• Home
  • Nieuws
  • Phishing: herkennen, awareness en testen

Je hebt vast wel eens een mailtje ontvangen van een prins uit Nigeria die jou een fortuin nalaat, of een prijs die je hebt gewonnen namens een bekende winkelketen. Je moet alleen even je gegevens achterlaten en it’s yours! De mails staan vol met spelfouten en hebben een bedenkelijke afzender. Duidelijk een geval van phishing. De cybercriminelen die hierachter zitten worden echter steeds beter in hun “vak” én er worden steeds meer phishingberichten verzonden. In 2020 zijn de aangiftes rondom cybercrime met ruim 66% gestegen ten opzichte van 2019. Aangifte doen van cybercrime en doordoor een melding bij de Autoriteit Persoonsgegevens (AP) is wel het laatste dat je als organisatie wil.

In dit artikel lees je meer over phishing, hoe je phishing kunt herkennen én hoe je kunt testen hoe het gesteld is met de security awareness binnen jouw organisatie. 

Wat is phishing?

Phishing is een vorm van cybercriminaliteit. Bij phishing doen criminelen zich bijvoorbeeld voor als bank, overheidsinstelling of directie van een bedrijf. Doel: mensen oplichten door hen te lokken naar een valse website. Daar proberen ze gegevens te stelen, bijvoorbeeld wachtwoorden, een creditcardnummer of je pincode. Of je zelfs direct geld afhandig te maken. Dit alles gebeurt meestal via e-mail, en soms ook via sms, whatsapp of zelfs telefonisch. Vaak is een phishing bericht lastig te onderscheiden van een echte e-mail van bijvoorbeeld een (bekend) bedrijf, een overheidsinstelling of je werkgever.  

Wat zijn de risico’s van phishing?

Via phishing worden gegevens gestolen. Dat kan gaan om privé of zakelijke gegevens, zoals wachtwoorden, creditcardnummers en pincodes. Daardoor kan er bijvoorbeeld ineens een groot bedrag van je rekening afgeschreven worden of is je e-mailaccount gehackt. Als zakelijke gegevens gestolen worden via phishing, dan heeft dat mogelijk grote financiële en juridische gevolgen voor jouw organisatie. Als een crimineel eenmaal binnen is (geweest) in je zakelijke account komt de continuïteit van jouw organisatie direct in gevaar. Kritische bedrijfsdata kan buitgemaakt zijn én klantgegevens kunnen op straat komen te liggen en gebruikt worden voor allerhande malafide doeleinden. Een melding bij de Autoriteit Persoonsgegevens (AP) is op dat moment niet meer te voorkomen. Ook wordt phishing nog vaak gebruikt om virussen en ransomware te verspreiden, met alle vervelende gevolgen van dien 

Welke maatregelen kun je nemen tegen phishing?

Naast bewustwording van de medewerkers over het herkennen van phishingmails (hieronder lees je daar meer over) kunnen de volgende technische maatregelen geactiveerd worden. Deze zorgen ervoor dat een phishing e-mail nog sneller herkend kan worden of nog beter, niet binnenkomt bij de eindgebruiker (alle medewerkers binnen je organisatie). 

  • Implementeer anti-phishing policies. 
  • Instellen van ATP Safe Links beleid. Elke URL die binnenkomt wordt aan de voorkant grondig gescand. 
  • Monitoren van anti-phishing rapportages.
  • Voeg op alle e-mails van buiten de organisatie een waarschuwing toe. 

Hulp nodig? Binnen onze Secure by Design-dienst voeren wij deze maatregelen door in jouw organisatie 

Hoe herken je phishing en wat kun je ertegen doen?

Helaas kunnen nooit alle phishingberichten aan de voorkant geblokkeerd worden met behulp van technische maatregelen. Onderstaande punten kun je daarom controleren om te bepalen of een e-mail echt of nep isLet op: als dit allemaal klopt, is dat nog steeds geen garantie! Vraag het altijd persoonlijk na bij de afzender van het bericht als je twijfelt aan de juistheid hiervan. 

Afzender: 

  • Bedenk of jij dit bericht van deze afzender verwacht. Twijfel je? Dan is de meest eenvoudige en effectieve manier om dit te checken: pak de telefoon en vraag het na! 
  • Check het e-mailadres van de afzender. Klopt dit, of is de domeinnaam (alles achter de @) bijvoorbeeld anders dan je zou verwachten?  
  • Controleer of de domeinnaam hetzelfde is als de website van de afzender. 

Vragen naar persoonsgegevens: 

  • Wees alert als er in het bericht gevraagd wordt om gegevens ‘te controleren’, ‘bij te werken’ of ‘aan te vullen’. 
  • Banken, creditcard maatschappijen en webshops vragen nooit om creditcard of bankgegevens per e-mail. Ontvang je zo’n e-mail? Verwijder deze dan direct.
    • Stuur nooit volledige kopieën van een rijbewijs, paspoort of ID-kaart op. Criminelen kunnen een BSN nummer gebruiken om bijvoorbeeld een bankpas aan te vragen. Maskeer het BSN nummer door gebruik te maken van de KopieID app van de rijksoverheid.
  • Klik niet zomaar op een link.  
  • Nogmaals – bij twijfel: bel de afzender op (via een bekend telefoonnummer) en vraag na of dit bericht legitiem is. 

