van een bedrijf. Doel: mensen oplichten door hen te lokken naar een valse website. Daar proberen ze gegevens te stelen, bijvoorbeeld wachtwoorden, een creditcardnummer of je pincode. Of je zelfs direct geld afhandig te maken. Dit alles gebeurt meestal via e-mail, en soms ook via sms, whatsapp of zelfs telefonisch. Vaak is een phishing bericht lastig te onderscheiden van een echte e-mail van bijvoorbeeld een (bekend) bedrijf, een overheidsinstelling of je werkgever.  

Wat zijn de risico’s van phishing?

Via phishing worden gegevens gestolen. Dat kan gaan om privé gegevens, waardoor er bijvoorbeeld ineens een groot bedrag van je rekening afgeschreven wordt of je e-mail gehackt is. Ook zakelijke gegevens kunnen gestolen worden via phishing, en dat brengt de nodige risico’s met zich mee voor je werkgever. Als een oplichter eenmaal binnen is in je zakelijke account kunnen bedrijfsdata én klantgegevens op straat komen te liggen en gebruikt worden voor allerhande malafide doeleindenOok wordt phishing nog vaak gebruikt om virussen en ransomware te verspreiden, met alle vervelende gevolgen van dien 

Hoe herken je phishing en wat kun je ertegen doen?

Phishing berichten zijn steeds lastiger te onderscheiden van ‘echte’ berichten. Onderstaande punten kun je controleren om te bepalen of een e-mail echt of nep isLet op: als dit allemaal klopt, is dat nog steeds geen garantie! Vraag het altijd persoonlijk na bij de afzender van het bericht als je twijfelt aan de juistheid hiervan. 

Afzender: 

  • Bedenk of jij dit bericht van deze afzender verwacht. Twijfel je? Dan is de meest eenvoudige en effectieve manier om dit te checken: pak de telefoon en vraag het na! 
  • Check het e-mailadres van de afzender. Klopt dit, of is de domeinnaam (alles achter de @) bijvoorbeeld anders dan je zou verwachten?  
  • Controleer of de domeinnaam hetzelfde is als de website van de afzender. 

Vragen naar persoonsgegevens: 

  • Wees alert als er in het bericht gevraagd wordt om gegevens ‘te controleren’, ‘bij te werken’ of ‘aan te vullen’. 
  • Klik niet zomaar op een link.  
  • Nogmaals – bij twijfel: bel de afzender op (via een bekend telefoonnummer) en vraag na of dit bericht legitiem is. 

Links: 

  • Klik nooit zomaar op een link als je twijfelt over de echtheid van een e-mail. 
  • Check of de URL klopt met de website van de afzender (de echte website, dus): als je met de muis boven de link zweeft, zie je deze verschijnen. Op een smartphone of tablet kun je dit doen door de link in te drukken tot er een venstertje verschijnt met het webadres.  
  • Let ook op linkverkorters zoals bit.ly of t.co. Daardoor weet je nooit precies waar je naartoe gestuurd wordt.  

 Taal en vormgeving: 

  • Veel phishingberichten bevatten spel- of taalfouten. Wees daar alert op. 
  • Check de aanhef: vaak is een onpersoonlijke aanhef (‘Beste klant’) reden tot twijfel. Dat geldt ook voor een aanhef die anders is dan je gewend bent van deze afzender (‘Zeer gewaardeerde klant’ in plaats van ‘Beste mevrouw Jansen’). 
  • Ook een andere opmaak dan je van deze afzender gewend bent is verdacht. Bijvoorbeeld een logo op een andere plaats, een ander lettertype of andere onregelmatigheden. 

Bijlagen: 

  • Een bijlage bij een phishing e-mail kan malware bevatten, zoals ransomware.  
  • Wees altijd alert op .zip, .exe of .rar-bestanden, als je deze niet verwacht. 
  • Open nooit bijlagen van deze bestandstypen: .js .lnk .wsf .scr .jar Deze bevatten scripts die malware downloaden. 

