Wat is phishing en hoe bescherm ik mijn bedrijf ertegen?
Het zal niemand ontgaan dat beveiliging in de IT op dit moment actueler is dan ooit tevoren. Je hoeft geen nieuwsitem te lezen of er staat wel een artikel waarin termen als hacking, phishing en CEO fraude voorkomen. Waar vroeger grote concerns in vele gevallen als “target” werden bestempeld, geldt dit nu ook helaas voor […]
Het zal niemand ontgaan dat beveiliging in de IT op dit moment actueler is dan ooit tevoren. Je hoeft geen nieuwsitem te lezen of er staat wel een artikel waarin termen als hacking, phishing en CEO fraude voorkomen. Waar vroeger grote concerns in vele gevallen als “target” werden bestempeld, geldt dit nu ook helaas voor het midden- en kleinbedrijf. Het is ook een misvatting tegenwoordig te denken “Ach, dat zal bij mij niet zo snel gebeuren” of “Ik heb toch antivirus software!?”. Wij lichten graag toe wat phishing precies is, wat de meest voorkomende fraudevormen zijn en hoe je je bedrijf daartegen kunt beschermen.
Wat is phishing?
Steeds meer criminelen proberen achter inloggegevens, financiële informatie (denk hierbij aan creditcard informatie en pincodes) en persoonsgegevens te komen. Veelal worden mailadressen en/of verwijzingen naar banken gebruikt om vertrouwen te wekken, een verzoek tot inloggen wordt dan ook vaak gebruikt. Door het gebruik maken van zogenaamde URL-Spoofing (misbruik en nabootsen van een bank URL/website) en toevoegen van een logo wekt dit vaak vertrouwen bij de gebruiker. M.a.w. zijn criminelen steeds inventiever en “vissen” zij naar informatie die zowel persoonlijk als zakelijk grote gevolgen kunnen hebben. Elk jaar wordt de schade die bedrijven oplopen door phishing groter en steeds meer zzp’ers en MKB’ers worden slachtoffer.
Vormen van phishing
Welke vormen zijn er en hoe kun jij jouw bedrijf beschermen tegen phishing? Wij lichten er een aantal toe.
Phishing e-mail
Middels valse e-mails die van bekende bedrijven zoals je bank of verzekeraar lijken te komen proberen cybercriminelen je naar een website te leiden en bijvoorbeeld inloggegevens, creditcardgegevens en pincodes te achterhalen. Met deze gegevens kunnen ze bijvoorbeeld bij je bankrekening. Er zijn ook e-mails met malware of ransomware waar schadelijke software kan worden geïnstalleerd. In het verleden waren deze phishing e-mails makkelijk te herkennen omdat ze bijvoorbeeld spelfouten bevatten of naar onbekende domeinen verwezen. Tegenwoordig zien deze e-mails er echter zeer professioneel uit en is het steeds lastiger om ze van een echte e-mail te onderscheiden. Het is belangrijk om nooit op een link te klikken vanuit een phishing e-mail. Wanneer je twijfelt benader je de organisatie uit wiens naam de e-mail is verstuurd.
CEO fraude
CEO-fraude houdt in dat een medewerker van bijvoorbeeld de financiële afdeling een e-mail van de CEO ontvangt met de vraag om een flink bedrag over te maken en dit voorlopig stil te houden voor andere medewerkers. In de meeste gevallen wordt aangegeven dat er haast bij komt kijken. Soms zit er zelfs een advocatenkantoor in het complot, waar de medewerker contact mee op kan nemen om de transactie te verifiëren. In werkelijkheid komt deze e-mail van cybercriminelen. Deze vorm van fraude vraagt veel voorbereiding, zoals het achterhalen van de juiste medewerkers en de manier van communiceren binnen het bedrijf.
Om deze vorm van fraude te voorkomen is het belangrijk om alle medewerkers op deze mogelijkheid te attenderen. Wees extra alert op verzoeken om flinke bedragen over te maken, vooral naar buitenlandse rekeningen. Spreek verder duidelijk af wat de werkwijze is met betrekking tot het overboeken van grote bedragen en zorg er bijvoorbeeld voor dat dit altijd wordt geverifieerd bij een leidinggevende.
Domeinnaamfraude
Bij domeinnaamfraude word je als ondernemer door een zogenaamde hostingpartij geattendeerd op het feit dat een andere partij een domeinnaam wil registreren die sterk op de domeinnaam van jouw bedrijf lijkt. Dit kan bijvoorbeeld om een andere extensie of een andere spelling gaan. In de meeste gevallen word je gebeld of gemaild door deze “hostingpartij” en geven zij aan dat je snel moet handelen. Vervolgens wordt het domein geregistreerd voor een veel hoger bedrag. Het is belangrijk om je niet te laten verleiden en de urgentie voelt om snel te handelen. Je kunt contact opnemen met je eigen hostingpartij om te kijken wat de prijs voor het domein zou zijn. Het beste wat je kunt doen om dit te voorkomen is echter om alle relevante domeinnamen vooraf al vast te leggen.
Factuurfraude
Middels factuurfraude worden bestaande facturen vervalst door deze te onderscheppen en het rekeningnummer te wijzigen. Zonder het te weten maak je de factuur dus naar het verkeerde rekeningnummer over, terwijl de verplichting om de factuur te voldoen aan de echte leverancier blijft staan. Controleer indien mogelijk of het rekeningnummer op de factuur overeenkomt met die op de offerte en neem contact op met je leverancier als je een afwijking ziet.
Acquisitiefraude
Acquisitiefraude houdt in dat advertentiebureaus ondernemers benaderen voor het plaatsen van advertenties. Vaak word je met een smoes overtuigd om een overeenkomst aan te gaan, waardoor je ongemerkt akkoord gaat met een contract. Hierbij wordt in de meeste gevallen aangehaald dat er al een zakelijke relatie is en wordt er op die manier voor gezorgd dat een ondernemer een handtekening zet. Er wordt een agressieve verkoopmethode gehanteerd. Het is belangrijk om op te letten dat je geen mondelinge toezeggingen doet en niet gehaast een handtekening zet, maar een overeenkomst altijd goed doorleest.
Wat moet je doen als jouw organisatie toch slachtoffer is geworden van phishing?
- Maak direct een melding bij de bank
- Doe aangifte
- Meld het bij de Fraudehelpdesk
- Wijzig alle wachtwoorden
- Laat de computers en het netwerk checken door een deskundige
Wil je meer informatie over hoe je veilig kunt werken in de cloud? Download dan onze whitepaper met 11 tips om veilig te werken in de cloud.