Wist u dat meer dan 90% van alle succesvolle hacks en datalekken beginnen met phishing? Weet u eigenlijk wel wat phishing is en hoe u uw bedrijf ertegen kan beschermen?
Phishing is een poging van cybercriminelen om gebruikers te verleiden een bepaalde actie uit te voeren, zoals het klikken op een koppeling, het invoeren van gegevens, het openen van een bijlage of zelfs het aanbrengen van wijzigingen in het proces van een bedrijf. Deze phishing-praktijken worden meestal verstopt in schadelijke e-mails, maar kunnen ook andere vormen aannemen. Ze kunnen resulteren in ransomware, de installatie van kwaadaardige software (virussen, trojaanse paarden, wormen), gestolen referenties, de diefstal van geld, gegevensverlies of zelfs identiteitsdiefstal. Phishers maken gebruik van ‘gewone’ menselijke trekjes, zoals het vertrouwen in mensen die je kent, om je over te halen iets te doen wat je normaal niet zou doen.
Zorg voor een adequate verdediging
Als een ‘phish’ is bedoeld om u te misleiden, hoe kunt u uw medewerkers er dan tegen beschermen? Omdat phishers continu hun tactieken veranderen om mensen te misleiden, is het belangrijker dan ooit om u en uw bedrijf voor te bereiden op een zogenaamde phishing-aanval, zodat u phishers altijd een stap voor kan blijven.
U kunt zich voorbereiden door uw technische beveiliging te verbeteren en uw medewerkers te zien als een verlengstuk van uw IT-beveiligingsteam. Goede spamfilters, een veilige e-mailgateway en het gebruik van standaard e-mailverificatieprotocollen (zoals DMARC, DKIM of SPF) en andere technologieën zijn allemaal essentieel om phishing tegen te houden. Maar het is nog steeds onvermijdelijk dat uw medewerkers uiteindelijk met phishing te maken krijgen. En er is maar één klik van één persoon nodig om mogelijk een ravage aan te richten die uw IT-beveiligingsteams dwingt overuren te maken.
Zou u niet liever hebben dat uw medewerkers voorbereid zijn om een phishing-e-mail te herkennen en te melden in plaats van erop te klikken? Ik in ieder geval wel. Daarom geef ik prioriteit aan voortdurende training in beveiligingsbewustzijn. Train uw medewerkers over wat phishing is en hoe zij het kunnen herkennen. Moedig ze aan om verdachte e-mails aan uw IT-beveiligingsteam te melden, en zorg tegelijkertijd voor een eenvoudige manier om dit te rapporteren. Laat phishing of beveiliging geen onderwerp van één keer per jaar worden, maar houd het gesprek gaande.
Anatomie van een phishing-aanval
Zodra u zich hebt voorgenomen uw medewerkers voor te bereiden, moet u begrijpen tegen wie u het opneemt. Hoe werkt phishing en waar zijn phishers op uit?
Het concept achter phishing is eenvoudig en niet nieuw. Heeft u weleens een telefoontje ontvangen met de boodschap dat u een prijs heeft gewonnen, maar waarvan u zich niet kan herinneren dat u überhaupt aan een prijsvraag heeft meegedaan? Mensen geven in zo’n geval vaak binnen no-time, en mede gedreven door het eureka-moment en het ontstane enthousiasme, de beller allerlei persoonlijke informatie om de prijs in ontvangst te kunnen nemen. Hetzelfde gebeurt met phishing, maar dan meestal via e-mail of een ander digitaal communicatiekanaal.
Een phisher stuurt bijvoorbeeld een e-mail naar een ontvanger. In deze e-mail zitten bepaalde lokmiddelen verstopt om de ontvanger ervan te overtuigen de gevraagde actie uit te voeren. De e-mails bevatten meestal hyperlinks of bijlagen, maar niet altijd. Hyperlinks verwijzen meestal naar valse websites die om bepaalde informatie vragen; sommige kunnen zich zelfs voordoen als legitieme bedrijven. Bijlagen bevatten meestal een soort schadelijke code om de computer of het netwerk van de ontvanger te infecteren. E-mails die geen van beide bevatten, vragen de ontvanger meestal om te reageren op de e-mail of een nummer te bellen om informatie te delen die de afzender nodig heeft.
Als de ontvanger in de ‘scam’ trapt, beseft hij dat vaak niet. Hij denkt dat het legitiem was en dat er misschien zelfs iets positiefs gebeurt. Maar de phisher heeft inmiddels de informatie ontvangen, geld gestolen en misschien ook de computer geïnfecteerd.
Lees meer over phishing, de verschillende typen aanvallen, en hoe u zich er tegen kunt beschermen in het uitgebreide artikel van Veeam, koploper op het gebied van back-upoplossingen.
Auteur: Gil Vega, Chief Information Security Officer en Senior Vice President for Global Information Security bij Veeam Software.
Lees ook:
- Ransomware in 2021: een terugblik
- Ransomware in 2022: de benodigdheden voor snel en betrouwbaar dataherstel
