Het belang van bewustzijn rond phishing

Cyberaanvallen benadrukken de kritieke behoefte aan sterke cybersecuritypraktijken. In veel gevallen is phishing de toegangspoort waarlangs aanvallers systemen binnendringen om gevoelige gegevens te stelen. Maar wat is phishing precies, en hoe kunnen bedrijven zich beschermen tegen deze groeiende dreiging?

Wat is phishing?

Phishing is een vorm van social engineering waarbij aanvallers zich voordoen als betrouwbare entiteiten om mensen te misleiden en hen vertrouwelijke informatie te laten prijsgeven. Deze aanvallers kunnen zich voordoen als bekende contactpersonen, bedrijven of overheidsinstanties om doelwitten te overtuigen om inloggegevens, bankgegevens of andere gevoelige gegevens te delen. De gevolgen van succesvolle aanvallen kunnen ernstig zijn en leiden tot ransomware-infecties, datalekken, identiteitsdiefstal en grote financiële verliezen.

Geschiedenis

Phishing vindt zijn oorsprong in de jaren 90 toen hackers het gemunt hadden op leden van American Online, een provider van internettoegang. Door gebruikersgegevens te stelen, zoals gebruikersnaam, wachtwoord en andere persoonlijke informatie, konden ze creditcardgegevens achterhalen en misbruiken. Sindsdien is de praktijk wijdverspreid. Volgens The Brussels Time staat België wereldwijd op de vierde plaats wat betreft cybercriminaliteit, met phishing als de meest voorkomende cybercriminaliteit.

Verschillende soorten phishing

Hoewel e-mail een populair kanaal voor phishing blijft, gebruiken cybercriminelen vandaag meerdere technieken. Enkele belangrijke varianten:

• Vishing en smishing: Vishing omvat telefonische oplichting waarbij slachtoffers via een telefoongesprek worden misleid, terwijl smishing misleidende sms-berichten gebruikt.
• Spear phishing: Deze aanvallen zijn gericht op specifieke personen of groepen binnen een organisatie, vaak mensen met hogere toegangsniveaus zoals IT-managers.
• Clone phishing: Aanvallers kopiëren legitieme e-mails en vervangen de originele links door schadelijke links, waardoor ontvangers op schadelijke links klikken.
• Pop-up phishing: Schijnbaar onschuldige pop-ups op websites vragen gebruikers om acties te ondernemen, zoals het toestaan van meldingen, wat leidt tot malware-installatie.
• Calendar phishing : Aanvallers sturen valse agenda-invites met phishing-links erin verwerkt.
• Quishing: Bij quishing, een minder bekende variant van phishing, worden QR-codes gebruikt. Aanvallers plaatsen schadelijke koppelingen in QR-codes in de hoop gebruikers te misleiden om deze te scannen.

Hoe voorkom je het?

Omdat het steeds vaker voorkomt, is het belangrijk dat bedrijven zich tegen deze praktijken beschermen. De beste manier om dit te doen, is ten eerste het implementeren van de juiste technische maatregelen en ten tweede het opbouwen van een positieve security cultuur onder werknemers.

Technische maatregelen

Enkele voorbeelden van technische maatregelen zijn: geconfigureerde firewalls en multi-factor authenticatie. Maar ook automatische e-mailfiltering om verdachte berichten te blokkeren.

Securitycultuur

Een cruciaal onderdeel van de verdediging is het bewustzijn van de werkgever. Volgens het Data Breach Investigations Report 2022 van Verizon was bij 82% van de datalekken sprake van een menselijke fout, wat het belang onderstreept om medewerkers bewust te maken van de signalen van phishing.

Om te voorkomen dat je slachtoffer wordt, is het belangrijk om ook te letten op grammatica, spelfouten en ongebruikelijk taalgebruik. Meestal kijken we alleen naar het e-mailadres of de naam van de afzender. Maar zelfs een formele e-mail van een doorgaans informele collega kan een teken zijn dat er iets niet klopt. Wil je quishing vermijden? Installeer een QR-codelezer die een voorbeeld van de ingesloten link toont, dan weet je waar je op klikt.

Hoe kunnen we helpen?

Bij Brightest richten we ons op drie pijlers: mensen (training in gebruikersbewustzijn), apparaten (zero-trust beleid) en toepassingen (pentesting).

Om phishing te voorkomen, kun je het beste investeren in user awareness training voor gebruikers. Sinds vorig jaar werken we samen met KnowBe4, mede opgericht door voormalig hacker Kevin Mitnick. Mitnick’s ervaring als ex-hacker (met name zijn veroordeling in 1983 voor het hacken van het Pentagon) gaf hem unieke inzichten in het belang van cyberbeveiliging. KnowBe4 is momenteel ‘s werelds grootste platform voor training in security bewustzijn en biedt tools die training combineren met gesimuleerde phishing-aanvallen.

We beginnen met een gesimuleerde aanval om het “phishing-gevoeligheidspercentage” van uw organisatie te bepalen – het aantal werknemers dat waarschijnlijk in phishingpogingen trapt. Met deze basislijn ontwikkelen we bewustwordingstrainingen op maat en voeren we vervolgsimulaties uit om ervoor te zorgen dat uw team is voorbereid op echte phishing-bedreigingen.