De gevaren van phishing
Bescherm jezelf tegen online oplichting
Phishing is een vorm van digitale oplichting. Cybercriminelen proberen via frauduleuze e-mails of berichten jouw persoonlijke gegevens te stelen. Ze gaan achter jouw inloggegevens, creditcard informatie, pincode of andere gevoelige informatie aan. De phishing berichten lijken van bekende, vaak betrouwbare, organisaties af te komen. Veelgebruikte organisaties zijn banken en overheidsinstellingen, maar cybercriminelen doen zich ook voor als organisaties die dichterbij staan. Zoals jouw klanten of leveranciers. Cybercriminelen gebruiken dezelfde beeldtaal om op jouw vertrouwen in te spelen.
In dit artikel kijken we naar de mogelijke gevaren van phishing, wat je er tegen kunt doen en naar manieren om jezelf en jouw bedrijf te beschermen.
Wat is phishing?
Phishing is een vorm van online oplichting waarbij cybercriminelen mensen oplichten door ze te lokken naar een valse website, die een kopie is van de echte website, om ze daar te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer.
Het grootste gevaar van phishing is dat jouw vertrouwelijke informatie in handen van cybercriminelen terecht komt. Wat zij vervolgens met jouw gegevens doen is misschien wel het meest spannende deel. Is het doel van de aanval jouw creditcardgegevens gebruiken om er met jouw geld vandoor te gaan? Of gebruiken ze jouw gegevens tijdens een geavanceerde aanval op een specifiek bedrijf. Cyberaanvallen zoals ransomware of een Advanced Persistent Threat (APT) beginnen vaak met phishing.
Welke soorten phishing zijn er?
Spear phishing
De naam zegt het al: bij het vissen met een speer richt de visser zich op één specifiek doelwit. Cybercriminelen richten zich op een specifiek persoon. Ze steken veel tijd in het onderzoek doen naar hun slachtoffer. Ze halen hun informatie van onder andere sociale media. Criminelen ‘leren je kennen’ en kunnen zo hun communicatie aanpassen om meer authentiek over te komen. Deze vorm van phishing is vaak de eerste stap om door de verdediging van een bedrijf heen te dringen en een gerichte aanval uit te voeren.
Whaling
Bij whaling gaan criminelen achter de spreekwoordelijke Moby Dick aan. Deze aanvallen zijn vaak gericht op hooggeplaatste werknemers of bijvoorbeeld de CEO van een bedrijf. Cybercriminelen besteden bij whaling veel aandacht aan profilering van het slachtoffer. Dit om zo het perfecte moment te vinden waarop ze kunnen toeslaan. De reden waarom criminelen zich richten op CEO’s of leidinggevenden op hoog niveau is dat zij toegang hebben tot veel bedrijfsgegevens.
Misleidende phishing
Misleidende phishing is de meest voorkomende vorm van phishing. Cybercriminelen proberen gevoelige informatie als inloggegevens, creditcard informatie of je pincode te stelen.
Ben je benieuwd hoe jouw digitale veiligheid ervoor staat?
Om je een goed beeld te geven van de status van jouw digitale veiligheid geven we je graag eene gratis diagnoserapport. Doe de test en zie direct hoe je ervoor staat.
Hoe herken je phishing berichten?
Cybercriminelen besteden veel moeite aan het zo echt mogelijk laten lijken van hun berichten. Hoe meer hun bericht lijkt op een officieel bericht van bijvoorbeeld jouw bank, hoe eerder de je geneigd bent de opdracht in het bericht te volgen. Ondanks alle moeite die erin gestoken wordt zijn er enkele opvallende kenmerken waar je een phishing bericht aan kunt herkennen. We sommen ze hier voor je op.
1. Van wie komt het bericht?
Check de afzender van het bericht. Vaak gebruiken cybercriminelen een naam die sterk lijkt op de echte naam van de organisatie . In het geval van een e-mail is het controleren van de domeinnaam een goede tip. Je herkent de domeinnaam aan alles achter het @ teken. Komt deze overeen met het website adres?
