Phishing is een vorm van internet oplichting en fraude. Het woord is afgeleid uit het Engels voor Fishing (hengelen of vissen) en veel mensen typen het als phising. Criminelen proberen achterloze mail gebruikers te misleiden met gerichte valse e-mail berichten. Met persoonlijk aangeschreven e-mails die lijken op mail van bekende en betrouwbare bedrijven, probeert men vaak uw inloggegevens te achterhalen.
Het phishing mail bericht is vandaag de dag vaak niet van echt te onderscheiden en is uiteraard een vervalsing. In die phishing mail staat altijd een link waarop geklikt moet worden, zodat u wordt doorverwezen naar een valse website die ook weer lijkt op de echte website van een bekend en betrouwbaar bedrijf, vragen ze u naar uw login gegevens, creditcardinformatie en/of sofi-nummer.
Wanneer u deze gegevens achteloos invult kunnen de criminelen die deze website hebben opgezet vervolgens uw bankrekening plunderen of spullen op uw kosten aanschaffen en zo miljoenen euro’s buit maken.
Phishing mail richt zich doorgaans op de zwakste schakel binnen de computerbeveiliging: de gebruiker… Een crimineel probeert via “persoonlijk” contact een band met u te krijgen en met een verhaal om u de val te lokken. Dit gebeurt niet alleen per mail maar ook zelfs per telefoon.
Phising mail die cybercriminelen versturen om naar je gegevens te vissen zien er steeds echter uit. Een paar jaar geleden herkende je een phishing mail nog aan taalfouten en het knullige uiterlijk. Tegenwoordig zien ze er heel gelikt uit: heel verzorgd, compleet met logo’s en afzender gegevens. Zelfs de Nederlandse Belastingdienst wordt misbruikt als afzender.
De gevolgen van een phishing actie zijn bijvoorbeeld dat je geld gaat missen of dat je een verzoek om losgeld te betalen krijgt voor door de cybercrimineel versleutelde gegevens op je laptop of computer. Ook kan het zijn dat de phishing actie het begin is van een grootschalige aanval op een organisatie, waarbij intellectueel eigendom en/of persoonsgegevens worden gestolen. Dat blijft voor de getroffen organisatie vaak lange tijd onopgemerkt.
Het aantal phishing pogingen groeit jaarlijks. Waarom? Omdat het succesvol is. Ga maar na: van de afzenders van de tientallen mailtjes die u en uw werknemers op een dag krijgen, hoeft er maar één criminele bedoelingen te hebben. Bovendien zijn phishing mails nauwelijks nog van echt te onderscheiden. De internetdieven gebruiken bekende instanties als banken en zelfs de Belastingdienst om bij uw in te breken. Bedenk daarbij dat iedere sector een doelwit kan zijn.
Het is zo dat ierdereen die een internetverbinding heeft het riscio loopt om, d.m.v. phishing aanvallen, gehackt te worden. Via een phishing mail proberen cybercriminelen je inloggegevens, creditcardgegevens of andere gevoelige of persoonlijke informatie te achterhalen. Deze criminelen kunnen vervolgens hun slag slaan door je bankaccount te hacken of middels een computer virus de boel plat te leggen.
De meeste grote cyberdiefstallen beginnen vaak gewoon met één e-mail. Dit eerste bericht slipt vaak eenvoudig tussen alle beveiligingen door. Helemaal voorkomen dat je onderneming gehackt wordt via phishing is dan ook bijna niet mogelijk. Er zijn wel een aantal maatregelen te nemen om het risico, dat je phishing slachtoffer wordt, te verkleinen.
De belangrijkste anti-inbraakmaatregel is er voor te zorgen dat criminelen niet heel eenvoudig binnen kunnen komen. Zorg dat het IT-systeem van uw bedrijf minstens zo goed beveiligd is tegen inbraak als uw bedrijfspand. Daarnaast kunt u detectie op afstand overwegen: dat is een soort digitale alarmcentrale die op afstand kan waarnemen wanneer er in uw systeem onregelmatigheden plaatsvinden en wanneer er daadwerkelijk wordt ingebroken.
