Toolkit Phishing

1 op de 5 medewerkers valt voor phishingmail

Waarvoor gebruik je als ondernemer je e-mail? En sms of Whatsapp je met je klanten of toeleveranciers? Stuur je jouw medewerkers of klanten ook facturen, notulen, presentaties, offertes en belangrijke gegevens?

Helaas is e-mail niet altijd optimaal beveiligd én weet jij - maar ook eventuele medewerkers, toeleveranciers en klanten of opdrachtgevers - niet altijd hoe je phishing kunt voorkomen, herkennen en bestrijden. Cybercriminelen gebruiken namelijk spoofing en phishing als methode om geld te verdienen aan bijvoorbeeld nepfacturen of ransomware-aanvallen.

Het mkb vormt een kwetsbare groep en is vaak slachtoffer van cybercriminaliteit. Ruim een kwart van de mkb-medewerkers heeft in het afgelopen jaar op het werk een phishingmail ontvangen. Om inzicht te krijgen in de kwetsbaarheid van het mkb voor phishing en om te kijken hoe de cyberweerbaarheid vergroot kan worden, hebben het Digital Trust Center en het RPCNH (Regionaal Platform Criminaliteitsbeheersing Noord-Holland) de MKB Phishingtest opgezet.

In totaal namen er 33.016 medewerkers van 667 bedrijven deel aan het experiment. Zij ontvingen twee verschillende (imitatie) phishingmails, waarbij de medewerkers werden aangemoedigd om op de link in de mail te klikken. 

Zodra dit gebeurde, belandden zij op een pagina met informatie over hoe ze phishingmail hadden kunnen herkennen. Het klikken op de link in dit onderzoek had natuurlijk geen gevolgen. Uit het onderzoeksrapport kwamen onderstaande punten naar voren: 

➡️ Ruim 1 op de 5 medewerkers klikt op een link in een generieke phishingmail. 

➡️ Medewerkers die een maand eerder een phishingmail hadden ontvangen, klikten minder vaak op een tweede phishingmail.

➡️ Risicozoekende medewerkers hebben de meeste baat bij een phishingtest

De MKB Phishingtest heeft een bijdrage kunnen leveren aan het urgentiebesef door de resultaten in een bedrijfsrapportage terug te koppelen aan het bedrijf met daarbij tips om het bedrijf weerbaarder te maken tegen phishingaanvallen. Daarnaast hebben medewerkers met hun deelname kennis en ervaringen opgedaan en feedback gekregen over het herkennen van phishingmails. 

Met deze resultaten in het achterhoofd gaat het DTC een bewustwordingscampagne rondom phishing starten. Deze campagne stimuleert ondernemers om te achterhalen of ze phishing kunnen herkennen, voorkomen en bestrijden. Ze krijgen tools en informatie om veilige e-mailinstellingen te kiezen en andere benodigde stappen te zetten.

Lees hier het nieuwsbericht.

Download de rapportage MKB Phishingtest

Bekijk de informatie van het Digital Trust Center rondom phishing.

Iedereen kan te maken krijgen met phishing en slachtoffer worden van de gevolgen hiervan. Phishingaanvallen komen in alle soorten en maten voor. Soms is het een simpel verzoek om persoons- en login-gegevens. Soms is het een zeer gerichte, goed doordachte en specifieke aanval met als doel je organisatie binnen te dringen.

Het is vaak moeilijk om phishing te herkennen, vooral als het gaat om gerichte phishing-aanvallen. Zulke aanvallen lijken vaak van (voor jou) bekende personen af te komen, of noemen uitdrukkelijk namen en informatie die zijn toegespitst op de ontvanger.

Een voorbeeld hiervan is de zogenaamde CEO-fraude. Hierbij worden bijvoorbeeld phishing-mails verstuurd die van een leidinggevende af lijken te komen. Meer informatie op deze pagina over phishing.

