Geschreven door: Patrick Maes

Een phishingmail herkennen is vandaag de dag steeds lastiger. Voor kwaadwillenden is dit een methode om makkelijk vertrouwelijke gegevens te stelen en schade toe te brengen aan organisaties of particulieren. Ze gebruiken graag de actualiteit om succesvolle phishing campagnes op te zetten. Zo ook de huidige situatie waar we ons nu ook in bevinden (COVID19). Ondanks een moreel appèl van minister Hoekstra, waarin gevraagd werd geen misbruik te maken van de corona crisis. Criminelen trokken zich hier niks van aan en zijn deze situatie gaan zien als een kans om makkelijker gegevens te stelen. In Maart is het aantal phishing gevallen gestegen met 667%. Dat meldt beveiligingsbedrijf Barracuda. Het aantal verstuurde phishingmails bedroeg in die periode 465.000. De kans dat u hiermee te maken gaat krijgen wordt dus alleen maar groter. 

Bij Networking4all komen wij regelmatig in aanraking met bedrijven die slachtoffer zijn geworden van een phishing aanval. Sommige bedrijven ondervinden grote problemen als gevolg hiervan, anderen hebben soms geluk en komen er met een lage impact vanaf. In deze tijd dat phishing enorm aan het toenemen is, is het belangrijk bewust te zijn van de gevaren die phishing met zich meebrengt en wat u kunt doen om dit te voorkomen. Hoe kunt u er bijvoorbeeld voor zorgen dat uw medewerkers een phishingmail herkennen? Vanuit onze expertise delen we 14 tips, die u kunnen helpen zodat u niet in de val loopt met een phishingmail.

Manieren van phishing

Phishing is voor criminelen nog steeds één van de meest lucratieve manieren om aan persoonsgegevens te komen of om bij een bedrijf binnen te dringen. Vaak zijn het kleine en middelgrote bedrijven die hier het meest mee te maken krijgen. Bovendien beperkt phishing zich niet meer tot e-mailverkeer en worden de pogingen steeds geavanceerder, terwijl het voor die criminelen steeds makkelijker wordt om te phishen.

Wie nu het internet afzoekt naar tips om niet gephisht te worden, vindt vaak tips om phishing mails te herkennen als ‘let op spelfouten en rare zinnen’, ‘de e-mail is geschreven in gebrekkig Engels of Nederlands’, of ‘de e-mail heeft geen persoonlijke aanhef’. Daar redt u zichzelf tegenwoordig allang niet meer mee. Maar wat helpt dan wel?

Voordat wij ingaan op de 14 tips waarmee u phishingmail kan herkennen, is het belangrijk eerst duidelijk te hebben op wat voor manieren tegenwoordig gephisht kan worden. Als eerste de meest eenvoudige: de ‘normale’ phishing e-mail.

Mail phishing

De meeste mensen hebben vast wel eens een phishing e-mailtje ontvangen. Deze worden vaak naar grote groepen tegelijk gestuurd om een zo breed mogelijk net uit te werpen, en hebben als lokaas onderwerpen als:

  • U heeft te hard gereden en krijgt een boete;
  • U ontvangt een schitterende aanbieding;
  • Er is ingelogd met uw Gmail/Apple/Facebook/Twitter account vanuit een ander land;
  • U ontvangt een factuur van een dienst of bedrijf en moet inloggen om hem te bekijken;
  • U ontvangt een factuur van een dienst of bedrijf met de factuur bijgevoegd als PDF.

De meesten van deze voorbeelden zijn onschuldig genoeg. Maar de phishing mail met PDF zou al malware kunnen bevatten die misbruik kan maken van kwetsbaarheden in verouderde browsers. En zelfs de onschuldig ogende phishing mailtjes kunnen gevaarlijk worden wanneer ze op het juiste moment verstuurd worden:

  • Een bekende leverancier heeft een storing gehad en u maakt kans op een vergoeding;
  • Uw sinterklaas- of kerstcadeautjes zijn afgeleverd op een postpunt, klik hier om de dichtstbijzijnde locatie te vinden;
  • Uw bankpas verloopt bijna;
  • Uw meest recente aankoop bij een bekende webshop heeft aanvullende informatie nodig om verzonden te worden;
  • Uw internet- of televisieprovider stuurt een link met meer informatie over die belangrijke voetbalwedstrijd of Formule1 race van de komende week.

Timing is in deze voorbeelden heel belangrijk voor de spammers. Hoeveel mensen zullen er in de drukke decembermaand zitten te wachten op een pakketje? Of hebben wellicht te hard gereden in de afgelopen maand? Vaak is de melding van dusdanige aard dat mensen schrikken, of alleen even snel de e-mail skimmen voor ze inloggen met hun eigen gegevens. 

Het wordt ons ook steeds lastiger gemaakt om de phishingmails te kunnen herkennen: grammaticale fouten, raar taalgebruik of andere alarmsignalen komen veel minder voor en de logo’s en huisstijlen van bedrijven worden één op één overgenomen. We kunnen er al zelfs niet meer op vertrouwen dat we genoeg hebben aan het controleren van het domein waar vandaan gemaild wordt, of waar we naartoe geleid worden.

