Je kunt als organisatie de ICT omgeving technisch nog zo goed beveiligd hebben, het kan je altijd zomaar overkomen; een datalek door een phishing mail. Er is namelijk door een medewerker maar één verkeerde muisklik nodig om alles uit handen te geven waarbij de gevolgen niet te overzien zijn. Elke collega is hierbij belangrijk en voor iedereen is bewustwording nodig om datalekken te voorkomen, je bent op het gebied van cybersecurity namelijk zo sterk (en veilig) als je zwakste schakel binnen je bedrijf. Je zal vast al eens gehoord hebben van een phishing mail, maar we zetten graag op een rijtje wat het precies is en waarop je moet letten om je gegevens veilig te houden en zorgeloos te kunnen blijven samenwerken!
Wat is phishing precies?
Phishing is een vorm van digitale oplichting en gebeurt via e-mail, social media, chat diensten zoals WhatsApp en Teams, SMS en andere communicatiemethoden. Het lijkt alsof je een bericht van een bekende afzender krijgt zoals een officiële organisatie, een vriend of collega, maar ondertussen willen criminelen je privégegevens of kostbare data van je organisatie. Het is soms erg moeilijk om valse berichten goed te herkennen, vooral als het gaat om gerichte aanvallen. Maar ondanks dat sommige phishingberichten haast niet van echt te onderscheiden zijn, kun je ze toch op een aantal manieren herkennen.
Tips om phishing te voorkomen op een rijtje
Bij e-mails kun je vaak al aan de afzender zien of het om een phishingbericht gaat, daar staat namelijk regelmatig een apart e-mailadres op een domein dat eigenlijk niet van de organisatie is. Een crimineel die zich voordoet als Marktplaats zal bijvoorbeeld e-mailen vanaf info@ma-rkt-plaats.nl, in plaats van het officiële Marktplaats-adres. Let echter wel goed op, criminelen hebben allerlei trucs bedacht om het nepadres toch officieel te laten lijken. De kleine letter l (L) en hoofdletter I (i) worden bijvoorbeeld omgewisseld, waardoor bijvoorbeeld ‘Google’ ineens ‘GoogIe’ wordt.
Een bedrijf zal je nooit zomaar vragen naar je wachtwoord of om andere privégegevens terug te sturen in een e-mail. Daarnaast is het verstandig achterdochtig te zijn met linkjes in e-mails, vooral als de gelinkte site je vervolgens vraagt privédata in te vullen. Krijg je een e-mail om bijvoorbeeld een wachtwoord te resetten? Neem het zekere voor het onzekere; start je webbrowser op en vul zelf het adres van de site in kwestie in en log daar vervolgens in. Is het resetverzoek legitiem, dan krijg je daar ook dezelfde vraag te zien.
Open ook nooit zomaar een bijlage van een e-mail die je niet vertrouwt. Een bijlage in een phishingmail kan ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd. Hierbij is een zip of rar-bestand altijd verdacht, omdat bijvoorbeeld facturen en aanmaningen nooit op deze manier worden verstuurd. Verwacht je toch een bestand? Neem dan contact op met de afzender om te vragen wat en hoe ze iets precies verstuurd hebben.
Veel valse mailtje proberen je onder druk te zetten door gebruik te maken van urgentie, in de vorm van tekst zoals ‘laatste waarschuwing’ of ‘laatste kans’. De fraudeur zegt dat je account verloopt of dat je een speciale aanbieding misloopt als je niet direct reageert. Ga hier niet via de e-mail op in, maar neem bij twijfel telefonisch contact op met ons of het bedrijf.
Een phishing site is vaak te identificeren aan zijn domeinnaam, deze wijkt af van de werkelijke website waar je denkt te zijn. Je kunt de legitimiteit van een websiteadres controleren door in de browserbalk op het slotje te drukken. Je krijgt dan het certificaat te zien, waarop staat of de website officieel is vastgelegd bij een organisatie. Vertrouw overigens niet blind op dat slotje. Heb je twijfels over een website, ga dan met de hand naar het officiële domein dat je wél kent.
Er zijn ook nog een paar universele hints die erop duiden dat je met phishing te maken hebt. De pagina’s en mails staan bijvoorbeeld vol met spelfouten en andere onzorgvuldigheden. Al is een goed geschreven tekst geen garantie van een officieel bericht, ook phishers leren om steeds beter te schrijven. Criminelen sturen phishingmails vaak met duizenden tegelijkertijd, wat betekent dat ze ook geen persoonlijke aanhef hebben. Goed om op te letten!
Laat je niet imponeren door de status van hoge functies in een e-mail, blijf altijd nuchter nadenken en controleer de basis. Heb je bijvoorbeeld écht gesproken met de directeur, CEO of CFO? Controleer betalingen mondeling met de interne opdrachtgever, vooral wanneer er tijdsdruk “lijkt” te zijn. Door tijdsdruk te genereren proberen ze je te dwingen tot een foute keuze, namelijk het doen van een betaling aan een verkeerd adres. Houd je ook aan het vier-ogen principe, laat altijd twee mensen van het management een betaling fiatteren, klein of groot.
Bovenstaande tips helpen je om phishing beter te herkennen, maar ze zijn geen alomvattend hulpmiddel. De criminelen in kwestie vinden steeds weer nieuwe manieren om deze herkenningspunten te omzeilen en je zo alsnog te misleiden. Kijk goed van wie je een bericht krijgt en open het niet als je het niet helemaal vertrouwt. Het is belangrijk om in ieder geval altijd één regel te volgen: wees voorzichtig. Bij twijfel kun je altijd met ons contact opnemen om te checken of het bericht veilig is. We staan altijd voor je klaar!
Een goed voorbeeld waarbij je op de details moet letten
We laten je graag een voorbeeldmail zien waar op het eerste gezicht niks opvallends aan is, maar waar toch veel niet klopt. Kun jij de phishing kenmerken in één keer vinden?
Je krijgt een mail van een collega en je verwacht dan niet dat er iets mis mee is, je bent druk bezig en krijgt zo vaak mails van de persoon in kwestie waardoor je minder oplet. Als je goed kijkt klopt het e-mailadres niet, is de link verdacht als je er met je muis overheen gaat, lijkt de handtekening anders dan gebruikelijk en is de tekst wat verdacht. Wat we je vooral willen meegeven is dat je naast de veelvoorkomende phishing waarbij je van organisaties mails krijgt, je ook door een zogenaamde collega bedreigd kan worden. Wees dus altijd alert en cyberbewust om datalekken te voorkomen.
De phishing bingo van de Rijksoverheid
Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat heeft een phishing bingo gemaakt om mensen op een makkelijke manier bewust te maken van digitale bedreigingen. Het DTC ontvangt de dreigingsinformatie onder meer van het Nationaal Cyber Security Centrum (NCSC) waarvan wij bij Fourtop ICT ook onze informatie krijgen voor onze Beheer afdeling op het gebied van cybersecurity. Met de phishing bingo geven ze 12 vaak voorkomende kenmerken – hoe meer kenmerken van toepassing zijn bij een mail, hoe groter de kans dat het een phishingaanval is.
Neem dan contact met ons op en maak een afspraak. Bij ons ben je altijd welkom!