Het goed kunnen afwegen of je een e-mail veilig kunt openen is makkelijker gezegd dan gedaan. Het is vaak erg moeilijk om valse e-mails te herkennen, vooral als het gaat om gerichte aanvallen. Hieronder vind je een aantal adviezen om mogelijke valse e-mails te herkennen.

• Controleer de afzender: de naam van wie je de e-mail ontvangt komt misschien wel overeen, maar controleer ook de domeinnaam (achter het @-teken) en het e-mailadres zelf. Bel indien nodig naar het nummer dat je kent of opzoekt om te controleren of de e-mail door hen is verzonden. Je kunt bij twijfel ook altijd een collega raadplegen om met jou mee te kijken.
• Bekijk de aanhef. Als er een algemene term staat zoals 'Geachte heer/mevrouw', wees dan extra alert.
• Bekijk of er een verzoek staat om je persoonsgegevens 'te controleren', 'bij te werken' of 'aan te vullen'. Je moet dan op een link klikken om dit te doen. Doe dit nooit zomaar. Je bank, verzekeringsmaatschappij en overheidsinstanties vragen dit nooit op deze manier.
• Kijk goed naar het taalgebruik en de vormgeving. Hoewel phishing e-mails tegenwoordig steeds professioneler lijken, is het toch belangrijk om goed te lezen en te bekijken of je toch geen onregelmatigheden tegenkomt. Je kunt ook een eerdere mail van het bedrijf of de instantie ernaast leggen ter vergelijking.
• Veel valse mailtje proberen je onder druk te zetten door gebruik te maken van laatste waarschuwingen of spoedmeldingen. Ga hier niet via de e-mail op in maar neem bij twijfel telefonisch contact op met de hostingpartij.
• Links in nepmails kunnen ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd of leiden je naar een valse website. Klik dus nooit zomaar op de links in een e-mail die je niet vertrouwt. Let ook goed op verkorte links.
• Controleer de bijlage. Een bijlage kan ervoor zorgen dat er schadelijke software op je computer of telefoon wordt geïnstalleerd. Open nooit zomaar een bijlage van een e-mail die je niet vertrouwt.

Bekijk meer informatie over hoe je phishing en valse e-mails kunt herkennen op deze pagina. Bekijk ook de pagina voor meer informatie over cyberbewustwording.

Heb je te maken met phishing binnen je bedrijf of organisatie? Bepaal als eerste wat voor soort phishingincident er heeft plaatsgevonden. Zijn er wachtwoorden buitgemaakt? Is er malware geïnstalleerd? Zijn er ongewenste betalingen geautoriseerd? Als je dat weet, kan je vervolgstappen zetten. Weet je het niet zeker, raadpleeg dan intern een collega om samen te kijken of je hier met phishing hebt te maken en in te schatten hoe groot de schade is. 

• Wachtwoorden
  Als er wachtwoorden of andere login-gegevens zijn buitgemaakt is het zaak om deze te veranderen. Als je dit wachtwoord ook op andere plekken hebt gebruikt dan moet het wachtwoord overal gewijzigd worden.
• Malware
  Malware kan soms verwijderd worden maar beter is het om geen risico te nemen en het systeem opnieuw te installeren. Inventariseer ook of de malware zich verder heeft verspreid. 
• Betalingen
  Betalingen kunnen in sommige gevallen worden teruggedraaid of tegengehouden. Meld dit soort incidenten vooral snel aan je bank zodat ze kunnen waken voor verdachte betalingen. 
• Datalek
  Als er persoonsgegevens zijn buitgemaakt, veranderd of verwijderd, dan heb je een datalek en moet je dat mogelijk melden bij de Autoriteit Persoonsgegevens.

Bekijk ook verdere informatie over wat je kunt doen als je te maken hebt met phishing , wat je kunt doen als je gehackt bent en hoe je een incident response plan opstelt. 

