Phishing, we hebben er allemaal dagelijks mee te maken en het vormt een grote bedreiging voor zowel consumenten als het bedrijfsleven. Een verkeerd linkje aanklikken en gegevens achterlaten. Of toch die bijlage openen die je van een ‘bekende relatie’ hebt ontvangen. In alle drukte is een dergelijk foutje zo gemaakt met alle gevolgen van dien. Alle bestanden van een bedrijf kunnen hierdoor uiteindelijk onbruikbaar worden gemaakt of een cybercrimineel krijgt toegang tot je bankrekening.
Door goed op te letten en bij twijfel extra te controleren kun je vrij eenvoudig phishing herkennen en dit soort aanvallen (met bijkomende schades) voorkomen. Wij hebben 9 tips voor je uitgewerkt. Zo weet jij waar je op moet letten en kun je jezelf of je bedrijf een hoop ellende besparen.
1. Let op de afzender
Controleer altijd het e-mailadres dat het bericht heeft verstuurd, klopt dit wel? Maar let hierbij wel goed op. Cybercriminelen worden uiteraard ook steeds slimmer en laten e-mail adressen op die van een originele afzender lijken. Zo lijken contact@ing.nl en contact@bank-ing.nl erg op elkaar maar is alleen het eerste adres het juiste adres.
Ook maken ze gebruik van e-mail spoofing. Hierdoor lijkt de e-mail wel van een officiële instantie afkomstig.
De afzender van een e-mail is dus niet de enige graadmeter wanneer je een phishing e-mail controleert.
2. Een opvallend onderwerp
Cybercriminelen maken vaak gebruik van een opvallend onderwerp. Een onderwerp waarmee op je emotie wordt ingespeeld en waarmee je onder druk wordt gezet.
“Uw bankrekening wordt geblokkeerd.”
“Uw bankpas is ongeldig.”
“Update vereist voor uw creditcardgegevens.”
“Belangrijk bericht omtrent uw KVK-inschrijving.”
“Uw pakket is onderweg.”
Zijn zomaar een aantal voorbeelden van onderwerpen van phishing berichten.
Kijk ook eens op de website van de Fraudehelpdesk voor actuele phishing berichten die op dit moment veel worden verstuurd.
In de e-mail wordt vervolgens ook een stuk tijdsdruk toegevoegd. Je moet direct reageren of geld overmaken – want anders…….
Oplichters maken gebruik van emoties om je aan te zetten tot snel en ondoordacht handelen. Laat je niet onder druk zetten en ga bij de betreffende instantie (als je daar überhaupt al klant bent) na of het bericht klopt. Bel de bank of je creditcardmaatschappij via het bij jou bekende nummer en niet via de contactgegevens in het bericht.
3. Onpersoonlijke aanhef
Vaak begint een phishing e-mail met een onpersoonlijke aanhef. Zoals geachte heer/mevrouw. Een officiële instantie, waar je klant bent, die kent jou en zal een e-mail dan ook altijd met jouw naam of jouw klantgegevens beginnen.
Maar let ook hierbij op: Gegevens van veel mensen zijn de afgelopen jaren buitgemaakt bij verschillende datalekken. Deze lijsten met namen en e-mail adressen zijn te koop en worden actief gebruikt door cybercriminelen. Een phishing e-mail kan dus gewoon jouw naam als aanhef hebben.
4. Controleer linkjes in een e-mail – maar klik niet
Verwijst dat linkje in de e-mail van rabobank.nl wel naar de website van de Rabobank? Controleer eerst of een link in de e-mail wel verwijst naar de website de organisatie waarvan je het bericht hebt ontvangen.
Houdt je muis (in bijvoorbeeld Outlook) even op de link (maar klik niet) en het adres krijg je in beeld. Gaat dit adres naar de daadwerkelijke website van de afzender? Dan klopt de link. Verwijst de link naar een ander adres (let hierbij goed op – het websiteadres kan minimaal verschillen van het echte adres) dan heb je te maken met een phishing-link. Ontvang je de e-mail op je smartphone dan kun je de link lang ingedrukt houden en dan krijg je ook de daadwerkelijke link in beeld.
5. Inloggegevens of persoonlijke gegevens
Wordt er gevraagd om persoonlijke gegevens of inloggegevens ergens achter te laten of in te vullen? Dit is het ultieme signaal dat je met een phishing e-mail te maken hebt. Echte bedrijven vragen je nooit om dergelijke gegevens te delen via e-mail, sms, Whatsapp. Krijg je een dergelijk verzoek binnen? Ga dan zelf naar de echte website van de betreffende organisatie (klik niet op het linkje in de e-mail) en log daar in met de bij jou bekende gegevens.
6. Taal- en spelfouten
Hoewel phishing berichten tegenwoordig steeds beter geschreven worden kun je in sommige gevallen deze berichten nog wel herkennen aan zeer gebrekkig taalgebruik. Dit is een extra signaal dat je met phishing te maken hebt.
7. Bijlagen
Malware wordt vaak verzonden via e-mail en dit wordt verstopt in bijlagen. Let vooral op met bijlagen die eindigen op .exe, .docm, .xlsm of .zip. De volgende type bijlagen moet je sowieso niet openen: .lnk, .js, .wsf,. scr of .jar.
Ontvang je een bijlage? Open deze alleen wanneer je echt een bijlage verwacht van de afzender. Onverwacht en twijfel je over de afzender? Dan heb je te maken met phishing.
8. Te mooi om waar te zijn is vaak ook echt te mooi om waar te zijn
Gratis producten, haast ongeloofwaardige kortingen of fantastische prijzen. Ook dit is weer inspelen op emotie om jou ertoe te doen verleiden op een link te klikken of informatie achter te laten.
Lijkt het te mooi om waar te zijn? Dan is het dat vaak ook gewoon. Verwijder dan de e-mail en ga niet op “al het moois” in.
9. Bij twijfel, overleg altijd of laat iemand meekijken....
Twijfel je aan een bericht? Komt het bericht je vreemd over? Is het verzoek in een bericht bijzonder? Of heeft het bericht je een onaangenaam gevoel? Dan kun je er eigenlijk wel vanuit gaan dat je met phishing te maken hebt. Twijfel je? Doorloop dan de bovenstaande tips en controleer alles goed. Je kunt natuurlijk ook een collega vragen mee te kijken of contact opnemen met je ICT-afdeling of ICT-partner.
Een keer extra controleren kan veel ellende voorkomen. En voor cybercriminaliteit geldt: voorkomen is echt beter dan genezen.
Toch geklikt.... Wat nu?
Als je toch slachtoffer bent geworden van phishing zijn er een aantal stappen die jij kunt ondernemen om de schade te beperken.
- Verander jouw wachtwoord zo snel mogelijk.
- Bij bank gerelateerde zaken neem dan direct contact op met je bank.
- Neem contact op met jouw (ICT/IT) leverancier.
- Lees alle bovenstaande tips nog een keer door en voorkom dat het een tweede keer gebeurt.
Bedrijven zijn zelf verantwoordelijk om de cyberweerbaarheid van hun medewerkers op een goed niveau te houden. Train je medewerkers regelmatig door het geven van Security Awareness Sessies of door het uitvoeren van Phishing Simulaties.
Bij ACF Bentveld helpen wij je graag om het bewustzijn van jou en je team op hoog niveau te houden! Bel ons op 0527-858585 of neem contact met ons op via onderstaand contactformulier.