“Uw mailaccount is vaak de sleutel tot toegang tot al uw andere applicaties”

Mail spoofing

Een domeinnaam kan misbruikt worden door middel van spoofing. Hierbij lijkt het alsof de e-mail afkomstig is van een bekende, of een bekend bedrijf, maar wordt deze eigenlijk verzonden door een kwaadwillende. Hoewel hier beveiligingsmaatregelen tegen genomen kunnen worden, merken wij in de praktijk dat het helaas toch te weinig wordt ingezet.

De simpelste methode voor het spoofen van een domeinnaam is door letters in de domeinnaam te vervangen door unicode karakters, die er sterk op lijken en die nieuwe domeinnaam te registreren. Als eindgebruiker moet u behoorlijk op uw hoede zijn om deze phishing mails te herkennen. Bijvoorbeeld om te zien dat die ene ‘p’ in www.paypal.com net even anders is dan die andere. Sommige bedrijven proberen de spammers een stap voor te zijn door dit soort domeinnamen zelf al te registreren, maar dat zal voor de gemiddelde MKB’er al snel een duur grapje worden.

Maar zelfs het controleren van de domeinnaam is geen garantie. Wanneer een hacker toegang heeft gekregen tot de DNS provider van een website, zou hij simpelweg een extra DNS record aan hebben kunnen maken en wordt de malafide pagina gewoon gehost op een legitieme domeinnaam. Zo heeft iemand al eens een brief ontvangen, per post welteverstaan, over een ‘rechtszaak’ in Amerika, waarin hij werd verzocht in te loggen op een .gov-website. Een legitiem domein van de Amerikaanse overheid dus, maar wel eentje waar een malafide website op stond.

Controleren via het SSL certificaat heeft in beide gevallen ook geen zin. Tegenwoordig kan een kwaadwillende gratis domein-gevalideerde SSL certificaten creëren die geldig zijn op unicode domeinnamen of op de gehackte DNS pagina’s. Deze certificaten tonen een slotje in de browser, en zullen voor de meeste gebruikers dus overkomen als betrouwbaar.

Spear Phishing

Naast het vissen met een groot net is er ook nog spear phishing, waarbij één persoon specifiek het doelwit is van de aanval. Dit is een methode die iets meer werk kost voor de aanvaller. Vaak worden persoonlijke gegevens van het doelwit gebruikt, zoals voor- en achternaam, of informatie die via social media vergaard kan worden. Denk bijvoorbeeld aan hobby’s of interesses, familieleden of vrienden, favoriete uitgaansgelegenheden of merken. Hoe meer informatie er vergaard kan worden via social media en social engineering, des te effectiever de phishing mail.

Whale Phishing

En dan is er nog de overtreffende trap: whale phishing. Dit is vergelijkbaar met spear phishing, maar heeft als doelwit een hooggeplaatste persoon of afdeling binnen een bedrijf of organisatie. Denk aan de CEO, CTO, CFO, CMO, of HRM afdeling. Hoeveel schade dit kan aanrichten werd vorig jaar wel duidelijk toen bleek dat bioscoopketen Pathé slachtoffer was van CEO fraude en voor 19 miljoen euro was opgelicht. En niet alleen multinationals met een miljoenenbudget zijn hier doelwit van.

Ook Networking4all is doelwit geweest. Onze administratie afdeling ontving een factuur van DTG, afkomstig van een dtg.finance e-mailadres, met het vriendelijke verzoek een bedrag van 700 euro over te maken. De mail was feilloos, de factuur was keurig, en het e-mailadres was geforward naar dtg.nl. Het zag er helemaal legitiem uit. Gelukkig kon onze afdeling deze phishingmail herkennen en viel het bij administratie op dat het IBAN niet klopte: deze begon met R031, een code die hoort bij Roemenië. Vanwege het lagere bedrag en de bekende bedrijfsnaam zal een dergelijke mail wellicht niet snel opvallen en gewoon betaald worden.

“Phishing is de eenvoudigste vorm van cyberaanvallen maar tegelijkertijd ook de gevaarlijkste en meest effectieve.”

Dit zijn de meest voorkomende vormen van phishing. Maar mocht u nu denken dat het alleen fout kan gaan via e-mail, hebben we slecht nieuws. Want bent u bijvoorbeeld al bekend met smishing, phishing via SMS? Of Vhishing, oftewel voice phishing, waarbij een persoon gebeld wordt uit het buitenland om software te installeren of iemand toegang te geven tot uw computer om ‘uw Windows installatie te repareren’? Alleen al in 2018 waren er volgens de Fraudehelpdesk 209 mensen in Nederland die slachtoffer zijn geworden van Vhishing en gemiddeld ruim 2200 euro verloren.

14 Tips om een phishingmail te herkennen 

Hoe voorkomt u dat u zelf of uw organisatie slachtoffer wordt van een phishing aanval? Wij hebben een aantal tips voor u op een rijtje gezet.

