Alles over Phishing

Phishing is een begrip dat je als ondernemer steeds vaker hoort. Het klinkt misschien als iets ingewikkelds en technisch, waardoor het verleidelijk is om het als een onderwerp voor de IT-afdeling te beschouwen. Maar in onze digitale wereld is het van groot belang dat iedereen, van de CEO tot de stagiair, begrijpt wat phishing precies inhoudt, en hoe het je bedrijf serieus kan bedreigen.

Volgens het Cybersecurity Threat Report van Symantec uit 2022, is phishing een vorm van cybercriminaliteit waarbij fraudeurs proberen persoonlijke gegevens zoals wachtwoorden, creditcardnummers of bedrijfsgeheimen te stelen. Ze doen dit door zich voor te doen als vertrouwde instanties en mensen te misleiden om vertrouwelijke informatie te verstrekken, meestal via e-mails of nepwebsites. Uit hetzelfde rapport blijkt dat 1 op de 4.200 e-mails een phishing-poging is. Deze dreiging geldt voor zowel grote multinationals als mkb-bedrijven. In dit blog gaan we dieper in op wat phishing precies is, hoe je het kunt herkennen en – nog belangrijker – hoe je je bedrijf kunt beschermen tegen deze groeiende bedreiging.

Wat is phishing?

Phishing is een vorm van internetfraude waarbij mensen met slechte bedoelingen proberen jouw persoonlijke of zakelijke informatie te stelen. Ze doen dit door zich voor te doen als iemand die je vertrouwt. Ze willen bijvoorbeeld je gebruikersnaam, wachtwoord of creditcard-informatie bemachtigen. Hun berichten of websites lijken daarom vaak op die van betrouwbare organisaties, zoals je bank of je internetprovider. Volgens gegevens van de Anti-Phishing Working Group (APWG) zijn in de eerste helft van 2023 alleen al meer dan 1,4 miljoen unieke phishing websites gemeld.

De methoden die deze internetcriminelen gebruiken zijn verschillend en veranderen voortdurend. Alle manieren hebben echter één ding gemeen: ze proberen je vertrouwen te misbruiken. Een bekend voorbeeld van een phishing poging is een nep-e-mail die op een e-mail van je bank lijkt. In deze e-mail wordt jou gevraagd op een link te klikken en je inloggegevens te bevestigen. Als je dit doet, kom je op een nep-website terecht. De fraudeurs kunnen dan je inloggegevens stelen. Met deze gegevens kunnen ze bij je bankrekening en je geld komen. In 2023 verloor gemiddeld 70% van de door phishing getroffen organisaties geld, volgens een rapport van het Internet Crime Complaint Center (IC3).

Waarom is kennis van phishing belangrijk?

Het is heel belangrijk dat je phishing leert herkennen. Phishing kan namelijk grote problemen veroorzaken voor de veiligheid van je bedrijf en voor het veilig doen van betalingen. In 2023 was er door phishing zelfs voor meer dan $ 4,2 miljard schade. Dat staat in een rapport van het Internet Crime Complaint Center van de FBI. Vooral kleine en middelgrote bedrijven waren vaak het slachtoffer. Als een phishing aanval lukt, kan dat leiden tot diefstal van persoonlijke gegevens, verlies van data, problemen bij je bedrijfsvoering en schade aan je goede naam. Dat kan ervoor zorgen dat je klanten en zakelijke kansen verliest. Daarom is het heel belangrijk dat jij, als ondernemer, leert hoe je phishing herkent en voorkomt.

Hoe werkt phishing?

Phishing is een truc waarbij mensen worden misleid om vertrouwelijke informatie te delen, zoals wachtwoorden, creditcardnummers en andere belangrijke gegevens. De mensen die dit doen, doen net alsof ze iemand zijn die je kunt vertrouwen. Ze proberen je bijvoorbeeld te misleiden via e-mail, berichten op sociale media of telefoontjes. Er zijn verschillende manieren waarop ze dit proberen te doen. De meest voorkomende technieken zijn:

