Ga direct naar de inhoud

Stormschade aan je bedrijf?

7 Tips om phishing te voorkomen

risico phising verkleinen.jpg

Iedereen die een internetverbinding heeft, loopt het risico om door phishing gehackt te worden. Via valse e-mailberichten proberen cybercriminelen inloggegevens, creditcardgegevens of andere informatie te ontfutselen vanuit financiële motieven. Zij kunnen vervolgens hun slag slaan door je account te hacken, de accountgegevens door te verkopen of een virus naar binnen te sturen. In dit artikel lees je een aantal nuttige tips waarmee je phishing kunt voorkomen binnen jouw bedrijf.

Waarom is phishing voorkomen zo moeilijk?

Helaas is phishing een succesvolle methode voor criminelen: het aantal gevallen blijft maar stijgen. Hoe dat komt?

  • Jij en je werknemers ontvangen elke dag tientallen e-mails. Daar hoeft er maar eentje bij te zitten met criminele bedoelingen.
  • Valse e-mails (phishing-mails) zijn in de meeste gevallen nauwelijks nog van echt te onderscheiden. Al zijn er ook mails die zo bar slecht in elkaar zijn gezet dat ze eenvoudig te herkennen zijn als phishing-mail.
  • Internetcriminelen gebruiken bekende instanties als banken en de Belastingdienst om vertrouwen te wekken. Dit vergroot de kans dat je vervolgens op een malafide link klikt. Of een bijlage opent die met malware geïnfecteerd is.
  • Iedere sector, dus ook die van jou, is een mogelijk doelwit.

 

Tip 1: zorg voor bewustwording en een contactpersoon

Een phishingpoging slaagt alleen, wanneer iemand op een foute link klikt. Als elke medewerker dit beseft, is dat een goede eerste stap. Bewustwording wordt bijvoorbeeld gecreëerd door voorlichting. Bied je personeel regelmatig voorlichtingssessies aan, zodat zij de gevaren van phishing in de praktijk kunnen zien. Verhoogde bewustwording wordt ook bereikt door een phishingtest uit te voeren - in samenwerking met de IT-afdeling van je organisatie - en te kijken in welke mate medewerkers op links klikken.

Heb je een grotere organisatie? Dan raden wij je aan een contactpersoon aan te wijzen. Deze kan je medewerkers helpen inschatten of een e-mail vals is.

Tip 2: controleer de afzender

Je ziet niet altijd direct vanuit welke organisatie een e-mail gestuurd is. De afzender kan namelijk een zogenaamde ‘friendly name’ hebben ingesteld. Dan zie je niet ‘gerrit.deraven@ikwiluwgeld.nl’ maar bijvoorbeeld ‘Bert Bonafide | ABN AMRO’. 

Wil je de volledige afzender zien? Ga dan met je cursor op de afzender staan. Of klik met je rechtermuisknop op de naam. Je ziet dan ook direct of de domeinnaam, waaruit de afzender de mailt stuurt, betrouwbaar is. Let hier echt op de kleinste details. Criminelen gebruiken namelijk vaak domeinnamen die heel sterk lijken op de echte website. Abmamro.nl bijvoorbeeld: daar lees je mogelijk snel overheen.

Tip 3: controleer links en bijlagen voor je erop klikt

Ontvang je een e-mail met een verzoek om op een link te klikken of een bijlage te openen? Wees dan extra waakzaam. Want phishing bestaat niet alleen uit malafide links, maar ook uit kwaadaardige bijlagen die, wanneer geopend, malware kunnen installeren. Stel jezelf een paar checkvragen: wie vraagt dat eigenlijk? En waarom vraagt hij dat?

Twijfel je? Controleer dan eerst bij de bron of het klopt. Stel dat je een uitnodiging krijgt om een nieuwsbericht van nu.nl te lezen. Hoe kun je in dit geval schade door phishing voorkomen? Door niet op de link in de mail te klikken, maar naar de website van nu.nl te gaan. Hetzelfde geldt voor filmpjes, aanbiedingen en contactverzoeken.

Tip 4: wantrouw macro’s van Microsoft Office

Phishing-e-mails met kwaadaardige bijlagen proberen werknemers vaak te misleiden om een zogenaamde macro binnen een bestand te activeren. Macro’s zijn kleine programma’s binnen Microsoft Office-bestanden. Veel phishing-e-mails bevatten links naar dit soort programma’s om heimelijk malware te downloaden en uit te voeren. 

Ontvang je online een macro? Dan raden wij je aan deze niet toe te staan. Sowieso adviseren we je het gebruik van macro’s in zijn geheel uit te faseren. Heeft je organisatie toch bepaalde macro’s nodig? Zorg dan voor een goede regulering, bijvoorbeeld door iemand van IT.

Tip 5: creëer een veilige meld-omgeving

Heeft er toch iemand per ongeluk op een foute link geklikt? Dan wil je dat natuurlijk zo snel mogelijk weten. Hoe langer het namelijk duurt voordat je weet waar het lek zit, hoe groter de mogelijke schade.

Vaak merk je pas dat er op een foute link is geklikt, wanneer er op onverklaarbare wijze geld is afgeschreven van de bedrijfsrekening. Of als je een verzoek ontvangt om ‘losgeld’ te betalen. In dat laatste geval moet je eerst geld betalen voordat je weer toegang krijgt tot je informatie of IT-systemen. Om die reden heet deze vorm van cybercrime ‘ransomware’.

Maak het je medewerkers makkelijk

Zorg dat je werknemers zonder schaamte kunnen melden dat ze op een malafide link hebben geklikt. Of een kwaadaardige bijlage hebben geopend. Ook is het belangrijk dat werknemers weten dat hun ‘vergissing’ geen gevolgen heeft voor de arbeidsrelatie. Benadruk altijd dat phishing de beste kan overkomen. En bedank hen voor het melden. Als ze dat niet doen, kan het namelijk tot veel grotere schade kan leiden. 

Je medewerkers kunnen je ‘meldpunt’ ook gebruiken om advies te vragen als ze phishing vermoeden. Het is prettig om een vaste collega te hebben, die het aanspreekpunt voor het meldpunt is.

Tip 6: neem technische maatregelen

Een belangrijk uitgangspunt om phishing te voorkomen: neem technische maatregelen om cybercriminelen buiten te houden. Je hebt toch ook sloten op de deuren van je bedrijf? Zorg dat je IT-systemen minstens zo goed beveiligd zijn tegen inbraak. 

Naast een goede virusscanner en firewall kun je detectie op afstand overwegen. Dit is een soort digitale alarmcentrale, bemand door specialisten. Zij zien op afstand wanneer er in je systeem onregelmatigheden plaatsvinden en wanneer er daadwerkelijk wordt ingebroken. Bij een inbraakincident nemen ze contact met je op om vervolgacties te bespreken.

Tip 7: wees alert op gerichte aanvallen

Veel crimewareaanvallen zijn gericht op een grote groep. De criminelen schieten dan met hagel, wetend dat ze altijd wel iemand raken. 

Steeds vaker voeren ze echter gerichte aanvallen uit. Hun e-mailbericht richten ze dan tot één specifiek persoon. Het e-mailbericht wordt dan ook zodanig opgesteld dat deze specifiek op het doelwit is toegespitst. Want dat vergroot immers de kans dat de malafide bijlage of link wordt geopend.

Geschreven door

Ook interessant