10 stappen tegen een e-mail phishing aanval, hoe word ik geen slachtoffer.
Phishing Definitie
Phishing is de verzamelnaam voor het hengelen naar persoonlijke informatie om daarmee te frauderen. Meestal gebeurt dat via ongevraagde e-mails (spam) of door telefonisch contact waarbij criminelen zich voordoen als een betrouwbare instantie/ bank en vragen om (inlog)codes of om uw bankpas op te sturen. Met deze informatie kan fraude met internetbankieren, pinpassen, creditcards of iemands identiteit worden gepleegd.
Voor cybercriminelen is het een van de meest populaire manieren om persoonlijke informatie te stelen, namelijk met behulp van e-mail phishing-aanvallen.
Cybercriminelen maken vaak gebruik van deze methode om werknemers van grote organisaties te verleiden tot het klikken op kwaadaardige links, zodat ze toegang tot bedrijfsnetwerken die waardevolle data bevatten, kunnen krijgen. Hier zijn 10 tips hoe te voorkomen dat je slachtoffer word van e-mail phishing.
Waarom is phishing zo succesvol?
Hoewel het succes van phishing-pogingen afhankelijk is van de goedgelovigheid van het slachtoffer, hun opleiding, en hoe de organisatie waar ze deel vanuit maken de cybersecurity verdediging heeft opgezet, zijn er drie belangrijke redenen dat phishing vandaag de dag zo succesvol kan zijn:
- Cybercriminelen worden steeds beter in hun vak. Het gebruik van logo’s, professioneel bewerkte berichten en personalisatie van de inhoud maakt phishing pogingen meer geloofwaardig, en potentiële slachtoffers hebben dus meer kans om te klikken op de aangeboden links en bijlagen.
- Gebruikers delen steeds meer informatie via sociale media, waardoor cybercriminelen het materiaal ter beschikking krijgen dat ze nodig hebben om beter gepersonaliseerde en meer geloofwaardige berichten te kunnen bouwen.
- Sommige anti-phishing oplossingen worden niet ondersteund met een voldoende robuust databank met real-time messaging intelligentie, en zo kun je dus ten prooi vallen aan de nieuwste technieken die worden gebruikt door phishers.
Phishing e-mails zijn vaak vermomd als correspondentie van een legitieme en betrouwbare organisatie, ze lokken slachtoffers om te klikken op links waarmee kwaadaardige content wordt gedownload of ze verleiden hen om gevoelige informatie op een nep-website in te voeren.
Voorbeeld phishing e-mail:
Onlangs heb ik een email ontvangen die ik graag als voorbeeld van een phishing mail wil gebruiken. Het betreft een mail van een creditcard company, waarin ter herkenning alle voorbeelden van onderstaande tips voorkomen. Zie het bijgevoegde voorbeeld:
10 tips om te voorkomen dat je slachtoffer wordt van een phishing aanval:
# 1 Vertrouw de Display Naam niet
Een favoriet phishing tactiek onder cybercriminelen is het om de naam van een e-mail te spoofen. Dit is hoe het werkt: Als een oplichter het hypothetische merk “My Bank” wil imiteren, kan de e-mail er als volgt uitzien:
Omdat mijn bank het domein “secure.com” niet bezit, zal e-mail authenticatie verdediging deze e-mail namens mijn bank niet blokkeren.
Eenmaal geleverd, lijkt de e-mail legitiem, omdat de meeste inboxen van mobiele telefoons en gebruikers alleen de display naam zal presenteren. Controleer altijd het e-mailadres in de header van – als er verdacht uitziet, markeer dan de e-mail als verdacht. Het is belangrijk op te merken dat e-mailadressen ook kunnen worden vervalst dus het is geen fool-proof indicator.
# 2 Kijk, maar klik niet
Cybercriminelen houden er van schadelijke koppelingen op te nemen in legitieme lijkende teksten. Beweeg uw muis over alle links die zijn ingebed in het body van uw e-mail. Als het link-adres er raar uitziet, klik er dan niet op. Als u enige twijfel heeft over een link, stuur de e-mail dan direct ter controle naar uw security team.
