67.000 euro. Dat is het gemiddelde schadebedrag van Nederlandse bedrijven die slachtoffer worden van phishing. De manier waarop phishers te werk gaan wordt steeds doortrapter. Toch zijn er in de regel aanwijzingen in e-mails te vinden dat het gaat om een phishing-poging. Volgen jouw medewerkers onderstaand stappenplan? Dan minimaliseer je als bedrijf het risico slachtoffer te worden van zakelijke phishing.
Maar wat betekent phishing precies? Bij phishing maken internetcriminelen via bijvoorbeeld e-mail, WhatsApp of sms hun slachtoffers iets afhandig. Ze kunnen uit zijn op jouw wachtwoorden, bankgegevens of bedrijfsdata. Maar het kan ook zijn dat ze malware op je computer willen installeren of je willen verleiden tot een betaling. Meestal verzoeken phishers je om ergens in te loggen of een bijlage te openen.
Whitepaper: 'Basisbeveiliging'
Zo beperk je het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.
14 okt 2020
Zakelijke phishing
Het aantal gevallen van gepersonaliseerde phishing waarmee Nederlandse bedrijven te maken krijgen, stijgt razendsnel. Bij zogeheten business e-mail compromise (BEC) is de aanval specifiek gericht op een bedrijf en zijn werknemers, in plaats van op willekeurige ontvangers. Het gedrag van bedrijven wordt bovendien zo precies mogelijk geïmiteerd. Volgens onderzoek van Barracuda zijn BEC-aanvallen vergeleken met reguliere phishing maar liefst twintig keer effectiever. Het gemiddelde schadebedrag per bedrijf is met 245.000 euro ook vele malen groter. Facebook en Google gingen zelfs voor 100 miljoen dollar het schip in toen een Litouwer zich op geraffineerde wijze voordeed als Aziatische leverancier. Een andere bekende en effectieve vorm van zakelijke phishing is CEO-fraude.
De schade van phishing voor bedrijven kan bestaan uit gestolen data, minder omzet, uitvallende systemen, losgeld voor ransomware en reputatieschade. Eén op de drie consumenten geeft bijvoorbeeld aan weg te gaan bij een bedrijf na een datalek.
Hoe herken je phishing mails in je zakelijke inbox? Een stappenplan:
Hoe herken je zakelijke phishing mail? Volgen je medewerkers dit stappenplan, dan wordt de kans bijzonder klein dat je bedrijf slachtoffer wordt.
Stap 1: zit de mail in je spam-box?
Ook bonafide mails belanden soms in spam-boxen, maar het kán een indicatie voor phishing zijn.
Stap 2: van wie komt de mail?
Phishing-mails lijken te komen van afzenders die je vertrouwt, zoals je bank, bekende bedrijven als Google en Microsoft of je CEO. Kijk goed naar de afzender: klopt het mailadres? Heb je al eerder e-mails ontvangen van dit adres? Bovendien: is de mail verstuurd op een normale tijd? Is een mail midden in de nacht verstuurd, dan is de kans aannemelijk dat ‘ie geautomatiseerd óf vanuit een ander werelddeel is verzonden. Ook een rode vlag: er staat ‘verborgen ontvangers’ of ‘undisclosed recipients’ boven de mail.
Stap 3: wees kritisch op de inhoud van de mail
Ook de inhoud van de mail kan duiden op phishing. Denk aan een algemene aanhef (‘Beste,’) in plaats van een aanhef met naam, maar ook aan taalfouten, een thema dat niet voor de hand ligt bij de vermeende afzender, een wazig logo of een ongebruikelijke manier van afsluiten (‘De CEO’).
Stap 4: word je gevraagd om in te loggen of te betalen?
Zo ja, dan is dat een extra indicator voor phishing.
Stap 5: let goed op deze trucjes
Veel phishing-mails bevatten één of meer van de volgende trucjes:
Er wordt tijdsdruk gecreëerd (‘betaal binnen 24 uur’)
Er wordt gesteld dat er verdachte activiteiten op je account zijn gesignaleerd
Er wordt gesteld dat je persoonlijke informatie moet bevestigen
Er wordt gesteld dat er een probleem is met je account of betalingsgegevens
Er is een valse factuur bijgevoegd
Je krijgt een coupon voor een gratis product of dienst
Stap 6: neem contact op bij twijfel
Twijfel je over de oprechtheid van de mail? Neem dan contact op met het bedrijf in kwestie via de officiële kanalen, zoals een contactpersoon, een vertegenwoordiger of de helpdesk. Voor de duidelijkheid: verifieer de ontvangen e-mail dus niét door te antwoorden op de mail.
Wat kun je doen om phishing te voorkomen?
Tot slot nog vijf tips om te voorkomen dat je als bedrijf slachtoffer wordt van phishing.
Scholing en bewustzijn. Mensen zijn de zwakste schakel bij phishing. Bewustzijn creëren, basale kennis overbrengen en gezond verstand stimuleren met betrekking tot phishing (en andere cybercriminaliteit) zijn daarom de effectiefste wapens. Je zult ervan versteld staan hoeveel medewerkers nog niet weten dat ze nooit wachtwoorden of bankgegevens mogen verstrekken of geen bijlages in de bestandsformaten .exe, .scr en .pif moeten openen.
Antivirus. Beschik je over antivirus, dan word je realtime beschermd tegen verdachte bijlages en websites.
Updates. Installeer altijd meteen nieuwe software-updates op apparaten die zijn verbonden met internet. Met name een up-to-date browser en e-mail client helpen in de strijd tegen phishing.
Tweefactorauthenticatie. Tweefactorauthenticatie op je accounts zorgt ervoor dat phishers niet kunnen inloggen, zelfs al hebben ze je gebruikersnaam en wachtwoord.
Veilige e-mailinstellingen. Beveilig je mailservers en laat externe mails automatisch labelen.
Back-uppen. Heeft een phisher toch toegang gekregen tot je systemen? Zorg dan dat je kunt terugvallen op back-ups.
Lees ook: veilig thuiswerken stappenplan
Met KPN regel je dat phishers achter het net vissen
KPN helpt je ervoor te zorgen dat phishers geen kans krijgen bij jouw organisatie. Onze antivirus scant al je internetverkeer bijvoorbeeld op schadelijke inhoud. Ook hebben we een dienst om de zwakste schakel van je cybersecurity te testen. Bij Social Engineering toetsen onze ethical hackers namelijk je medewerkers: gaan ze bijvoorbeeld in op phishing mails?
Tot slot: KPN EEN MKB bevat standaard Extra Veilig Internet. Omdat de beveiliging door KPN geïmplementeerd is in het netwerk, hoef je niks te installeren. Extra Veilig Internet waarschuwt bij malafide ogende sites, linkjes en downloads, het blokkeert onveilige websites én het detecteert malware. Daardoor is het een effectief – maar geen allesomvattend! – middel om phishing te bestrijden.