Tips tegen phishing
Phishing is het misleiden van iemand, meestal via e-mail, om informatie te verkrijgen voor slechte doeleinden. Phishing door criminelen komt bij alle bedrijven in Nederland voor, en leidt tot veel schade: Phishing wordt door criminelen gebruikt om gegevens te stelen, financiële fraude en ook ransomware. Door goed te letten op phishing voorkom je dus veel problemen.
Wat kan ik doen tegen phishing?
De volgende stappen helpen je om geen slachtoffer te worden van phishing:
- Wees alert op vreemde of ongebruikelijke verzoeken van bijvoorbeeld collega’s. Met name verzoeken om opeens informatie te delen die je normaal niet deelt, geld over te maken of pagina’s te bezoeken en gegevens achter te laten.
- Reageer niet direct op ‘urgente’ boodschappen, zoals informatie die je direct moet controleren, berichten van de bank of over geld, het verversen van wachtwoorden en andere belangrijke berichten. Veel van deze berichten zijn niet echt.
- Controleer het afzender-adres van mails voordat je reageert op een mail. Vaak zijn adressen in nepmails net anders dan in echte mails. Denk aan rab0bamk.com inplaats van rabobank.nl, google-service.com in plaats van google of microsoft.secure-service.com in plaats van microsoft.com. Als de afzender niet klopt, is het bericht waarschijnlijk phishing.
- Bekijk links voordat je erop klikt. Je kunt altijd het adres zien voordat je klikt, en als dit adres niet klopt met het bericht (geen https://www.abnamro.nl/een-pagina voor een bericht van ABN AMRO) dan is het waarschijnlijk phishing.
- Bij twijfel, neem contact op met de afzender van de mail via een ander kanaal (bijv. nummer in je telefoon) of via een ander bekend mail-adres.
- Deel geen persoonsgegevens of wachtwoorden in online formulieren of in mails van personen die jou onverwachts mailen. Gebruik de normale systemen op je werk om gegevens te delen.
- Als je een goede, gerichte phishingmail ziet of andere vreemde zaken, meld dit dan als beveiligingsincident bij jouw IT-organisatie of security officer. Waarschijnlijk zijn er meer collega’s die een bericht gekregen hebben.
- Train jezelf in phishing herkennen via de Google Phishingquiz
Ter inspiratie is hieronder een bericht uit de Google Phishingquiz getoond. Deze is gemakkelijk herkenbaar. In het echt worden phishingmails steeds beter en zijn ze moeilijker te herkennen.
Wat kan ik doen tegen cybercrime?
De schade van phishing-mails kun je beperken door je eigen beveiliging goed op orde te houden. De volgende maatregelen zijn altijd verstandig voor een goede digitale weerbaarheid:
- Zet tweefactor-authenticatie aan, zodat je altijd je telefoon nodig hebt om in te loggen. Tweefactorauthenticatie is de beste manier om cybercriminelen buiten de deur te houden.
- Kies unieke, sterke wachtwoorden. Gebruik bij elke dienst (email, linkedin, facebook, …) een uniek wachtwoord dat bestaat uit letters, cijfers en een leesteken.
- Zorg dat je telefoon of computer up-to-date is, met de laatste updates geïnstalleerd. Zorg er ook voor dat beveiligingsopties zoals de firewall en antivirus-software aanstaan.
Technische maatregelen
Het is lastig om met alleen technische maatregelen het risico om ransomware helemaal weg te nemen. Cybercriminelen worden helaas steeds beter en slimmer. Een aantal zaken kunnen wel helpen:
- Het instellen van spoofingbeveiliging door DKIM, SPF en DMARC te configureren. Hierdoor is het lastiger om nepmails te maken. De tool internet.nl helpt om te zien of dit goed in ingesteld
- Zorgen dat je domein en DNS-portal goed beveiligd zijn, zodat je echte domein niet overgenomen wordt.
- Het maken van een informatiebeveiligingsbeleid. Bij voorkeur is dit gebaseerd op een standaard zoals ISO 27001 of Security Verified. Certificering mag maar hoeft niet: je kunt de standaarden ook gebruiken als bron van inspiratie.
- Het regelmatig laten testen van IT-systemen door middel van een PEN-test. Wij houden een lijst bij van PEN-test-bedrijven en kunnen helpen met het plannen.
- Een beleid en procedures voor veilig access management opzetten
- Het organiseren van phishing-test-trainingen. Hierbij stuur je als organisatie zelf nep-mails om te zien of mensen hierop reageren. Wij kunnen helpen met het opzetten, bijvoorbeeld met de open source tool Gophish, of met een professioneler platform zoals Hoxhunt.
- Als je gebruik maakt van Microsoft Office365, dan kun je Microsoft Safe Links activeren
Bonus: veelvoorkomende phishingmails
Sommige phishingberichten zijn erg origineel, maar de meeste volgen toch wel een bekend template. De volgende komen wij vaak tegen:
- Password reset: je account is geblokkeerd, klik op de volgende link om je wachtwoord te veranderen
- Aankoop: gefeliceerd met je aankoop van deze dure televisie. Was jij dit niet? Cancel hem dan met de volgende link
- Cadeaukaarten: hoi, dit is collega XYZ. Wil je even snel iets voor me doen? Ik zit in een meeting. (bij reactie op deze mail vragen ze je iTunes kaarten te kopen en codes door te sturen)
- Voicemail: dit is Microsoft, je hebt een nieuwe Teams voicemail. Klik op de bijlage om hem te beluisteren.
- Factuur: dit is de factuur voor de dienst die wij jullie geleverd hebben. Open de PDF in de bijlage voor meer informatie.
- CEO-fraude: dit is XYZ, je CEO. Willen jullie, van de financiële afdeling, even 400.000 euro overmaken voor deze overname?
Image credit: Sean Foster via Unsplash