7 Tips om phishing te voorkomen

Iedereen die een internetverbinding heeft, loopt het risico om door phishing gehackt te worden. Via valse e-mailberichten proberen cybercriminelen inloggegevens, creditcardgegevens of andere informatie te ontfutselen vanuit financiële motieven. Zij kunnen vervolgens hun slag slaan door uw account te hacken, de accountgegevens door te verkopen of een virus naar binnen te sturen. In dit artikel leest u een aantal nuttige tips waarmee u phishing kunt voorkomen binnen uw bedrijf.

Waarom is phishing voorkomen zo moeilijk?

Helaas is phishing een succesvolle methode voor criminelen: het aantal gevallen blijft maar stijgen. Hoe dat komt?

  • U en uw werknemers ontvangen elke dag tientallen e-mails. Daar hoeft er maar eentje bij te zitten met criminele bedoelingen.
  • Valse e-mails (phishing-mails) zijn in de meeste gevallen nauwelijks nog van echt te onderscheiden. Al zijn er ook mails die zo bar slecht in elkaar zijn gezet dat ze eenvoudig te herkennen zijn als phishing-mail.
  • Internetcriminelen gebruiken bekende instanties als banken en de Belastingdienst om vertrouwen te wekken. Dit vergroot de kans dat u vervolgens op een malafide link klikt. Of een bijlage opent die met malware geïnfecteerd is.
  • Iedere sector, dus ook die van u, is een mogelijk doelwit.

 

Tip 1: zorg voor bewustwording en een contactpersoon

Een phishing-poging slaagt alleen, wanneer iemand op een foute link klikt. Als elke medewerker dit beseft, is dat een goede eerste stap. Bewustwording wordt bijvoorbeeld gecreëerd door voorlichting. Bied uw personeel regelmatig voorlichtingssessies aan, zodat zij de gevaren van phishing in de praktijk kunnen zien. Verhoogde bewustwording wordt ook bereikt door een phishingtest uit te voeren - in samenwerking met de IT-afdeling van uw organisatie - en te kijken in welke mate medewerkers op links klikken.

Heeft u een grotere organisatie? Dan raden wij u aan een contactpersoon aan te wijzen. Deze kan uw medewerkers helpen inschatten of een e-mail vals is.

Tip 2: controleer de afzender

U ziet niet altijd direct vanuit welke organisatie een e-mail gestuurd is. De afzender kan namelijk een zogenaamde ‘friendly name’ hebben ingesteld. Dan ziet u niet ‘gerrit.deraven@ikwiluwgeld.nl’ maar bijvoorbeeld ‘Bert Bonafide | ABN AMRO’. 

Wilt u de volledige afzender zien? Ga dan met uw cursor op de afzender staan. Of klik met uw rechtermuisknop op de naam. U ziet dan ook direct of de domeinnaam, waaruit de afzender de mailt stuurt, betrouwbaar is. Let hier echt op de kleinste details. Criminelen gebruiken namelijk vaak domeinnamen die heel sterk lijken op de echte website. Abmamro.nl bijvoorbeeld: daar leest u mogelijk snel overheen.

Tip 3: controleer links en bijlagen voor u erop klikt

Ontvangt u een e-mail met een verzoek om op een link te klikken of een bijlage te openen? Wees dan extra waakzaam. Want phishing bestaat niet alleen uit malafide links, maar ook uit kwaadaardige bijlagen die, wanneer geopend, malware kunnen installeren. Stel uzelf een paar checkvragen: wie vraagt dat eigenlijk? En waarom vraagt hij dat?

Twijfelt u? Controleer dan eerst bij de bron of het klopt. Stel dat u een uitnodiging krijgt om een nieuwsbericht van nu.nl te lezen. Hoe kunt u in dit geval schade door phishing voorkomen? Door niet op de link in de mail te klikken, maar naar de website van nu.nl te gaan. Hetzelfde geldt voor filmpjes, aanbiedingen en contactverzoeken.

Tip 4: wantrouw macro’s van Microsoft Office

Phishing-e-mails met kwaadaardige bijlagen proberen werknemers vaak te misleiden om een zogenaamde macro binnen een bestand te activeren. Macro’s zijn kleine programma’s binnen Microsoft Office-bestanden. Veel phishing-e-mails bevatten links naar dit soort programma’s om heimelijk malware te downloaden en uit te voeren. 

Ontvangt u online een macro? Dan raden wij u aan deze niet toe te staan. Sowieso adviseren we u het gebruik van macro’s in zijn geheel uit te faseren. Heeft uw organisatie toch bepaalde macro’s nodig? Zorg dan voor een goede regulering, bijvoorbeeld door iemand van IT.

Tip 5: creëer een veilige meld-omgeving

Heeft er toch iemand per ongeluk op een foute link geklikt? Dan wilt u dat natuurlijk zo snel mogelijk weten. Hoe langer het namelijk duurt voordat u weet waar het lek zit, hoe groter de mogelijke schade.

Vaak merkt u pas dat er op een foute link is geklikt, wanneer er op onverklaarbare wijze geld is afgeschreven van de bedrijfsrekening. Of als u een verzoek ontvangt om ‘losgeld’ te betalen. In dat laatste geval moet u eerst geld betalen voordat u weer toegang krijgt tot uw informatie of IT-systemen. Om die reden heet deze vorm van cybercrime ‘ransomware’.

Maak het uw medewerkers makkelijk

Zorg dat uw werknemers zonder schaamte kunnen melden dat ze op een malafide link hebben geklikt. Of een kwaadaardige bijlage hebben geopend. Ook is het belangrijk dat werknemers weten dat hun ‘vergissing’ geen gevolgen heeft voor de arbeidsrelatie.
Benadruk altijd dat phishing de beste kan overkomen. En bedank hen voor het melden. Als ze dat niet doen, kan het namelijk tot veel grotere schade kan leiden. 

Uw medewerkers kunnen uw ‘meldpunt’ ook gebruiken om advies te vragen als ze phishing vermoeden. Het is prettig om een vaste collega te hebben, die het aanspreekpunt voor het meldpunt is.

Tip 6: neem technische maatregelen

Een belangrijk uitgangspunt om phishing te voorkomen: neem technische maatregelen om cybercriminelen buiten te houden. U heeft toch ook sloten op de deuren van uw bedrijf? Zorg dat uw IT-systemen minstens zo goed beveiligd zijn tegen inbraak. 

Naast een goede virusscanner en firewall kunt u detectie op afstand overwegen. Dit is een soort digitale alarmcentrale, bemand door specialisten. Zij zien op afstand wanneer er in uw systeem onregelmatigheden plaatsvinden en wanneer er daadwerkelijk wordt ingebroken. Bij een inbraakincident nemen ze contact met u op om vervolgacties te bespreken.

Tip 7: wees alert op gerichte aanvallen

Veel crimeware-aanvallen zijn gericht op een grote groep. De criminelen schieten dan met hagel, wetend dat ze altijd wel iemand raken. 

Steeds vaker voeren ze echter gerichte aanvallen uit. Hun e-mailbericht richten ze dan tot één specifiek persoon. Het e-mailbericht wordt dan ook zodanig opgesteld dat deze specifiek op het doelwit is toegespitst. Want dat vergroot immers de kans dat de malafide bijlage of link wordt geopend.

  • Fox-IT

Ook interessant

Cyber security tips voor thuiswerkers

  • zakelijk

7 Tips om phishing te voorkomen

  • mkb

Hoe voorkomt u cybercrime?

  • zakelijk