Vrijwel ieder bedrijf gebruikt e-mail, zowel voor de interne als externe communicatie. Maar ook cybercriminelen zijn gek op e-mail. Het is namelijk de ideale aanvalsvector voor phishing. Hoe maak je een organisatie weerbaar tegen deze hardnekkige digitale plaag?
Bij phishing denken veel mensen nog steeds aan doorzichtige pogingen tot oplichting. Een Nigeriaanse prins in nood die vraagt of je even gauw een paar duizend euro wil overmaken. Dramatisch slecht vertaalde e-mails die nauwelijks leesbaar zijn. Wie trapt daar nou in? De realiteit is echter dat cybercriminelen tegenwoordig zeer geraffineerd te werk gaan. Ze bereiden hun phishingaanvallen tot in de puntjes voor en stellen e-mails op die nauwelijks van echt te onderscheiden zijn.
Eén moment van onoplettendheid kan genoeg zijn. Vraag dat maar aan Waltar Stephan. De voormalig ceo van FACC, een fabrikant van vliegtuigonderdelen, werd in mei 2016 na een dienstverband van 17 jaar ontslagen nadat hij in een phishingaanval was getuind. Cybercriminelen deden zich per e-mail voor als een hooggeplaatste collega en verzochten Stephan om in het geheim een bedrag van ruim 56 miljoen dollar over te maken. Het geld werd vervolgens weggesluisd via bankrekeningen in Slowakije en Azië.
Deze kostbare fout van Stephan is slechts een van de vele incidenten in de laatste jaren. Phishing is zonder twijfel de grootste dreiging via e-mail. Het goede nieuws is dat organisaties met enkele relatief eenvoudige maatregelen de risico’s drastisch kunnen beperken. Deze tips zijn een goed startpunt:
1. Onderschat phishingaanvallen niet
Wees je goed doordrongen van de potentiële gevolgen van een succesvolle aanval. Uit onderzoek van Mimecast en Vanson Bourne blijkt dat 20 procent van de organisaties in het afgelopen jaar financiële schade heeft geleden door een impersonatieaanval. Hierbij doen cybercriminelen zich voor als een andere, betrouwbare partij om bijvoorbeeld geld of waardevolle data los te peuteren.
Het is ook zeker niet zo dat de dreiging van phishing afneemt. Volgens ruim de helft van de Nederlandse organisaties is het aantal phishingaanvallen in de afgelopen 12 maanden zelfs toegenomen.
2. Verdiep je in de trucs van cybercriminelen
Aanvallers passen allerlei trucjes toe om hun doelwit te misleiden. Een daarvan is spoofing. Hierbij imiteren ze een legitieme URL door een teken te vervangen door iets wat er sterk op lijkt. Een gebruiker denkt dus op een betrouwbare site te komen, maar in werkelijkheid is het een nagemaakte website waar bijvoorbeeld om inloggegevens wordt gevraagd.
Een voorbeeld: de URL www.verkoopjeauto.nl bevat de letter a. Dit teken is met het blote oog niet te onderscheiden van het cyrillische teken Š°. Als jij een e-mail ontvangt met daarin de link www.verkoopjeŠ°uto.nl, gaan er waarschijnlijk geen alarmbellen rinkelen.
3. Wees extra alert tijdens evenementen
We zien steeds vaker dat cybercriminelen handig inspelen op grote evenementen, zoals de Olympische Spelen of het WK voetbal dat deze zomer plaatsvond in Rusland. Tijdens het WK kregen nietsvermoedende voetballiefhebbers bijvoorbeeld een e-mail waarin een wedstrijdschema of gratis Adidas-schoenen werden aangeboden – via een malafide link. Enthousiasme maakt minder waakzaam.
De Adidas-aanval was gericht op klanten van de kledingfabrikant. Bij deze campagne werd overigens ook gebruikmaakt van spoofing: de i in Adidas werd in de URL vervangen door een verticaal teken.
4. Train je werknemers continu
Cybercriminelen weten dat mensen eenvoudig te manipuleren zijn. Ze sturen bijvoorbeeld een factuur van een leverancier met het verzoek om snel te betalen. Zo creëren ze een gevoel van urgentie. Ongetrainde werknemers vormen een makkelijke prooi. Ruim de helft van de organisaties biedt slechts eens per kwartaal of jaarlijks een securitytraining aan. Dat terwijl training een continu proces moet zijn.
Zorg in ieder geval dat werknemers de basis beheersen. Open geen verdachte bijlages, dubbelklik niet zomaar op links en blijf altijd kritisch. Wat moet de bank met jouw inloggegevens? En schakel bij twijfel altijd de IT-afdeling in. Dat kan veel ellende voorkomen.
5. Bouw aan bewustwording van bovenaf
De strijd tegen phishing moet ook in de bestuurskamer prioriteit krijgen. C-level managers zijn namelijk een aantrekkelijk doelwit. Het onderzoek van Mimecast en Vanson Bourne laat echter zien dat het geregeld misgaat bij de directie. Zo geeft 20 procent van de Nederlandse organisaties aan dat C-level managers gevoelige data hebben verstuurd in reactie op een phishingaanval.
Securitytrainingen voor het personeel schieten hun doel voorbij als de directeur zelf kwetsbaar is voor phishing. Het management moet deze dreiging serieus nemen en zelf het juiste voorbeeld geven.
6. Investeer in dedicated e-mailbeveiliging
Zelfs een goed getrainde medewerker kan een foutje maken. Technische maatregelen zijn dan ook een onmisbaar onderdeel van een solide verdediging tegen phishing. Speciale e-mailbeveiligingssoftware kan allerlei typen phishingaanvallen detecteren. Zo’n oplossing scant binnenkomende e-mail en blokkeert bijvoorbeeld verdachte URL’s voordat gebruikers erop kunnen klikken.
Phishing is een groot probleem, maar geen onoverkomelijke uitdaging. Met de juiste mix van kennis, alertheid en technologie maak je het cybercriminelen in ieder geval zo moeilijk mogelijk.
Graag meer weten over e-mailbeveiligingssoftware van Mimecast? Bel met +31 24 357 99 80.