Elke dag worden er miljarden phishing mails verstuurd. Trap in een phishingaanval en je kan getroffen worden door een datalek of een ransomware-aanval. En dat kan weer flink schade toebrengen aan je bedrijf. Maatregelen tegen phishing zijn dus heel belangrijk voor je cyberveiligheid.
Het is een doodnormale werkdag voor Lisa, een toegewijde medewerker van het ziekenhuis. Ze drinkt een kop koffie en is klaar voor een drukke dag van virtuele vergaderingen en het afronden van projecten. Dan ontvangt ze een e-mail, die eruitziet alsof het van de IT-afdeling van haar bedrijf komt. Ze wordt gevraagd om haar wachtwoord te controleren vanwege een nieuwe beveiligingsupdate.
Omdat dit eruitziet als eerdere legitieme berichten van IT, klikt Lisa zonder na te denken op de link in de e-mail en geeft haar gebruikersnaam en wachtwoord in op de volgende pagina. Maar wat ze niet weet, is dat het een gevaarlijke phishing mail is en ze zojuist slachtoffer is geworden van een phishing-aanval.
In werkelijkheid heeft Lisa haar gegevens afgestaan aan cybercriminelen, die nu in haar account kunnen rondneuzen. Ze kunnen vertrouwelijke bedrijfsinformatie stelen, kwaadaardige software installeren of zelfs meer phishing mails sturen naar andere collega's in het bedrijf.
Het bedrijf merkt de inbraak misschien niet meteen op. Tegen de tijd dat ze erachter komen, kan er al veel schade zijn aangericht - niet alleen voor het bedrijf, maar ook voor klanten van wie de persoonlijke gegevens zijn gestolen. Het kan veel geld kosten om het probleem op te lossen en de reputatie van het bedrijf kan flink beschadigd raken.
Wat Lisa overkomt heet phising. Phishing is online oplichting waarbij aanvallers je een nepbericht sturen (meestal per e-mail) om je te verleiden tot het vrijgeven van gevoelige informatie (zoals inlog- of creditcardgegevens) of het downloaden van malware op je apparaat.
Meestal bevatten phishing mails dringende verzoeken, bedreigingen of geldprijzen waarbij je wordt gevraagd onmiddellijk actie te ondernemen. Ze kunnen bijvoorbeeld beweren dat je Amazon account is "opgeschort" en dat je je accountgegevens moet "bevestigen" om het te reactiveren.
Of je krijgt een phishing mail die afkomstig lijkt te zijn van de bezorgdienst UPS, waarin je wordt gevraagd op een link te klikken om "bezorgkosten" te betalen en persoonlijke gegevens op te geven. Als je dat niet doet, krijg je je "pakketje" niet.
Phishing is dus een van de meest verraderlijke bedreigingen waarmee bedrijven worden geconfronteerd. Het kan iedereen in jouw organisatie treffen, van de meest onervaren werknemer tot de meest doorgewinterde professional. Het is namelijk best lastig om phishing mails te herkennen. Maar daar helpen wij je graag bij.
De afzender van phishing mails is bijvoorbeeld niet security@paypal.com, maar security@paypat483576.com. Het onofficiële adres is dus @paypat483576.com in plaats van @paypal.com. Dat is een duidelijk teken dat het bericht nep is.
Terwijl 'legitieme' e-mails je meestal bij je naam noemen, zoals "Hoi Mark" of "Hallo Sharon", beginnen fraudeurs vaak met een algemene begroeting zoals "Beste klant" of "Hoi" gevolgd door je e-mailadres. Of ze gebruiken helemaal geen begroeting.
Phishing mails doen vaak alsof je account gecompromitteerd is. Ze vragen je dringend actie te ondernemen om je persoonlijke gegevens te "verifiëren" of "bevestigen", anders wordt je account opgeschort of afgesloten.
