Goedgelovige slachtoffers trappen al te vaak in phishing scams en dat brengt risico’s voor bedrijven met zich mee
De problematiek rond phishing is niet nieuw. Deze vorm van cyberfraude is al jaren een oud zeer en het einde lijkt niet meteen in zicht. Phishing misbruikt het vertrouwen van mensen. Die zijn al te vaak de zwakke schakel. Ondanks de huidige geavanceerde veiligheidssystemen slagen cybercriminelen erin persoonlijke gegevens te ontfutselen dankzij de goedgelovigheid van internetgebruikers. Meer waakzaamheid is voor ons allen aan de orde.
Hoe werkt phishing?
Met een misleidende e-mail lokken oplichters hun slachtoffers naar een valse website om ze daar nietsvermoedend te laten inloggen met hun inlognaam en wachtwoord of hun kredietkaartnummer. Zo worden deze privégegevens moeiteloos overgedragen aan de fraudeur, met alle gevolgen van dien.
Meestal lijkt de afzender van de phishingmail een vertrouwde instantie zoals een bank. Een derde van alle phishingaanvallen wereldwijd wordt verstuurd onder het mom van een financiële instelling. Het voorbije jaar is in ons land één miljoen euro buitgemaakt door fraude met internetbankieren. Maar naarmate banken zich beter beschermen tegen phishing, richten hackers hun pijlen meer en meer op andere bedrijven. Mails betreffende de verzending van een pakket of een foute bestelling op een webshop zijn steeds vaker voorkomende phishingberichten.
Wat zijn de risico’s van phishing voor bedrijven?
“It takes 20 years to build a reputation and five minutes to ruin it”, stelt de steenrijke zakenman Warren Buffet. Voor bedrijven kan een cyberaanval het vertrouwen van de klant volledig ondermijnen, in die mate zelfs dat de klant andere oorden opzoekt. Belgische bedrijven zijn zich daar ten volle van bewust, en sluiten daarom steeds vaker een cyberverzekering af. Dat is geen slechte zaak, maar het is beter te voorkomen dan te genezen. Met de aankomende Europese wetgeving betreffende gegevensbescherming, moeten bedrijven zich beter gaan beschermen tegen diefstal van klantengegevens. Boetes voor bedrijven die hieraan niet voldoen, kunnen oplopen tot 10% van hun omzet.
Ook particulieren lopen enorme risico’s. Met de gestolen gegevens kunnen fraudeurs bijvoorbeeld hun bankrekening leegroven. Wanneer internetfraudeurs een rekening plunderen, zijn slachtoffers ook niet altijd zeker dat ze hun geld zullen terugzien.
Hoe kan jouw bedrijf zich tegen phishing in jouw naam beschermen?
– Bescherm je e-maildomein
- Elke IT-manager weet hoe je een e-mail kan versturen uit naam van Bill.Gates@Microsoft.com. Door het aanmaken van een SPF record kan jij zelf beslissen welke e-mail mailservers mogen versturen vanuit jouw domeinnaam.
- Controleer of de domeinnamen die lijken op de jouwe niet misbruikt worden. Hackers trachten vaak een domeinnaam met een letter verschil te registreren om zo de onoplettende bezoeker om de tuin te leiden. De nieuwe toplevel domeinnamen zoals .brussels, .vlaanderen, .gent of .cloud, .autos, .house enz zijn voor marketingdoeleinden misschien interessant, maar maken het voor hackers steeds eenvoudiger om bezoekers te misleiden.
– Bescherm je gebruikers
- Zorg voor een goede content filtering op je inkomende e-mail, die ervoor zorgt dat phishingmails tegengehouden worden nog voor ze op het PC-scherm verschijnen.
- Wijs de gebruikers op potentiële gevaren. Herhaal dat een bedrijf nooit zal vragen om persoonlijke gegevens op hun site in te geven. In geval van twijfel, typ je de url van de website manueel in je browser. Klik nooit op de link die in de mail staat.
- Controleer de url zelf. Phishingmails voor Amazon.com werden bijvoorbeeld verstuurd vanuit amazon.club, waar de phishingsite ook gehost werd.
- Maak gebruikers ervan bewust dat de hackers almaar slimmer worden. Vroeger werden phishingmails in een gebrekkig Nederlands geschreven, en dat was vaak een eerste aanwijzing. Je kon bovendien gemakkelijk checken of de connectie wel veilig was met een https:// verbinding (het groene slotje). Tegenwoordig zijn phishingmails opgesteld in perfect Nederlands. Een certificaat voor je website aankopen kost daarnaast bijna niets meer, dus ook een foute url met een groen slotje kan een phishingsite zijn.
– Bescherm je klanten
- Niemand houdt van paswoorden. Jouw klanten gebruiken liefst zo veel mogelijk hetzelfde wachtwoord. Zorg dat ze dat passwoord niet telkens moeten ingeven, of maak gebruik van tweefactorauthenticatie. Dit hoeft lang niet meer een token te zijn, maar met een kleine applicatie op de smartphone kan de gebruiker een QR-code scannen of een bericht toegestuurd krijgen om in te loggen. Je kan dat trouwens ook perfect in je eigen app laten ontwikkelen.
Deze tips helpen je een stap verder. Een verwittigd man is er twee waard, maar bedenk dat fraudeurs inventief zijn en telkens nieuwe manieren zoeken om mensen geld of informatie afhandig te maken. De phishingmails worden steeds realistischer, zowel qua taal als layout. Wees waakzaam.
Kurt Berghs is al heel zijn leven lang gebeten door IT. Kurt werkte als IT consultant oa voor bedrijven als Deloitte, Europay-Mastercard, Willemen en Quick. Sinds 2005 werkt Berghs voor Vasco Data Security waar zijn specialiteiten Unified Threat Management, cloud en user authentication volledig tot hun recht komen als product- en sales manager van beveiligingssysteem AXS GUARD. VASCO is een wereldleider op het gebied van sterke authenticatie en e-signature oplossingen en diensten.