Een goed spamfilter is een extern spamfilter die u complete domein extern filtert. Dit wordt ook wel een online of hosted spamfilter genoemd. Maq2 is zo’n spamfilter die naast phishing mail ook virus mail en spamberichten tegenhoudt, nog voordat het uw bedrijf bereikt heeft.
Een phishing poging kan alleen succesvol zijn als er iemand op een foute link in een phishing mail klikt. In grotere organisaties is het verstandig een contactpersoon aan te wijzen, die bij twijfel kan vertellen of een mail al dan niet een phishing mail is. Hieronder staan diverse factoren die u kunt gebruiken om te achterhalen of een mail betrouwbaar is of niet.
De afzender naam zegt niet altijd veel over wie de afzender is. Een valse naam is eenvoudige aan te maken, zodat u niet: “[email protected]” ziet, maar bijvoorbeeld: “C. Heiligboontje | ING” ziet als afzender. Als u met uw muispijl op de afzender gaat staan (of met uw rechtermuisknop klikt), ziet u wel vaak de volledige naam incl. e-mail adres van de afzender. Deze naam vertelt u ook direct of de domeinnaam van waaruit de afzender zijn mailt stuurt betrouwbaar is. Maar let op: criminelen gebruiken steeds vaker domeinnamen die veel lijken op de echte website, zoals bijvoorbeeld: wwwing.nl.
Wanneer er in een e-mail verzocht wordt om op een link te klikken, is het enorm belangrijk om extra waakzaam te zijn. Denk bij uzelf: “Wie vraagt dat en waarom?” In zo’n geval is het wijs om eerst altijd de bron te controleren of het klopt. Wanneer er een uitnodiging binnenkomt om een nieuwsbericht van nu.nl te lezen, kunt u dat beter direct via de bron doen (op de website nu.nl) i.p.v. op een link te klikken in een mail. Hetzelfde geldt voor filmpjes, aanbiedingen en contactverzoeken.
Daarnaast kunt u tegenwoordig door de SSL certificaten vrij snel zien of een website legitiem is of niet. Alle grote instanties als ING, ABN AMRO of ICS hebben een zognaamd gecertificeerd SSL certificaat op naam. Dit wil zeggen dat u in de adresbalk een groen slotje ziet staan met daarachter de bedrijfsnaam. Tevens begint de url altijd met https:// en nooit meer met http://. Dus voordat u maar iets invult op een website kijkt u voortaan eerst of deze kenmerken er zijn.
Phishing pogingen zijn er in vele soorten en maten. Crimeware-aanvallen zijn vaak op grote groepen gericht. De criminelen schieten dan als het ware met hagel, wetend dat er altijd wel iemand in trapt. Maar steeds vaker worden gerichte aanvallen uitgevoerd op één bepaald persoon. Tegenwoordig worden juist CEO’s en andere belangrijke mensen binnen een bedrijf met veel rechten op het netwerk belaagt door phishing mail.
Mocht er desondanks toch iemand op een phishing link klikken, dan wilt u dat zo snel mogelijk weten. Hoe langer het duurt om het lek te dichten, hoe groter de schade. Je merkt namelijk anders pas dat er op een foute link is geklikt en gegevens zijn ingevuld, wanneer er geld verdwijnt van de bedrijfsrekening of als u een verzoek om losgeld krijgt. Pas als u dat betaalt, krijgt u weer toegang tot het computersysteem. Daarom heet deze vorm van cybercriminaliteit ‘Ransomware’.
Het is hierom van groot belang dat werknemers phishing gevallen kunnen melden, zonder dat ze zich daarvoor hoeven te schamen of hierdoor ontslagen kunnen worden. Benadruk dat dit de beste kan overkomen en dat niet melden tot veel grotere gevolgen zal hebben.
Had u nog geen goed spamfilter uit tip 2? Meldt uzelf dan nu via onderstaande knop aan voor 30 dagen gratis bescherming en overtuig uzelf.