Wat Is Phishing? De Grootste Digitale Dreiging

Mikael Korsholm Poulsen
By: Mikael Korsholm Poulsen Cybersecurity | 2 december

Phishing wordt momenteel gezien als de grootste bedreiging voor de cybersecurity van organisaties. Deze blogpost zal je helpen begrijpen wat phishing is en hoe je je medewerkers kan trainen, zodat ze niet in de val worden gelokt bij een phishingpoging.

Phishing, smishing, spear phishing – wat is het verschil?

Phishing is het versturen van valse e-mails, met de bedoeling jou in de val te lokken zodat je per ongeluk persoonlijke informatie weggeeft. Dit kan ook gebeuren via sms, wat dan “smishing” wordt genoemd. Er is ook de term “spear phishing”, waarbij de phishingpoging doelgericht is op specifieke personen of organisaties. De Phisher probeert iemand specifiek te “speren”.

Valse e-mails en sms’jes komen in veel verschillende vormen en hebben in de loop der jaren een drastische evolutie doorgemaakt.

Valse e-mails worden steeds moeilijker te herkennen

In de afgelopen 10 jaar is phishing uitgegroeid van een val waar alleen de meest onoplettende personen in zijn gelopen tot een uitdaging waarmee elk bedrijf wordt geconfronteerd. In het begin was phishing vooral mass produced e-mails vol met spelfouten. De meesten onder ons herinneren zich nog wel dat ze e-mails ontvingen van “Nigeriaanse prinsen” die ons grote sommen geld aanboden, in ruil voor onze hulp bij het verplaatsen van hun goud. Ze waren gemakkelijk te herkennen.

Vandaag de dag zijn phishing-e-mails op maat gemaakt om jouw specifieke medewerkers voor de gek te houden. Zo kwamen sommige van deze op maat gemaakte e-mails aan het licht tijdens de COVID-19 pandemie, waarbij criminelen zich voordeden als de overheid en de politie.

Slechts één fout door één medewerker is genoeg

Om je bedrijf te beschermen, is het natuurlijk belangrijk om de technische aspecten van IT-beveiliging onder de knie te krijgen, aangezien dit helpt bij het identificeren en blokkeren van de meeste kwaadaardige e-mails. Maar net zo belangrijk is dat je medewerkers getraind zijn om de phishing-e-mails die de filter omzeilen aan te pakken.

Als zelfs maar één medewerker in de val loopt, dan loopt je hele organisatie gevaar. Medewerkers vormen dus vrijwel het grootste risico op veiligheidsinbreuken. Daartegenover kunnen bewuste medewerkers een van de sterkste onderdelen van een goede cybersecurity uitmaken.

Let vooral op phishing gericht op persoonlijke informatie

De Algemene Verordening Persoonsgegevens (AVG) richt zich op inbreuken op de IT-beveiliging, vooral wanneer een inbreuk gepaard gaat met het lekken van persoonsgegevens.

Dit betekent dat een phishingaanval niet alleen een kwestie van cybersecurity is, maar ook een kwestie van AVG. In dat geval leidt een aanval tot het verlies van gegevens, van bijvoorbeeld klanten of medewerkers.

Smart CTA_e-book NL

Voortdurende training kan plaatsvinden door middel van opleidingen of phishingcampagnes

Om je medewerkers sterk te maken in cybersecurity, is het belangrijk om hen te trainen/voor te bereiden. De training moet continu zijn, omdat de dreigingen voortdurend evolueren.

Het trainen van medewerkers kan op meerdere manieren gebeuren. Je kan awareness training organiseren, waarbij je je medewerkers leert hoe ze phishing-e-mails kunnen herkennen en behandelen. Hetzij via digitale e-learning, hetzij via fysiek onderwijs, hetzij via een mix van beide vormen.

Een andere optie is het opzetten van phishingsimulaties, waarbij je doelbewust valse e-mails naar je medewerkers stuurt. Op deze manier kunnen de medewerkers hun vaardigheden oefenen in het spotten van valse e-mails. Dit maakt het voor jou ook mogelijk om strategieën te creëren over hoe je organisatie moet reageren, wanneer een phishingpoging wordt opgemerkt. Met wie moet je contact opnemen en hoe kun je andere medewerkers waarschuwen? Het is bijvoorbeeld belangrijk dat de medewerker de e-mail niet zomaar verwijdert zonder zijn of haar collega’s te waarschuwen. Een sterke verdediging wordt opgebouwd door het creëren van strategieën. Je kunt phishingsimulaties bekijken als kleine brandoefeningen.

Awareness training en simulaties kunnen natuurlijk worden gecombineerd, wat in veel opzichten ideaal is. Het is een kans om theorie en praktijk met elkaar te vermengen – zoals bij het behalen van je rijbewijs. Weten hoe een phishingmail eruitziet maakt namelijk geen enkel verschil als je er in je dagelijks werk niet bewust de nodige aandacht aan besteed.

3 vuistregels voor je medewerkers

Iedereen moet natuurlijk ergens beginnen en het is moeilijk om in één keer een sterke menselijke cyberverdediging op te zetten. Een makkelijke plek om te beginnen is het meegeven van de drie onderstaande vuistregels aan je medewerkers. Als ze deze altijd in hun achterhoofd houden bij het lezen van e-mails, verklein je de kans dat iemand op kwaadaardige links in een phishing-e-mail klikt.

  • Wees voorzichtig met het openen van bijlagen.

  • Klik pas op links in e-mails als je zeker weet van wie het komt en waarom je het hebt ontvangen.

  • Stuur gevoelige informatie nooit via e-mail.

Het is goed om vuistregels te hebben. Maar een bedreiging zo groot als phishing vereist doorlopende trainingen in de vorm van onderwijs, simulaties, of andere manieren. Het is belangrijk dat je dit gevaar niet negeert.

De kennis en zorgvuldigheid van medewerkers zijn van cruciaal belang voor je IT-beveiliging.

Dit kan bijvoorbeeld, zoals vermeld in deze blogpost, door middel van het opzetten van een awareness training, die medewerkers specifieke zaken op het gebied van IT-beveiliging bijbrengt. Het kan ook door middel van praktische training, waarbij je je medewerkers kunt testen door middel van gesimuleerde phishing-aanvallen.