Anderen melden een aangename verrassing voor je: een "belastingteruggave", "loterijwinst", of "speciale aanbieding" die maar een beperkte tijd beschikbaar is. Of een willekeurige mooie man of vrouw op een nepsite voor volwassenen heeft je uit het niets uitgekozen als partner. Trap er dus niet in!
Oplichters zijn niet altijd de beste schrijvers, dus let op fouten. Hier is het een simpele hoofdletter "We" in het midden van een zin, of het kan een verkeerd gespelde bedrijfsnaam zijn: "Pay-pal" in plaats van "PayPal".
Phishing mails nodigen je vaak uit om op een knop of link te klikken om persoonlijke informatie in te voeren of een betaling te doen. Als je een computer gebruikt, ga dan met je muis over de link (niet klikken!) en je ziet de URL.
Je weet nu hoe je phishing mails kunt herkennen. Phishing-aanvallen leiden tot kostbare gegevenslekken, financiële verliezen en reputatieschade. Gelukkig zijn er stappen die je kunt nemen om jouw bedrijf te beschermen.
Zorg ervoor dat je antivirus- of internetbeveiligingssoftware op je computer en telefoon hebt geïnstalleerd. Deze software kan spamfilters hebben om phishing mails te stoppen. Zorg ervoor dat je een bekend merk gebruikt en dat de software up-to-date is met de nieuwste bescherming tegen virussen en schadelijke software.
De antivirussoftware kan ook helpen als je per ongeluk op een phishing-link klikt en malware downloadt. Het zal de malware opsporen en verwijderen. Bij Dit IT zijn we fan van Sophos. Deze software zorgt ervoor dat al je beveiligingsmaatregelen, zoals je firewall en je antivirussoftware, goed samenwerken. Zo beheer je het hele beveiligingssysteem vanaf één plek.
Zorg ervoor dat je sterke, unieke wachtwoorden gebruikt voor al je online accounts. We raden aan een goede, open-source wachtwoordmanager te gebruiken om je te helpen sterke wachtwoorden te maken en te onthouden.
En activeer waar mogelijk twee-factor authenticatie (2FA). Op die manier kunnen oplichters geen toegang krijgen tot je accounts als je gebruikersnamen of wachtwoorden ooit worden onthuld via phishing.
Houd het besturingssysteem van je computers, telefoons, browsers, browserplug-ins en andere apps bijgewerkt tot de nieuwste versies met beveiligingspatches.
Dit kan je beschermen tegen phishing mails waarbij misbruik wordt gemaakt van zwakke plekken in het besturingssysteem.
Gebruik een veilige e-mailprovider met slimme spamfiltering. Zo beland spam, zoals die phishing mails, automatisch in je spammap.
Open de phising mails niet en reageer er op geen enkele manier op. Door te reageren op phising mails of sms'jes (bijvoorbeeld door op unsubscribe te klikken of STOP te sms'en), laat je de spammers alleen weten dat je e-mailadres of telefoonnummer actief is. Verwijder de e-mails dus meteen.
Zorg ervoor dat je collega's weten dat ze verdachte e-mails moeten melden aan de IT-afdeling of de persoon die verantwoordelijk is voor de beveiliging. Het is belangrijk om binnen het bedrijf een systeem op te zetten waarin ze deze meldingen kunnen maken. Als je een phishing-aanval ontdekt, kun je zo snel het hele team op de hoogte stellen en actie ondernemen om te voorkomen dat schadelijke links of bijlagen zich verspreiden. Op die manier kun je de dreiging zo snel mogelijk stoppen.
Zorg ervoor dat alleen de medewerkers die echt toegang nodig hebben tot gevoelige informatie die kunnen bekijken. Op die manier verminder je de kans dat vertrouwelijke gegevens in gevaar komen door phishing mails.
Maak regelmatig back-ups van je gegevens, ook offline. Op die manier kun je altijd je gegevens herstellen als je apparaat is geïnfecteerd met ransomware of andere malware die leidt tot gegevensverlies.
Wij staan voor je klaar. Download het gratis cybersecurity e-book, of neem contact op om te zien wat de mogelijkheden zijn.