Het lijkt steeds vaker te gebeuren: overtuigende mailtjes die lijken te komen van een collega met daarin de vraag om financiële informatie of acties. Het is een van de meest gebruikte vormen van internetfraude, namelijk phishing. Of in dit geval nog specifieker: spear phishing. Naar onze ervaring neemt phishing vooral bij bedrijven enorm toe en sommige MKB’s ontvangen dagelijks dit soort berichten. Daarom deze week een blog over internetfraude en hoe wij jouw medewerkers kunnen trainen er niet in te trappen!
Wat is phishing?
De term phishing komt letterlijk van het “hengelen” of “vissen” naar informatie en is een digitale vorm van fraude of oplichting. De meest traditionele vorm is het versturen van een e-mail met daarin een link die je leidt naar een kopie van een website die vraagt om (financiële) informatie te geven. Wanneer jij op deze namaak websites inlogt verzamelen fraudeurs jouw inloggegevens om deze direct te misbruiken.
Een vorm die steeds vaker wordt ingezet, vooral in het bedrijfsleven, is spear phishing. Hierbij wordt gebruik gemaakt van persoonlijke informatie (die vaak openbaar beschikbaar is) om het potentiële slachtoffer te laten geloven dat de communicatie vanuit die persoon komt. Bij deze vorm, maar ook bij traditionele phishing wordt vaak gebruik gemaakt van “url-spoofing”. Dit is het nabootsen van de url van de persoon van waaruit zogenaamd wordt gemaild. Dit maakt phishing pogingen tegenwoordig nóg geloofwaardiger.
Bij spear phishing bij bedrijven wordt vaak informatie van de CEO gebruikt om medewerkers te overtuigen bijvoorbeeld geld over te maken. Deze vorm van spear phishing heet ook wel CEO fraude of Whaling.
Wat kun je als bedrijf doen tegen phishing?
Helaas is de tijd voorbij dat een phishing mail niet te missen was. Vroeger stonden ze namelijk vol spel- en taalfouten en lelijke afbeeldingen of logo’s. Tegenwoordig zijn de mails professioneel en vaak relevant voor de ontvanger. Het minimale wat je kunt doen is een goed spam-filter instellen. De meeste populaire mailproviders bieden dit standaard al aan.
Naast deze technische maatregel is het enorm belangrijk om je personeel bewust te maken van de gevaren van phishing en herhaaldelijk moet trainen internetfraude te herkennen. Dit kan door middel van een goed on-boardingsproces, trainingen en steekproefsgewijze tests. Zo heeft PIT Pro slimme tools om personeel te trainen en periodiek een experiment uit te voeren waarbij personeel een phishing mail vanuit ons ontvangt. Aan de hand van de resultaten kunnen we vervolgens vervolgstappen bepalen. Geïnteresseerd? Maak hier een afspraak!
Hoe herken je een phishing bericht?
Er zijn een aantal dingen die je kunt doen om een phishing bericht snel te herkennen:
- Check het e-mailadres van waaruit gemaild wordt. Druk hiervoor op de afzender, zo verschijnen de volledige contactgegevens in plaats van alleen de weergave naam.
- Bekijk waar een link écht naar toe leidt. Houd je muis boven de link zonder te klikken. De werkelijke link verschijnt in een boxje.
- Vreemde bijlagen? Nooit openen. Contacteer eerst de persoon van waaruit de bijlage verzonden is. Herkent diegene de mail niet? Gooi hem dan weg.
- Ten slotte zijn er nog een aantal content gerelateerde aanwijzingen voor phishing mail, denk aan: taalfouten, geen aanhef of gewoonweg foute informatie.
Wat doen als je toch slachtoffer bent geworden van phishing?
Is het helaas toch gebeurt dat je slachtoffer bent geworden van phishing? Voer dan de volgende zaken uit:
- Stel je bank of het bedrijf dat werd gebruikt in de mail op de hoogte van de phishing.
- Wijzig de codes van je online bankaccount en vraag je bank de rekening te blokkeren.
- Sla alle informatie over de phishing actie op zodat je deze als bewijs kunt overdragen.
- Doe vervolgens aangifte bij de politie.
Phishing is helaas gewoonweg niet meer tegen te gaan en we moeten er (voorlopig) dan ook mee leren leven. Zorg er dus voor dat je personeel goed ingelicht en getraind is, en zorg bij verdachte activiteiten dat je dubbelcheckt bij de afzender of het bericht écht van hem of haar komt!
Meer weten over wat PIT Pro kan betekenen bij phishing preventie, training en bewustwording? Laat het ons weten via het contactformulier of bel naar 020-2611450.