  1. E-mail Phishing: dit is de meest voorkomende vorm van phishing. Je ontvangt een e-mail die afkomstig lijkt te zijn van een legitieme organisatie, bijvoorbeeld je bank, een overheidsinstantie of een bekend bedrijf. De e-mail bevat meestal een link naar een valse website waar je wordt gevraagd om je inloggegevens of andere persoonlijke informatie in te voeren.
  1. Spear Phishing: dit is een meer gerichte vorm van phishing, waarbij de aanvaller persoonlijke informatie over jou heeft verzameld op bijvoorbeeld social media. Met die informatie maken ze een bericht dat heel geloofwaardig lijkt. Ze gebruiken bijvoorbeeld je naam, je functie en andere persoonlijke gegevens in de e-mail. Zo lijkt het net alsof het bericht echt voor jou bedoeld is.
  1. Smishing en Vishing: dit zijn vormen van phishing die via SMS (smishing) of telefonische oproepen (vishing) worden uitgevoerd. Net zoals bij phishing via e-mail, doet de fraudeur alsof hij van een betrouwbare organisatie is. Hij probeert je dan te overtuigen om persoonlijke informatie of bedrijfsgeheimen te delen.
  1. Pharming: dit is een ingewikkeldere manier van phishing. Bij pharming word je naar nep-websites gestuurd, zelfs als je het juiste internetadres intypt. De fraudeurs doen dit door de DNS-instellingen van je computer te manipuleren.

Hoe kan phishing jouw bedrijf schaden?

Phishing kan veel problemen veroorzaken voor je bedrijf. Als een phishing aanval lukt, kan dit leiden tot financieel verlies, bijvoorbeeld door ongeautoriseerde transacties, diefstal van klantgegevens of bedrijfsinformatie. Het kan ook leiden tot identiteitsdiefstal, die je bedrijfsreputatie kan schaden en het vertrouwen van klanten kan ondermijnen. Bovendien kan je door phishing in de problemen komen met de wet, als gevolg van het niet naleven van bepaalde privacywetten. Ten slotte kan het herstellen van de schade veroorzaakt door phishing kostbaar zijn en veel tijd in beslag nemen, wat je bedrijfsactiviteiten kan verstoren.

Hoe herken je een phishing poging?

Het is soms moeilijk om een phishing poging te herkennen, vooral omdat de fraudeurs steeds beter worden in hun technieken. Toch zijn er een aantal dingen waarop je kunt letten om een phishing poging te herkennen:

  1. Vreemde afzender: de e-mail of het bericht is afkomstig van een afzender die je niet kent, of lijkt te komen van een bekende organisatie of persoon, maar met een vreemd of incorrect e-mailadres.
  1. Dringende toon: veel phishing berichten hebben een dringende toon, ze waarschuwen dat je account zal worden gesloten, dat er verdachte activiteiten zijn gesignaleerd, of ze vragen je om onmiddellijk actie te ondernemen.
  1. Links naar valse websites: de berichten bevatten vaak links naar valse websites. Deze websites lijken vaak op de legitieme website van een organisatie, maar hebben subtiele verschillen, zoals spelfouten of vreemde URL’s. Controleer waar een link naartoe gaat door met je muis over de link te bewegen.
  1. Verzoek om persoonlijke informatie: een van de duidelijkste tekenen van een phishing poging is een verzoek om persoonlijke informatie. Legitieme organisaties vragen je niet om gevoelige informatie zoals je wachtwoord, creditcardnummer of bsn via e-mail of sms te verstrekken.
  1. Spelfouten of grammaticale fouten: veel phishing berichten bevatten spelfouten of grammaticale fouten. Hoewel sommige phishing pogingen zeer professioneel kunnen lijken, zijn veel andere haastig samengesteld of automatisch vertaald, en niet goed nagelezen.

Wat moet je doen als je het slachtoffer bent van phishing?

Als je denkt dat je het slachtoffer bent geworden van een phishing poging, volg dan deze stappen om de schade te beperken en jezelf en je bedrijf te beschermen:

  1. Wijzig je wachtwoorden: als je denkt dat iemand misschien je inloggegevens heeft, moet je meteen je wachtwoorden veranderen. Begin met de accounts waarvan je denkt dat ze in gevaar zijn. Maar het is ook slim om de wachtwoorden van je andere accounts te veranderen. Dit is vooral belangrijk als je voor verschillende accounts hetzelfde wachtwoord of dezelfde beveiligingsvragen gebruikt.
  1. Contacteer je bank of creditcardmaatschappij: als je denkt dat iemand misschien je financiële gegevens heeft gestolen, moet je meteen bellen met je bank of het bedrijf van je creditcard. Zij kunnen je helpen om je accounts te beschermen en om te zorgen dat je niet hoeft te betalen voor dingen die je niet zelf hebt gekocht.
  1. Scan je computer op malware: met phishing aanvallen kunnen fraudeurs ook kwaadaardige software of virussen op je computer zetten. Gebruik een goed antivirusprogramma om je computer te controleren en om gevaren te vermijden.
  1. Meld de phishing poging: het melden van de phishing poging helpt om anderen te beschermen. Waarschuw in elk geval de organisatie uit wiens naam je de mail of het bericht krijgt. Daarnaast kun je de phishing poging melden bij de Fraudehelpdesk.
  1. Houd je accounts in de gaten: houd je bankrekeningen, creditcard-overzichten en andere belangrijke accounts in de gaten voor ongebruikelijke activiteiten.
  1. Train je team: als je ondernemer bent, is het belangrijk om ervoor te zorgen dat je team weet wat phishing is en hoe ze het kunnen herkennen. Zo kunnen jullie samen voorkomen dat jullie in de toekomst slachtoffer worden van dit soort aanvallen.

5 tips om je bedrijf te beschermen tegen phishing

Het beschermen van je bedrijf tegen phishing, kan een hoop problemen en zorgen voorkomen. Hieronder lees je vijf tips om je te helpen phishing te voorkomen:

  1. Leer je team over phishing: zorg dat iedereen in je team begrijpt wat phishing inhoudt, hoe ze het kunnen herkennen en wat ze moeten doen als ze een verdacht bericht of e-mail krijgen. Het is erg nuttig om regelmatig trainingen te geven en updates te delen.
  1. Gebruik sterke en unieke wachtwoorden: geef elk account een sterk, uniek wachtwoord. Dit maakt het minder waarschijnlijk dat, als één account gevaar loopt, andere accounts ook risico lopen. Overweeg het gebruik van een wachtwoordmanager om dit gemakkelijker te maken.
  1. Installeer betrouwbare beveiligingssoftware: goede beveiligingssoftware beschermt je tegen pogingen tot phishing en andere online bedreigingen. Zorg dat deze software altijd up-to-date is.
  1. Wees voorzichtig met links en bijlagen: klik niet zomaar op elke link of open niet zomaar elke bijlage in e-mails, vooral als de e-mail van iemand is die je niet kent. Dit is een veelgebruikte manier voor phishers om persoonlijke informatie te stelen of schadelijke software te verspreiden.
  1. Activeer tweestapsverificatie (2FA): hiermee voeg je een extra beveiligingslaag toe aan je accounts. Zelfs als een phisher je wachtwoord te pakken krijgt, kunnen ze zonder de tweede stap (bijvoorbeeld een code die naar je telefoon wordt gestuurd) niet inloggen.

Conclusie

Phishing is een groeiende dreiging in onze steeds meer gedigitaliseerde wereld. Of je nu een grote of kleine ondernemer bent, het is van groot belang om phishing te herkennen en te voorkomen om zo de veiligheid van je bedrijf te waarborgen. Dit gaat verder dan alleen het beschermen van bedrijfsgegevens en financiële middelen. Het gaat ook om het vertrouwen van je klanten en het naleven van de wet. Door alert te zijn, veiligheidsmaatregelen te nemen en je team goed te trainen, kun je de risico’s van phishing verminderen.

Het is belangrijk om te onthouden dat de technieken die fraudeurs gebruiken steeds veranderen. Daarom moet ook de manier waarop je deze aanvallen tegengaat zich blijven ontwikkelen. Zorg dat je op de hoogte blijft van de nieuwste methodes van phishing en de beste manieren om deze aanvallen te voorkomen. Een sterke verdediging tegen phishing gaat niet alleen over technologie, maar ook over bewustzijn en het trainen van je team. Met de juiste kennis en tools kun je jezelf en je bedrijf goed beschermen tegen deze digitale bedreiging.


Dit blog is geschreven door:

Ashley Fokker-Grimmelikhuijsen

Ashley is projectmanager en security consultant bij Secura. Ze heeft jarenlange ervaring met het ontwikkelen van e-learning en begeleidt klanten bij hun security awareness campagnes.

Deel via: