Phishing: een security risico dat uw volledige aandacht verdient

Phishing is een vorm van digitale oplichting waarbij cybercriminelen persoonsgegevens (zoals bank- of inloggegevens) proberen te verkrijgen. Phishing gebeurt via verschillende kanalen zoals e-mail, post, social media berichten, telefoontjes, WhatsApp en sms. Phishing kan zijn gericht op het verkrijgen van geld maar ook op het toebrengen van schade aan een organisatie. Door bijvoorbeeld via phishing inloggegevens te verkrijgen of malware te plaatsen, kan toegang worden verkregen tot de kantooromgeving. Eenmaal binnen, kunnen cybercriminelen verschillende activiteiten ontplooien. Zo kan gevoelige bedrijfsdata worden buitgemaakt en verkocht worden op het Dark Web, kan data worden versleuteld en worden teruggeven in ruil voor losgeld of kunnen urgente bedrijfsprocessen worden lamgelegd waardoor alles vastloopt. Het versturen van een goed phishingbericht is relatief simpel, de gevolgen kunnen daarentegen immens zijn.

Goede phishingberichten zijn vaak moeilijk te herkennen. Desondanks zijn er een aantal elementen waarop u kunt letten om phishing te herkennen:

• Onbekende of verdachte afzenders;
• De toevoeging van kwaadaardige bijlages (zoals zip.files);
• Het gebruik van ‘foute’ hyperlinks (deze kunnen bijv. worden gecheckt door met de muis boven de koppeling te ‘hangen’);
• Kleine afwijkingen van het origineel (zoals in het rekeningnummer, de organisatienaam of in contactgegevens);
• Taalfouten (steeds minder, maar toch nog vaak wat aanwezig) of afwijkende schrijfstijl;
• Onpersoonlijke aanschrijftitel (‘beste heer/mevrouw’, ‘beste klant’);
• Uitoefening van druk en/of urgentie (het moet nu geregeld worden, want anders…).

Tegen phishing kunt u zowel technische als organisatorische maatregelen nemen. Phishing vindt echter op zoveel manieren massaal plaats dat het voor een organisatie simpelweg niet mogelijk is om alle phishingberichten met behulp van technische maatregelen tegen te houden. In de praktijk blijkt dat voor veel organisaties winst valt te behalen door het verhogen van de awareness van medewerkers. Zorg er daarom voor dat u binnen uw organisatie:

• Regelmatig awareness sessies verzorgt waarin u uitlegt hoe phishing kan worden herkend en wat met een (potentieel) phishingbericht moet gebeuren;
• Eens in de zoveel tijd een phishingtest onder medewerkers doet om te zien hoe medewerkers hierop reageren (en of het beter wordt);
• Een duidelijk, begrijpelijk en eenvoudig vindbaar incidentenprotocol hebt zodat medewerkers weten wat ze moeten doen als ze per ongeluk toch met een phishingbericht interactie hebben gehad;
• Een veilige werkomgeving creëert zodat medewerkers zich vrij voelen om eventuele interacties met phishingberichten te melden, zonder dat ze bang zijn voor sancties of gevolgen (neemt u dit van mij aan: als het onder het tapijt wordt geschoven kunnen de gevolgen alleen maar dramatischer zijn).

Mocht u ondersteuning behoeven bij aansprakelijkheidsstellingen als gevolg van een geslaagde phishingaanval of het treffen van organisatorische maatregelen hiertegen, neem dan gerust contact op met Michelle Wijnant, Advocaat IT, Privacy & Cybersecurity.