Wist je dat het mogelijk is om op afstand te controleren welke e-mail beveiligingsstandaarden er zijn ingericht? Dit is niet afhankelijk van de vraag of je de e-mailomgeving van jouw organisatie zelf beheert of dit hebt uitbesteed bij een IT-dienstverlener. Er zijn meerdere websites op internet te vinden die deze controle eenvoudig kunnen uitvoeren. Het enige wat je daarvoor moet doen is het maildomein van jouw organisatie in te voeren in een daarvoor bestemd invoerveld.

Op de website van internet.nl vind je de “e-mailtest”. Deze e-mailtest kijkt naar de meest belangrijke e-mailbeveiligingsstandaarden. Na het doorlopen van de test krijg je een rapport en een score die je een beeld geven hoe het er voor staat met jouw maildomein. Dit overzicht kan je helpen om zelf aanpassingen of toevoegingen te doen of om in gesprek te gaan met jouw IT-dienstverlener. Zo’n test kan uiteraard niet alles zien maar geeft je wel een goed vertrekpunt.

Op de pagina e-mail beveiligingsstandaarden geeft het DTC een korte omschrijving en overzicht van verschillende e-mailbeveiligingsstandaarden. Het is belangrijk om je bewust te zijn van deze standaarden. Overweeg om deze standaarden, eventueel samen met jouw IT-dienstverlener, in te richten. 

Er zijn veel verschillende soorten phishing waarbij je altijd goed moet letten op eerder genoemde punten zoals de afzender, e-mailadres, inhoud en opmaak.

Een van de meest voorkomende vormen van phishing is e-mail, maar ook via een sms, telefonisch of via apps kan het zijn dat cybercriminelen proberen slachtoffers 'binnen te hengelen' en proberen hen op valse links te laten klikken of een bijlage te laten openen met schadelijke software.

Je kunt sms phishing herkennen door te letten op onderstaande punten:

• Vreemd nummer
  Wanneer het nummer van de afzender je onbekend voorkomt en een afwijkende numeriek heeft, dan is de kans groot dat het om sms-phishing gaat.
• Aparte link(s)
  Bekijk goed hoe de link waar je op moet klikken eruit ziet. Is het adres anders dan je zou verwachten? Soms wordt van verkorte links gebruik gemaakt.
• Onverwacht bericht
  Is het logisch dat je een sms-bericht krijgt van deze afzender? Sta je in contact met deze vermoedelijke afzender? Nee? Wees dan extra alert en negeer het bericht.

Bekijk op deze pagina aanvullende informatie over sms-phishing.

Je kunt niet alleen het slachtoffer worden van phishing via sms, e-mail of een telefoontje, maar ook door 'consent phishing'. Bij deze vorm proberen kwaadwillenden toegang tot je gegevens te krijgen doordat jij toestemming (consent) geeft voor bijvoorbeeld het gebruiken van jouw gegevens. 

In veel gevallen van deze vorm maakt de cybercrimineel gebruik van zakelijk veelgebruikte applicaties of online diensten zoals Microsoft Office 365 en Google Workspace. Medewerkers werken er veel mee en zijn vertrouwd met hoe deze applicaties werken en eruitzien. Denk hierbij aan schermen (pop-ups) om in te loggen, toestemming te geven om iets te delen of gebruik te maken van bepaalde applicaties.

Deze vertrouwde omgevingen worden door cybercriminelen misbruikt om gebruikers te misleiden. Ze maken bijvoorbeeld applicaties of delen bestanden via één van de veel gebruikte cloudoplossingen waardoor deze voor de ontvanger overkomt als vertrouwd. De kans neemt daarmee toe dat een verzoek tot toestemming wordt geaccepteerd of een kwaadaardig bestand wordt geopend. Simpelweg omdat dit plaatsvindt binnen de bekende en vertrouwde omgeving.

Bekijk op deze pagina aanvullende informatie over consent phishing en wat je hier als ondernemer aan kunt doen.