  1. Blijf achterdochtig. Vertrouw geen enkele mail blindelings, klik niet zomaar op linkjes omdat het bericht van een bekende persoon afkomstig is.
  2. Wees niet te nieuwsgierig. Hackers spelen in op onze nieuwsgierige aard met een salarisstrook die eigenlijk voor je collega bedoeld is. Of een bericht over dat pakketje dat niet voor u bedoeld is.
  3. Blijf goed lezen en reageer niet te snel. Dat mailtje van de HR afdeling, dat u door uw vakantiedagen heen bent? Zou zomaar nep kunnen zijn.
  4. Wordt u zelf gebeld door een bedrijf, of zelfs een collega of uw baas, blijf opletten op wat er van u gevraagd wordt. We weten allemaal wel dat we geen creditcardgegevens af moeten geven aan iemand over de telefoon. Maar wees ook op uw hoede bij mensen die u zou moeten kunnen vertrouwen.
  5. Controleer via andere kanalen. Krijgt u een factuur toegestuurd van een bedrijf voor een onbekende transactie, bel ze even op. Gebruik hiervoor een nummer dat u zelf opzoekt, of dat al bij u bekend is.
  6. Wanneer een mailtje u vraagt om in te loggen in uw account, gebruik dan niet de link in de mail. Ga handmatig naar de website toe om in te loggen.
  7. Maak waar mogelijk gebruik van tweestapsverificatie (2FA). Zo kan een hacker niet alsnog in uw account zonder een apart gegenereerde code.
  8. Lijkt een mail u verdacht? Controleer de bron van de mail door met de cursor op het e-mailadres van de verzender te gaan staan.
  9. Zorg ervoor dat software zoals browsers en mailprogramma’s altijd up-to-date zijn.
  10. Mailt u vanuit een eigen domeinnaam? Voeg dan een aantal beveiligingslagen toe zodat uw domeinnaam niet misbruikt kan worden. Kijk op onze blog voor meer informatie over E-mail beveiliging: SPF, DKIM en DMARC.
  11. Bescherm ook uw werkstations met de juiste endpoint protection (EP). Dit soort slimme software kan een oogje in het zeil houden en alarm slaan wanneer er malware of ransomware wordt geïnstalleerd. EP kan ook het werkstation waar de detectie heeft plaatsgevonden, isoleren. Een geautomatiseerd waarschuwingssysteem zoals dit is een waardevolle investering, en één waar uw systeembeheerder u erg dankbaar voor zal zijn.
  12. Voorkomen is beter dan genezen. Denk bijvoorbeeld ook aan regelmatige voorlichting onder uw werknemers of teamleden in de vorm van trainingen of tests. Helaas komen wij nog regelmatig in gesprek met mensen die niet dachten dat ze ooit zelf slachtoffer zouden kunnen worden van phishing omdat ze dachten slimmer te zijn dan de phishers. Hiervoor zijn trainingen in de vorm van simulaties of awareness tests een uitkomst.
  13. Denk bij het beschermen van uw gegevens niet alleen aan uw online omgeving. Wees uw ervan bewust wie er toegang heeft tot uw kantoor of werkplaats. Voer een clean desk policy in, en gebruik legitimatie voor bezoekers.
  14. Mocht het toch misgaan, zorg er dan voor dat er een noodplan klaar ligt. Maak duidelijke afspraken binnen het bedrijf over het melden van incidenten. Weet wat er gedaan moet worden wanneer een werkstation besmet is, of wat u kunt doen als een medewerker zijn of haar gegevens op een malafide site heeft achtergelaten.

Phishing is een uiterst lucratieve business voor online criminelen. Het evolueert ook nog steeds en wordt steeds ingenieuzer, zeker in de vorm van doelgericht phishen met spear phishing en whale phishing of CEO fraude. Ook u wordt als doelwit gezien door dit soort criminelen. Daarom is voorlichting en training van uw medewerkers op dit gebied echt noodzakelijk. Training van medewerkers verlaagt het risico op een informatiebeveiligingsincident door toedoen van een menselijke fout (met alle financiële gevolgen van dien). Een degelijke training staat qua kosten niet in verhouding met de schade die een phishing mail in uw organisatie kan aanrichten. 

Laat uw medewerkers testen op het herkennen van een phishingmail

Networking4all heeft verschillende mogelijkheden om uw medewerkers bewuster te maken van de risico’s op het gebied van informatiebeveiliging, zo ook phishing. U kunt uw medewerkers bewust maken van de risico’s door middel van een online of klassikale training. Wat ook goed werkt is het testen van uw medewerkers op het herkennen van een phishing mail. 

Door op maat gemaakte phishing mails te versturen naar uw medewerkers krijgt u een nulmeting van hoe het bewustzijnsniveau op dat moment is. Op basis daarvan kunt u sturen door bijvoorbeeld meer voorlichting aan te bieden aan specifieke personen in de organisatie. Zo kunt u uw medewerkers met een gerust hart aan het werk zetten, omdat u weet dat zij de juiste kennis tot zich hebben genomen om veilig om te gaan met bedrijfsinformatie. 

Meer weten

Wilt u meer weten over het testen of voorlichten van uw medewerkers? Neem dan gerust contact met ons op door ons te bellen op : 020 788 10 30. Onze medewerkers zijn u graag van dienst.


Deel artikel via: