Wat is de betekenis van phishing en wat kan je hier als mkb-ondernemer tegen doen? Dat zijn vragen die bij veel ondernemers spelen. Ondanks alle waarschuwingen regent het slachtoffers van phishing. Dit artikel vertelt je waar je als ondernemer op bedacht moet zijn.
Voorbeelden van phishing
Het aantal zakelijke slachtoffers groeit
Nog altijd slagen criminelen erin om inloggegevens te bemachtigen en bankrekeningen te plunderen. Menig ondernemers is daar de dupe van geworden. Deze vorm van internetfraude blijft lucratief, zeker als zakelijke bankrekeningen worden geplunderd. Wereldwijd is het percentage zakelijke slachtoffers verdubbeld naar 31 procent, meldt Kaspersky (beveiligingssoftware).
Sms-phishing: nieuwe vorm
Recent wisten criminelen via sms-phishing 1 miljoen euro van een man in Noord-Nederland te stelen. Het bericht meldde dat zijn bankpas was verlopen. In goed vertrouwen stuurde hij zijn oude pasje op. Vervolgens vulde het slachtoffer via een phishing-site zijn gegevens in. Onlangs werden ook twee 22-jarige mannen uit Hilversum aangeklaagd voor het stelen van 450.000 euro via phishing.
Phishing: vooral mkb als doelwit
Phishing begint met het lokken van internetgebruikers naar een malafide website. Op het eerste gezicht ziet die er vertrouwd uit. De site lijkt bedrieglijk echt op de originele, onderscheid is er nauwelijks. De argeloze gebruiker wordt gevraagd inlog-, autorisatie- of andere codes in te vullen die hem zijn toegestuurd per sms of die hij zelf heeft aangemaakt. En vervolgens kan de fraudeur de bankrekening plunderen.
Met name mkb-ondernemers worden regelmatig de dupe van phishing. Omdat die vaak grotere bedragen via de zakelijke rekening overmaken valt het minder op als op een dag meerdere transacties worden gedaan. Volgens beveiligingsonderzoeker Rik van Duijn (KPN Security) hebben bedrijven het meeste last van twee soorten phishing. In het eerste geval wordt een werknemer gevraagd een actie uit te voeren die de aanvaller toegang verleent tot het systeem.
Cyber Security Checklist
Wil jij weten hoe het met de cybersecurity van jouw bedrijf gesteld is? Download de checklist en ontdek wat je (nog meer) kunt doen!
DownloadCEO-fraude
De tweede, zeker niet minder gevaarlijke vorm is de zogenoemde CEO-fraude, ook wel ‘whaling’ genoemd. Deze begint met een mail of sms’je van een manager of eigenaar aan de financiële afdeling. De crimineel die zich als ‘baas’ voordoet, geeft opdracht een forse betaling uit te voeren, bijvoorbeeld naar een klant die op zijn geld wacht. Pathé Nederland kreeg zogenaamd van het Franse hoofdkantoor bevel 19 miljoen euro over te maken voor een geheime overname. Twee directeuren van de Nederlandse vestigingen trapten erin met enorme schade tot gevolg. Heel sluwe fraudeurs proberen eerst uit te vissen hoe het er in een bedrijf aan toe gaat. Via LinkedIn kunnen ze daar een aardig beeld van krijgen.
De meeste mensen weten inmiddels wel dat het onverstandig is zomaar op links in e-mails van onbekenden te klikken. Maar cybercriminelen verzinnen telkens weer nieuwe varianten. Momenteel worden veel phishingberichten verstuurd die van de fiscus lijken te komen. De belastingdienst waarschuwde daar onlangs voor. De fiscus vraagt nooit via de mail of sms om betalingen te doen. Het beste is om zulke berichten meteen weg te gooien.
Phishing herkennen
Legio zijn de manieren om mensen naar valse sites te lokken. Behalve e-mail en sms worden hiervoor ook WhatsApp, sociale media, Google Alerts en zelfs WeTransfer ingezet. Het kan niet voldoende worden herhaald dat een bank nooit privégegevens via de mail, WhatsApp of telefoon aanvraagt, laat staan via Facebook of andere sociale media. Bel bij twijfel over de echtheid van een bericht altijd je bank. Pogingen tot fraude beginnen steeds vaker op handelsplatforms zoals Marktplaats of Speurders. Pas ook op voor hyperlinks in mobiele berichten.
Het ‘verhaal’ dat criminelen in hun mails vertellen, varieert ook telkens. Volgens Van Duijn hoef je voor het nabootsen van websites allerminst een genie te zijn. Op zwarte internetmarkten als het Dark Web zijn de inlogpagina’s van banken, ook wel panelen genaamd, gewoon te koop.
Onlangs deden criminelen zich voor als bankmedewerkers. De slachtoffers werden gewaarschuwd voor verdachte transacties op hun rekening. Gevraagd werd geld over te maken naar een zogenaamd veilige rekening. Een man uit Apeldoorn werd zo voor 28.000 euro opgelicht. De trucjes worden steeds beter. Bovendien is soms geen verschil meer te zien tussen een ‘fake’ site en de echte. De neppagina’s van banken zijn nauwelijks van de originele te onderscheiden. Let dus altijd op vage of onduidelijke e-mailadressen en check bij de vraag om op een link te klikken of de url wel betrouwbaar is en met ‘https’ begint.
Lees ook: stappenplan om phishing mails te herkennen
Phishing voorkomen
Als ondernemer kan je heus wel maatregelen nemen die het risico verkleinen dat je bedrijf slachtoffer wordt van phishing. Het is belangrijk medewerkers bewust te maken van de gevaren. Maar volgens Van Duijn is dat niet voldoende. Want de aanvallers kunnen heel geraffineerd te werk gaan. Hun ‘social engineering’ kan zo knap in elkaar zitten dat werknemers gemakkelijk in de fout gaan. Daarom raadt de beveiligingsexpert van KPN aan om de nodige veiligheidsmaatregelen te nemen. De eerste stap is het instellen van een spamfilter. Wat buiten de deur blijft, is niet schadelijk. Mocht er toch nog malware doorkomen dan kan antivirussoftware bescherming bieden. Van Duijn waarschuwt dat die twee verdedigingslinies wel goed moeten worden geconfigureerd en op elkaar moeten worden afgestemd.
Ook de beveiliging van het netwerk moet in orde zijn. Je moet zicht hebben op wat daar gebeurt. Als een werknemer een keer niet oplet, mag dit niet direct verstrekkende gevolgen hebben voor de hele organisatie. De eerder genoemde CEO-fraude valt ook tegen te gaan. Van Duijn adviseert daar bij de configuratie van de mailserver rekening mee te houden. Als een e-mail van buiten de organisatie komt, kan je in de onderwerpregel automatisch een melding krijgen dat het een extern verzoek betreft. De ontvanger weet dan dat hij met een extern persoon aan het communiceren is.
De tips voor het voorkomen van phishing opgesomd:
● Maakt medewerkers bewust van de gevaren (organiseer bijvoorbeeld een meeting)
● Check altijd de afzender en/of website URL
● Verstrek nooit bankgegevens via mail, WhatsApp, telefoon of social media
● Klik niet zomaar op onbekende links in berichten
● Installeer goede spamfilters
● Beveilig je mailservers en laat externe mails automatisch labelen
Wil je meer weten? Lees ons artikel over phishing via WhatsApp en social media.
Extra Veilig Internet van KPN Zakelijk
De dienst Extra Veilig Internet, onderdeel van het totaalpakket KPN EEN MKB, geeft extra bescherming tegen onder meer phishing. Ondernemers in het midden- en kleinbedrijf zijn zo verzekerd van meer veiligheid.