Handige links met meer informatie: 

Uiteindelijk draait het bij het bestrijden van phishing en andere cybercriminaliteit om bewustwordingHet is belangrijk dat jijzelf en je collega’s in het dagelijkse werk kritisch (kunnen) zijn van de risico’s van cybercriminaliteit en niet blindelings al dan niet verdachte e-mails openen en links aanklikken. Om dat te bereiken, moet er aandacht besteed worden aan awareness. Dat begint bij een (informatie) beveiligingsbeleid en vervolgens moet dit beleid bekend en structureel nageleefd worden door alle medewerkers binnen een organisatie.  

Wil je weten hoe het met de security awareness in jouw organisatie gesteld is, of wil je weten of het beleid goed nageleefd wordt? Dat kun je testen met een phishingtest! 

Hoe werkt een phishing test? En: hoe scoorden wij zelf?

Een phishingtest brengt in kaart in welke mate jouw organisatie en de medewerkers in staat zijn om een phishingmail te herkennen. Met een phishing test kun je – eenmalig of op regelmatige basis – verschillende zaken testen: de techniek (komt de e-mail überhaupt aan in de mailboxen?), zijn de medewerkers alert (worden er vragen gesteld aan de IT-helpdesk?) en tenslotte: gaan medewerkers in op hetgeen er gevraagd wordt (dus: wie ‘hapt’?).  

Voorbeeld: phishingcampagne bij Solipsis Managed Services 

Een tijdje geleden hebben we bij Solipsis Managed Services zelf een phishing test uitgevoerd. In een tijdsbestek van twee uur (15:30 – 17:30) ontvingen alle collega’s een e-mail die afkomstig leek van Microsoft met het verzoek dat ieders account geverifieerd moest worden: 

phishingcampagne Solipsis Managed Services

Microsoft zal nooit vragen om een account opnieuw te verifiëren wanneer iemand probeert in te loggen. Ook was duidelijk te zien dat het e-mailadres en de link niet klopte. Wanneer men door zou klikken, dan zou er een nagemaakte Microsoftwebsite te zien zijn geweest waar men kon inloggen. Iedere inlogcode zou “kloppend” zijn. Uiteraard zien wij als uitvoerders van de test de ingevoerde gegevens niet. Via een dashboard is wel te zien: 

  • Hoeveel mensen hebben geopend; 
  • Hoeveel mensen hebben geklikt; 
  • Hoeveel mensen de verzonden e-mail hebben beantwoord; 
  • Hoeveel mensen het formulier hebben ingevuld. 

Vervolgens hebben we alle acties die zijn gedaan (meldingen, doormeldingen naar het securityteam, etc.) in een tijdlijn gezet. Ook hebben we verbeterpunten genoteerd en als actiepunten uitgezet. Dit alles is naar alle collega’s in een e-mail verzonden, samen met een bewustwordingsquiz, gemaakt met Microsoft Forms. De resultaten worden gebruikt om vervolgsessies in te plannen en de winnaar van de quiz met de beste suggesties en ideeën ontving een prijsje. 

De volgende phishingcampagne zal inhoudelijk iets meer gericht zijn op de organisatie en wordt nog persoonlijker gemaakt, dat gaat richting ‘spearing’. Op die manier creëren we steeds meer bewustwording binnen de organisatie.

Door: Nigel Buis – Business Consultant Managed Services


Vond u dit interessant?

Meld u aan voor de maandelijkse Solipsis nieuwsbrief en blijf op de hoogte van relevante IT-ontwikkelingen.

Aanmelden voor de nieuwsbrief


Meer informatie

Wilt u meer weten over phishing, securitybeleid of -awareness en hoe dit binnen uw organisatie gefaciliteerd én getest kan worden? Of heeft u behoefte aan een praktische training? Wij vertellen u er graag meer over. Neem gerust contact op om te bespreken op welke manier Solipsis u van dienst kan zijn. Óf stel uw vragen tijdens het Solipsis Spreekuur! Plan een gratis adviesgesprek in met één van onze experts:

Plan een gratis adviesgesprek

Liever door ons benaderd worden? Laat dan hieronder uw gegevens achter.

    Neem contact met mij op.