# 3 Controleer op spelfouten
Grote organisaties of bekende merken gaan zorgvuldig om met e-mail berichten. Legitieme berichten bevatten meestal geen grote spelfouten of slechte grammatica. Lees uw e-mails zorgvuldig en rapporteren alles wat verdacht lijkt.
# 4 Analyseer de aanhef
Is de e-mail gericht aan een vage ‘gewaardeerde klant?’ Als dat zo is, let dan op; legitieme bedrijven zullen vaak gebruik maken van een persoonlijke aanhef met uw voor- en achternaam.
# 5 Geef geen persoonlijke of vertrouwelijke bedrijfsinformatie
De meeste bedrijven, (met name banken), zullen nooit vragen om persoonlijke inloggegevens via e-mail. Zo zullen ook de meeste bedrijven een beleid voeren dat er op gericht is te voorkomen dat Intellectueel Eigendom (of te wel IP) naar buiten gebracht wordt. Voorkom dat je vertrouwelijke informatie per e-mail bekend maakt.
# 6 Pas op voor urgente of dreigende taal in de onderwerpregel
Het aanroepen van een gevoel van urgentie of angst is een veel voorkomende phishing tactiek. Pas op met teksten die beweren dat je “account is opgeschort” of je vragen om actie zoals een “dringende verzoek om betaling.”
# 7 Review de handtekening
Gebrek aan informatie over de afzender of hoe je contact kunt opnemen met een bedrijf wijst sterk op een phish. Legitieme bedrijven bieden altijd contactgegevens. Controleer deze.
# 8 Klik niet op bijlagen
Het gebruikmaken van kwaadaardige bijlagen die virussen en malware bevatten is een veel voorkomende phishing tactiek. Malware kan bestanden beschadigen op je computer, je wachtwoorden stelen of je zonder dat je het weet bespioneren. Open geen e-mailbijlagen je niet verwacht.
# 9 Vertrouw de koptekst in de het e-mailadres niet
Oplichters bootsen niet alleen bekende merknamen na in de display naam, maar vervangen ook namen in het onderwerp of de de kop van het e-mailadres, met inbegrip van de domeinnaam. Houd er rekening mee dat alleen maar omdat het e-mailadres van de afzender er echt uitziet (b.v. afzendernaam@yourcompany.com), het niet echt hoeft te zijn. Een bekende naam in je inbox is niet altijd wie je denkt dat het is.
# 10 Geloof niet alles wat je ziet
Phishers zijn zeer goed in wat ze doen. Veel kwaadaardige e-mails bevatten overtuigend merk logo’s, taal, en een schijnbaar geldig e-mailadres. Wees sceptisch als het gaat om je e-mailberichten – als het er ook maar enigszins verdacht uitziet, niet openen.
Let op, phishing kan ook gebeuren via de telefoon.
Je kunt een telefoontje van iemand krijgen die beweert van een bank, bedrijf of overheidsinstelling te zijn, waarbij door hen dezelfde soort valse argumenten worden geuit als in bovenstaande punten en wordt gevraagd naar uw persoonlijke gegevens.
Training
Gebruikers moeten een grondige opleiding hoe phishing pogingen en andere veiligheidsrisico’s te herkennen en om te begrijpen hoe deze zijn op te sporen. Ze moeten meer bewust en allert zijn op verdachte e-mails en hun inhoud. Het is belangrijk voldoende te investeren in de opleiding van werknemers, zodat de “menselijke” firewall ” de best mogelijke eerste lijn van verdediging kan zijn tegen de steeds meer verfijnde phishing en andere social engineering-aanvallen.
Security Awareness Training
Het snelste resultaat om phishing schade te voorkomen geeft een security awareness training, die helpt je om jouw medewerkers op te leiden en zo risicovolle activiteiten te stoppen. Als je eenmaal hebt besloten om een security awareness training voor jouw organisatie op te zetten, kun je besluiten dit in klassikale sessies, of via een online e-learning programma op te zetten. Een goed alternatief is dit via een continue learning methode te doen zoals met behulp van:
Door deze vorm van security awareness training, maak je van elke medewerker een soort van beveiliging sensor in uw organisatie. Er zijn nu dus gebruikers die een phishing-campagne kunnen herkennen en de IT security afdeling zullen waarschuwen, zodat deze kan reageren. Dit type bedreiging zou anders onder de security radar zijn gebleven.
Recente reacties