Links: 

  • Klik nooit zomaar op een link als je twijfelt over de echtheid van een e-mail. 
  • Check of de URL klopt met de website van de afzender (de echte website, dus): als je met de muis boven de link zweeft, zie je deze verschijnen. Op een smartphone of tablet kun je dit doen door de link in te drukken tot er een venstertje verschijnt met het webadres.  
  • Let ook op linkverkorters zoals bit.ly of t.co. Daardoor weet je nooit precies waar je naartoe gestuurd wordt.  

 Taal en vormgeving: 

  • Veel phishingberichten bevatten spel- of taalfouten. Wees daar alert op. 
  • Check de aanhef: vaak is een onpersoonlijke aanhef (‘Beste klant’) reden tot twijfel. Dat geldt ook voor een aanhef die anders is dan je gewend bent van deze afzender (‘Zeer gewaardeerde klant’ in plaats van ‘Beste mevrouw Jansen’). 
  • Ook een andere opmaak dan je van deze afzender gewend bent is verdacht. Bijvoorbeeld een logo op een andere plaats, een ander lettertype of andere onregelmatigheden. 

Bijlagen: 

  • Een bijlage bij een phishing e-mail kan malware bevatten, zoals ransomware.  
  • Wees altijd alert op .zip, .exe of .rar-bestanden, als je deze niet verwacht. 
  • Open nooit bijlagen van deze bestandstypen: .js .lnk .wsf .scr .jar Deze bevatten scripts die malware downloaden. 

Handige links met meer informatie: 

Uiteindelijk draait het bij het bestrijden van phishing en andere cybercriminaliteit om bewustwordingHet is belangrijk dat jijzelf en je collega’s in het dagelijkse werk kritisch (kunnen) zijn van de risico’s van cybercriminaliteit en niet blindelings al dan niet verdachte e-mails openen en links aanklikken. Om dat te bereiken, moet er aandacht besteed worden aan awareness. Dat begint bij een (informatie) beveiligingsbeleid en vervolgens moet dit beleid bekend en structureel nageleefd worden door alle medewerkers binnen een organisatie.  

Wil je weten hoe het met de security awareness in jouw organisatie gesteld is, of wil je weten of het beleid goed nageleefd wordt? Dat kun je testen met een phishingtest! 

Hoe werkt een phishingtest? En: hoe scoorden wij zelf?

Een phishingtest brengt in kaart in welke mate jouw organisatie en de medewerkers in staat zijn om een phishingmail te herkennen. De test is een onderdeel van onze dienst Secure by Design”Met een phishingtest kun je – op regelmatige basis – verschillende zaken testen: de techniek (komt de e-mail überhaupt aan in de mailboxen?), zijn de medewerkers alert (worden er vragen gesteld aan de IT-helpdesk?) en tenslotte: gaan medewerkers in op hetgeen er gevraagd wordt (dus: wie ‘hapt’?).  

Voorbeeld: phishingcampagne bij Solipsis 

Een tijdje geleden hebben we bij Solipsis zelf een phishing test uitgevoerd. In een tijdsbestek van twee uur (15:30 – 17:30) ontvingen alle collega’s een e-mail die afkomstig leek van Microsoft met het verzoek dat ieders account geverifieerd moest worden: 

phishingcampagne Solipsis Managed Services

Microsoft zal nooit vragen om een account opnieuw te verifiëren wanneer iemand probeert in te loggen. Ook was duidelijk te zien dat het e-mailadres en de link niet klopte. Wanneer men door zou klikken, dan zou er een nagemaakte Microsoftwebsite te zien zijn geweest waar men kon inloggen. Iedere inlogcode zou “kloppend” zijn. Uiteraard zien wij als uitvoerders van de test de ingevoerde gegevens niet. Via een dashboard is wel te zien: 

  • Hoeveel mensen hebben geopend; 
  • Hoeveel mensen hebben geklikt; 
  • Hoeveel mensen de verzonden e-mail hebben beantwoord; 
  • Hoeveel mensen het formulier hebben ingevuld. 

Vervolgens hebben we alle acties die zijn gedaan (meldingen, doormeldingen naar het securityteam, etc.) in een tijdlijn gezet. Ook hebben we verbeterpunten genoteerd en als actiepunten uitgezet. Dit alles is naar alle collega’s in een e-mail verzonden, samen met een bewustwordingsquiz, gemaakt met Microsoft Forms. De resultaten worden gebruikt om vervolgsessies in te plannen en de winnaar van de quiz met de beste suggesties en ideeën ontving een prijsje. 

De volgende phishingcampagne zal inhoudelijk iets meer gericht zijn op de organisatie en wordt nog persoonlijker gemaakt, dat gaat richting ‘spearing’. Op die manier creëren we steeds meer bewustwording binnen de organisatie.

Door: Rolf Kruitwagen – Business Consultant

 


Meer weten over Secure by Design?

Wil je meer weten over phishing, securitybeleid of -awareness en hoe dit binnen jouw organisatie gefaciliteerd én getest kan worden? Of heb je behoefte aan een praktische training? Wij vertellen je er graag meer over. Vul het formulier in en we nemen zo snel mogelijk contact met je op.