Hoe phishing-bewust is uw organisatie

Opinie

Hoe phishing-bewust is uw organisatie?

Voorheen was phishing makkelijk te herkennen: met een e-mail vol spelfouten werd geprobeerd geld uit uw zak te kloppen. Inmiddels is dat moeilijker. Spam wordt steeds meer gericht op een specifieke groep, zoals klanten van een bepaalde bank en criminelen gaan vervolgens geraffineerd te werk. Websites van banken worden compleet nagemaakt, één op één, met alle logo’s en in perfect Nederlands compleet met bereikbare helpdesk.

Hugo van den Toorn - 10 oktober 2016

Psychologie achter phishing technieken

Phishers zijn dus proactiever geworden. Een bekend verhaal is dat van de zogenaamde Microsoft-medewerkers die bellen en vragen of je een programmaatje wilt installeren om de beveiliging van je computer te testen, waarmee je eigenlijk malware installeert. Dat is in essentie een klassieke babbeltruc, waarbij listig gebruik gemaakt wordt van de waarschuwingen die mensen krijgen tégen phishing. Zo komen we in het sfeer van de social engineering, de kunst van het “hacken” van de mens. Deloitte deed onderzoek naar de psychologie achter bepaalde phishing-technieken. Hieruit bleek dat een beetje psychologische druk het beste werkt, met dingen als “klik nu, zoveel mensen gingen u voor” en “vul deze enquête in, daarmee helpt u uw collega’s”.


Whaling richt zich op bestuurders

Wat ook vaker voorkomt: whaling, een vrij specifieke vorm van spearphishing, die zich op bestuurders van bedrijven richt met als doel bijvoorbeeld grote betalingen te autoriseren. Hierbij verzamelen criminelen eerst informatie over het doelwit - bijvoorbeeld via sociale media – zodat ze met een geloofwaardig scenario aan kunnen komen. Hoe groot het probleem is, is moeilijk te zeggen; deze zaken komen zelden in de openbaarheid omdat bedrijven zich zorgen maken om hun imago. En mensen schamen zich nou eenmaal, als ze zich hebben laten oplichten.


Phishing mails glippen door spamfilter

Naast biologielessen zouden scholieren les moeten krijgen in cyber-hygiëne, als vast onderdeel in het onderwijscurriculum. Wat kun je wel en wat niet veilig op sociale media zetten? Hoe herken je phishing-mails? Een goed geconfigureerde firewall en spamfilter zijn niet voldoende; doordat de mails zo echt lijken, glippen ze er gewoon doorheen. Het komt op de mens zelf aan. De enige manier om te voorkomen dat je slachtoffer wordt, is jezelf bij elk mailtje, telefoontje of appje afvragen: klopt dit wel, dit verhaal, dit verzoek? Vragen ze om persoonlijke informatie, rekening- en creditcardnummers, of zelfs een kopie van je paspoort, denk dan: “Het bedrijf wéét dit al van mij, waarom zouden ze het nog eens vragen?”


Bewustzijn binnen organisaties

Ook binnen organisaties is phishing een probleem en is bewustwording bij medewerkers belangrijk. Dit kan getraind worden door fictieve phishing-mails naar de werknemers van een bedrijf te sturen. Nadien wordt er gemeten hoe die daarmee om zijn gegaan. Daarop volgt een awareness-traject, waarin beloning centraal staat: geef de eerste tien rapporteurs van een phishing-mail maar een beloning om bewustwording op een positieve manier te stimuleren.


Hoe phishing-bewust bent u? 

De phishing mails zijn steeds minder makkelijk te onderscheppen. Middels deze test kunt u checken hoe het met uw phishing kennis gesteld is.  

Test uw phishing-bewustzijn

Deze week staat in het teken van Alert Online. Dit jaar loopt de campagne van 3 tot en met 14 oktober 2016 met als thema ‘Cyber Skills’. Met deze campagne wordt twee weken per jaar aandacht voor cybersecurity en cybersecure gedrag gevraagd om Nederland bewuster en veiliger online te laten zijn. Overheid, bedrijfsleven en wetenschap doen mee door eigen activiteiten te organiseren. Ook Deloitte levert een bijdrage hieraan door de sponsorship van Holland Strikes Back waar Roel van Rijsewijk over Cyber Risico als kans sprak. Daarnaast helpt Deloitte de Nederlandse Vereniging van Ziekenhuizen met hun campagne rondom informatiebeveiliging. Meer hierover volgt binnenkort.

Meer weten over Phishing?

Wilt u meer weten over phishing of whaling? Neem dan contact op met Hugo van den Toorn via +31 (0)88 288 62 38.

Vond u dit nuttig?

Gerelateerde onderwerpen