Contact Info

Mobile: +31 6 3166 3374

Web: Security Awareness App

10 stappen tegen een e-mail phishing aanval

10 stappen tegen een e-mail phishing aanval, hoe word ik geen slachtoffer.

Phishing Definitie

Phishing is de verzamelnaam voor het hengelen naar persoonlijke informatie om daarmee te frauderen. Meestal gebeurt dat via ongevraagde e-mails (spam) of door telefonisch contact waarbij criminelen zich voordoen als een betrouwbare instantie/ bank en vragen om (inlog)codes of om uw bankpas op te sturen. Met deze informatie kan fraude met internetbankieren, pinpassen, creditcards of iemands identiteit worden gepleegd.

Voor cybercriminelen is het een van de meest populaire manieren om persoonlijke informatie te stelen, namelijk met behulp van e-mail phishing-aanvallen.

Cybercriminelen maken vaak gebruik van deze methode om werknemers van grote organisaties te verleiden tot het klikken op kwaadaardige links, zodat ze toegang tot bedrijfsnetwerken die waardevolle data bevatten, kunnen krijgen. Hier zijn 10 tips hoe te voorkomen dat je slachtoffer word van e-mail phishing.

 Waarom is phishing zo succesvol?

Hoewel het succes van phishing-pogingen afhankelijk is van de goedgelovigheid van het slachtoffer, hun opleiding, en hoe de organisatie waar ze deel vanuit  maken de cybersecurity verdediging heeft opgezet, zijn er drie belangrijke redenen dat phishing vandaag de dag zo succesvol kan zijn:

  • Cybercriminelen worden steeds beter in hun vak. Het gebruik van logo’s, professioneel bewerkte berichten en personalisatie van de inhoud maakt phishing pogingen meer geloofwaardig, en potentiële slachtoffers hebben dus meer kans om te klikken op de aangeboden links en bijlagen.
  • Gebruikers delen steeds meer informatie via sociale media, waardoor cybercriminelen het materiaal ter beschikking krijgen dat ze nodig hebben om beter gepersonaliseerde en meer geloofwaardige berichten te kunnen bouwen.
  • Sommige anti-phishing oplossingen worden niet ondersteund met een voldoende robuust databank met real-time messaging intelligentie, en zo kun je dus ten prooi vallen aan de nieuwste technieken die worden gebruikt door phishers.

Phishing e-mails zijn vaak vermomd als correspondentie van een legitieme en betrouwbare organisatie, ze lokken slachtoffers om te klikken op links waarmee kwaadaardige content wordt gedownload of ze verleiden hen om gevoelige informatie op een nep-website in te voeren.

Voorbeeld phishing e-mail:

Onlangs heb ik een email ontvangen die ik graag als voorbeeld van een phishing mail wil gebruiken. Het betreft een mail van een creditcard company, waarin ter herkenning alle voorbeelden van onderstaande tips voorkomen. Zie het bijgevoegde voorbeeld:

10 stappen tegen een e-mail phishing aanval

 

10 tips om te voorkomen dat je slachtoffer wordt van een phishing aanval:

# 1 Vertrouw de Display Naam niet

Een favoriet phishing tactiek onder cybercriminelen is het om de naam van een e-mail te spoofen. Dit is  hoe het werkt: Als een oplichter het hypothetische merk “My Bank” wil imiteren, kan de e-mail er als volgt uitzien:

10 stappen tegen een e-mail phishing aanval

Omdat mijn bank het domein “secure.com” niet bezit, zal e-mail authenticatie verdediging deze e-mail namens mijn bank niet blokkeren.

Eenmaal geleverd, lijkt de e-mail legitiem, omdat de meeste inboxen van mobiele telefoons en gebruikers alleen de display naam zal presenteren. Controleer altijd het e-mailadres in de header van – als er verdacht uitziet, markeer dan  de e-mail als verdacht. Het is belangrijk op te merken dat e-mailadressen ook kunnen worden vervalst dus het is geen fool-proof indicator.

# 2 Kijk, maar klik niet

Cybercriminelen houden er van schadelijke koppelingen op te nemen in legitieme lijkende teksten. Beweeg uw muis over alle links die zijn ingebed in het body van uw e-mail. Als het link-adres er raar uitziet, klik er dan niet op. Als u enige twijfel heeft over een link, stuur de e-mail dan direct ter controle naar uw security team.

# 3 Controleer op spelfouten

Grote organisaties of bekende merken gaan zorgvuldig om met e-mail berichten. Legitieme berichten bevatten meestal geen grote spelfouten of slechte grammatica. Lees uw e-mails zorgvuldig en rapporteren alles wat verdacht lijkt.

# 4 Analyseer de aanhef

Is de e-mail gericht aan een vage ‘gewaardeerde klant?’ Als dat zo is, let dan op; legitieme bedrijven zullen vaak gebruik maken van een persoonlijke aanhef met uw voor- en achternaam.

# 5 Geef geen persoonlijke of vertrouwelijke bedrijfsinformatie

De meeste bedrijven, (met name banken),  zullen nooit vragen om persoonlijke inloggegevens via e-mail. Zo zullen ook de meeste bedrijven een beleid voeren dat er op gericht is te voorkomen dat Intellectueel Eigendom (of te wel IP) naar buiten gebracht wordt. Voorkom dat je vertrouwelijke informatie per e-mail bekend maakt.

# 6 Pas op voor urgente of dreigende taal in de onderwerpregel

Het aanroepen van een gevoel van urgentie of angst is een veel voorkomende phishing tactiek. Pas op met teksten die beweren dat je “account is opgeschort” of je vragen om actie zoals een “dringende verzoek om betaling.”

# 7 Review de handtekening

Gebrek aan informatie over de afzender of hoe je contact kunt opnemen met een bedrijf wijst sterk op een phish. Legitieme bedrijven bieden altijd contactgegevens. Controleer deze.

# 8 Klik niet op bijlagen

Het gebruikmaken van kwaadaardige bijlagen die virussen en malware bevatten is een veel voorkomende phishing tactiek. Malware kan bestanden beschadigen op je computer,  je wachtwoorden stelen of je zonder dat je het weet bespioneren. Open geen e-mailbijlagen je niet verwacht.

# 9 Vertrouw de koptekst in de het e-mailadres niet

Oplichters bootsen niet alleen bekende merknamen na in de display naam, maar vervangen ook namen in het onderwerp of de de kop van het e-mailadres, met inbegrip van de domeinnaam. Houd er rekening mee dat alleen maar omdat het e-mailadres van de afzender er echt uitziet (b.v. afzendernaam@yourcompany.com), het niet echt hoeft te zijn. Een bekende naam in je inbox is niet altijd wie je denkt dat het is.

# 10 Geloof niet alles wat je ziet

Phishers zijn zeer goed in wat ze doen. Veel kwaadaardige e-mails bevatten overtuigend merk logo’s, taal, en een schijnbaar geldig e-mailadres. Wees sceptisch als het gaat om je e-mailberichten – als het er ook maar enigszins verdacht uitziet, niet openen.

Let op, phishing kan ook gebeuren via de telefoon.

Je kunt een telefoontje van iemand krijgen die beweert van een bank, bedrijf of overheidsinstelling te zijn, waarbij door hen dezelfde soort valse argumenten worden geuit als in bovenstaande punten en wordt gevraagd naar uw persoonlijke gegevens.

Training

Gebruikers moeten een grondige opleiding hoe phishing pogingen en andere veiligheidsrisico’s te herkennen en om te begrijpen hoe deze zijn op te sporen. Ze moeten meer bewust en allert zijn op verdachte e-mails en hun inhoud. Het is belangrijk voldoende te investeren in de opleiding van werknemers, zodat de “menselijke” firewall ” de best mogelijke eerste lijn van verdediging kan zijn tegen de steeds meer verfijnde phishing en andere social engineering-aanvallen.

Security Awareness Training

Het snelste resultaat om phishing schade te voorkomen geeft een security awareness training, die helpt je om jouw medewerkers op te leiden en zo risicovolle activiteiten te stoppen. Als je eenmaal hebt besloten om een security awareness training  voor jouw organisatie op te zetten, kun je besluiten dit in klassikale sessies,  of via een online e-learning programma op te zetten. Een goed alternatief is dit via een continue learning methode te doen zoals met behulp van:

Dag van de DataprivacyDoor deze vorm van security awareness training, maak je van elke medewerker een soort van beveiliging sensor in uw organisatie. Er zijn nu dus gebruikers die een phishing-campagne kunnen herkennen en de IT security afdeling zullen waarschuwen, zodat deze kan reageren. Dit type bedreiging zou anders onder de security radar zijn gebleven.

Bronnen: Oosterman Research Inc., Proofpoint, Lifehacker.com, Fraud.org, Rapid7, ENISA, Consuwijzer.nl, veiliginternetten.nl, mediawijsheid.nl
By | april 4th, 2017|awareness, awareness training, cyber awareness, cyber security training, Geen categorie, phishing, security, Security Awareness App, security awareness training, security training|Reacties uitgeschakeld voor 10 stappen tegen een e-mail phishing aanval

About the Author:

Marco heeft een respectabele ervaring in IT, werkte meer dan 25 jaar in ERP pakket implementaties en heeft zich de laatste jaren gespecialiseerd in IT security. Hij is eigenaar van Avantess-IAM BV dat zich specialiseert in IT Security Awareness programma’s.