Phishing gebeurt altijd, maar juist in mindere tijden worden cybercriminelen actiever. Momenteel wordt er bijvoorbeeld veel misbruik gemaakt van het coronavirus: mails met gratis mondkapjes en geld werven voor slachtoffers zijn enkele voorbeelden. Lees hier actuele corona-phishing manieren.
Een vorm van internetoplichting
Wat is phishing precies? Phishing is een vorm van internetoplichting waarbij cybercriminelen toegang krijgen tot (persoonlijke/bedrijfs) gegevens of malware installeren op computers/mobiele devices. Dit gebeurt bijvoorbeeld door ongemerkt te klikken op een ”besmette” link. Veel voorkomende manieren zijn via sms, e-mail en Whatsapp. Vaak gebeurt phishing vanuit de naam van een (voor jou) bekend persoon, overheidsorganisatie, bank, bedrijf of werkgever. Op deze manier kan er grote (financiële of imago)schade aangericht worden aan personen en bedrijven.
Herken phishing
Er zijn een aantal kenmerken waar phishing aan herkent kan worden:
- Spoed of waarschuwing: Phishing heeft vaak een hoge urgentie. Zo omvatten de berichten vaak (laatste) waarschuwingen of spoedmeldingen. De boodschap geeft vaak aan dat er onprettige gevolgen zijn wanneer er geen actie ondernomen wordt.
- (Persoonlijke) gegevens: In veel gevallen wordt er gevraagd om persoonlijke- of bedrijfsgegevens, zoals rekeningnummers, creditcardgegevens, geboortedatum of wachtwoorden. Banken, overheidsorganisaties en andere bedrijven vragen hier nooit naar via e-mail of andere berichten. Zij zullen altijd vragen of om bijvoorbeeld langs te komen op het kantoor.
- Aanhef: Als je een klant of bekende bent van een bedrijf, dan staat er in de aanhef vrijwel altijd minimaal de juiste bedrijfsnaam of achternaam en ‘heer’ of ‘mevrouw’. Let op wanneer je in situaties wordt aangesproken met een algemene term zoals ‘Geachte heer/mevrouw’, ‘als klant van ons’ of helemaal geen aanhef of (bedrijfs)naam.
- Vaag of onduidelijke afzender: Een phishingbericht kan een normaal ogende afzender hebben, echter hebben ze vaak een vaag of onduidelijk e-mailadres, nummer of een naam die net niet helemaal klopt. Er wordt bijvoorbeeld gebruik gemaakt van een afgeleide versie van een echt bedrijf. Check dus altijd het e-mailadres als je een mail niet vertrouwt. Dit kan gecontroleerd worden door het e-mailadres naar het deel achter ‘@’ te kijken. Bedrijven maken nooit gebruik van een gratis mailbox, dus e-mailadressen die bijvoorbeeld eindigen op ‘@hotmail.com’, ‘@outlook.com’ of ‘@gmail.com’ zijn niet betrouwbaar wanneer het om bedrijven gaat. Let ook op de spelling van het e-mailadres. Met ‘noreply@tikki.nl’ lijkt bijvoorbeeld niets aan de hand. Echter spel je de naam van het betaalbedrijf met een extra e: ‘Tikkie’.
- Bestanden en linkjes: Phishingberichten bevatten vaak bijgevoegde bestanden en/of linkjes. Zip-bestanden worden nooit verstuurd door overheidsorganisaties of andere bedrijven. Open die dus niet. Je kunt het beste contact op nemen met de betreffende organisatie wanneer je geen toegestuurde bestanden verwacht. Als je je muis (zonder te klikken) boven een mail houdt, dan krijg je te zien naar welk webadres de link verwijst. Klik de link niet aan wanneer je het webadres niet kent of niet vertrouwt.
Phishing voorkomen binnen bedrijven
Wat kun je doen om phishing te voorkomen binnen jouw bedrijf? Zorg ten eerste voor bewustwording onder medewerkers. Phishing is alleen succesvol als een persoon op een link of bestand klikt die ”besmet” is. De kans op succesvolle phishing wordt verkleind wanneer jouw medewerkers weten hoe zij phishing kunnen herkennen. Daarnaast is het verstandig om de e-maildienst waarvan het bedrijf gebruikt maakt te voorzien van een spamfilter. Een dergelijk filter houdt phishingmails zo veel als mogelijk tegen. Het is belangrijk dat medewerkers phishing kunnen melden, zonder dat zij zich daarvoor hoeven te schamen of ontslagen kunnen worden. Creëer daarom een veilig meldpunt voor phishing en benadruk dat het de beste kan overkomen en dat het niet melden van phishing grotere gevolgen kan of zal hebben. Je merkt vaak pas dat er sprake is geweest van phishing als de schade al is aangericht. Hoe langer het duurt om het lek te dichten, hoe groter de schade zal worden.
Phishing aanpakken en voorkomen binnen jouw bedrijf? AVAQ geeft grip op risico’s, neem contact met ons op voor de mogelijkheden.
