De gevaren van phishing mail binnen MKB
Ormer ICT - Schiedam
Lees hieronder de nieuwste blog van onze partner Ormer ICT. Het ICT-bedrijf wijst op de gevaren van phishing mail binnen het mkb en geeft tips hoe je jouw medewerkers hiervan bewust kunt maken.
Wat is phishing?
Phishing is een vorm van internetfraude en betekent ook wel ‘hengelen’. Cybercriminelen proberen door middel van bijvoorbeeld e-mails medewerkers te lokken naar valse websites of op een andere manier informatie van waarde te ontfutselen. Het uiteindelijke doel van de cybercriminelen is om inloggegevens, creditcardinformatie, pincodes of andere bedrijfsinformatie te achterhalen. Dit kan grote gevolgen hebben, namelijk dat geld van de rekening wordt gehaald of reputatieschade van bedrijfsnaam of personen.
Phishing mail is moeilijk te onderscheiden van reguliere mail ondanks dat er veel voor gewaarschuwd wordt. De phishing mails worden steeds professioneler ten opzichte van vroeger. Dit is de reden dat het vaak voorkomt bij MKB’ers. Als afzender wordt vaak de naam van de bank, creditcardmaatschappij of andere betrouwbare instantie gebruikt. In de mail wordt dan aangegeven of een medewerker de gegevens kan controleren wegens een update of dat de rekening geblokkeerd is. Er worden vaak zelfs officiële logo’s van bedrijven gebruikt waardoor dit nog echter lijkt. De cybercriminelen proberen het niet alleen via de mail, maar ook via een betaalverzoek, WhatsApp bericht, QR-code of sms.
Spear phishing
Er bestaat nog een doelgerichtere manier van phishing en dat is spear phishing. Dit is vaak gericht aan beslissers of medewerkers die een financiële functie bekleden binnen het bedrijf. De afzender is vaak een zakenrelatie of een bekende van het bedrijf. Er is dus ook onderzoek naar het bedrijf gedaan voordat spear phishing mail de deur uitgaat. Overigens kan dit onderzoek ook geautomatiseerd plaatsvinden.
Hoe zorgt u dat medewerkers niet in phishing trappen?
Volledig phishingvrij is nagenoeg onmogelijk. Ook cybercriminelen zijn op de hoogte van de nieuwste ontwikkelingen binnen de IT en blijven nieuwe dingen proberen om toegang te krijgen tot de bedrijfsgegevens. Er zijn natuurlijk wel een aantal dingen die medewerkers kunnen doen om te voorkomen dat uw bedrijf hier slachtoffer van wordt.
• Geef nooit inloggegevens van jezelf of uw bedrijf aan andere bedrijven of contactpersonen. Instanties vragen hier namelijk nooit om.
• Open nooit bijlages die u niet verwacht en controleer altijd het adres van de afzender. Een directeur zal bijvoorbeeld nooit vanuit Gmail mailen.
• Wees selectief met wie de e-mailadressen van het bedrijf worden gedeeld en zet het ook niet zomaar op social media.
• Stuur nooit bankpassen op. Ook hier vragen instanties nooit naar.
• Gebruik een goedwerkende spam-filter. Outlook en Gmail herkennen het grootste deel van de phishingmails automatisch.
Hoe kunnen medewerkers phishing mail herkennen?
• Zoals hierboven al werd beschreven wordt phishing meestal uit naam van banken, de overheid, bedrijven en abonnementsdiensten gestuurd. Of zelfs vanuit de contactpersonen van andere bedrijven of de directie.
• Bij een betaalverzoek wordt verzocht hier direct op te klikken en staat erbij dat het met spoed moet gebeuren.
• Phishing mail wordt ook herkend door de taal- en stijlfouten in het bericht.
• Het e-mailadres waarmee de cybercriminelen de mail versturen lijkt op de mail van een instantie. Er wordt bijvoorbeeld een extra letter aan toegevoegd waardoor het niet opvalt.
• Vreemde bijlages worden ook toegevoegd aan de mail. Klik hier vooral niet op, deze kunnen virussen bevatten.
Wat moeten medewerkers doen met phishing mails?
Als medewerkers phishing mail kunnen herkennen is het van belang om niet op de mail of ander bericht te klikken. Dit kan al schade brengen aan het bedrijf. Reageer daarom ook niet op de berichten en verwijder dit bericht direct. Op deze manier ziet de cybercrimineel dat er geen aandacht aan wordt besteed binnen het bedrijf en het desbetreffende bedrijf ook geen target meer is. Maak hier wel altijd een melding van bij de syteembeheerders.
Security Awareness
Medewerkers zijn zich vaak niet bewust van vele de gevaren bij online communicatie. Het is een proces om het online gedrag van medewerkers te veranderen om zo incidenten te voorkomen en af te wenden. Wilt u meer tips over het bewust maken van uw medewerkers?