2. De toon van het bericht
Een phishing bericht is ook te herkennen aan de toon en aanhef van het bericht. Vaak worden phishing e-mails verstuurd naar een grote groep mensen. Kijk daarom altijd goed naar de aanhef van de mail. Vaak wordt een algemene aanhef gebruikt zoals ‘geachte heer/mevrouw’ of ‘geachte klant’.
3. Taalfouten
Een phishing bericht bevat vaak stijl- en taalfouten. Het is belangrijk een mail die je niet vertrouwt daarom ook goed te checken op slordig taalgebruik.
4. Haast
Oplichters hebben haast. Ze wachten natuurlijk niet graag lang op hun geld. Ze proberen je onder druk te zetten. Bijvoorbeeld door gebruik te maken van urgentie en termen als ‘laatste waarschuwing’ of ‘laatste kans’ te gebruiken. Ze benadrukken dat er een voordeel is als je snel reageert of dat je iets mist als je dat niet doet. Denk bijvoorbeeld aan een tijdelijke aanbieding.
5. Schadelijke link
Het spreekt waarschijnlijk voor zich dat een phishing bericht een schadelijke link bevat. De link leidt je naar een website waar jij je persoonlijke gegevens moet invoeren of na het klikken op de link wordt er schadelijke software geïnstalleerd op je computer. Maar hoe herken je zo’n link? Als je met je muis op een link gaat staan, zonder er op te klikken, wordt er zichtbaar waar de link naar verwijst. Komt dit adres niet overeen met de afzender of het onderwerp van het bericht? Klik er dan niet op!
Wat kun je doen tegen phishing?
Phishing is een cyberaanval die gericht is op de eindgebruikers. Op mensen dus. Zolang niemand binnen jouw bedrijf op links klikt in e-mails die ze niet vertrouwen of niet zomaar ergens inloggen op een website die ze niet gecheckt hebben, is er niks aan de hand. We mogen er vanuit gaan dat geen enkele eindgebruiker dit met opzet doet, maar het kan per ongeluk snel gebeuren.
Wat je kunt doen tegen phishing is het onderwijzen van je werknemers. Zij zijn de eindgebruikers en dus een mogelijk doelwit van een cyberaanval. Het is belangrijk dat alle werknemers dezelfde voorlichting krijgen. Natuurlijk heeft niet iedereen toegang op hetzelfde niveau binnen een bedrijf, maar alle werknemers zijn een ingang voor cybercriminelen.
Iemand heeft een fout gemaakt, wat nu?
Je hebt je gegevens ingevuld, wat nu?
We gaan er niet vanuit dat het zover komt, maar wat is belangrijk om te doen als blijkt dat je slachtoffer bent van phishing? Als je jouw werknemers gaat onderwijzen over de gevaren van phishing en cyberaanvallen in het algemeen is dit een onderdeel wat niet overgeslagen mag worden.
Is er op een link geklikt?
Heb je, of heeft iemand anders binnen je bedrijf, op een link geklikt, maar geen gegevens ingevoerd? Dan is de kans groot dat er malware of een virus is geïnstalleerd. Zorg altijd voor een up-to-date virusscanner en laat je apparaat scannen. Wordt er iets gedetecteerd? Laat je apparaat dan opschonen.
Zijn er gegevens gedeeld?
Als er gegevens gedeeld zijn is de urgentie om snel actie te ondernemen hoog. Met de gedeelde gegevens kunnen cybercriminelen veel schade aanrichten. Afhankelijk van de gegevens die er gedeeld zijn is het aan te raden wachtwoorden, gebruikersnamen en/of je pincode te wijzigen.
Als er een betaling is gedaan of inloggegevens van je bank zijn ingevuld dien je direct contact op te nemen met de desbetreffende bank. Zij kunnen je bankpas controleren en wellicht iets betekenen in het terugvorderen van de gedane betaling.