Cybersecurity E-mail security

Hoe voorkom je dat jouw organisatie slachtoffer wordt van phishing?

Erik Biemans
Placeholder for Erik biemansErik biemans

Erik Biemans , Hoofd van cybersecurity services , Nomios Nederland

11 min. leestijd
Placeholder for Hetportretbureau LR T1 A6181Hetportretbureau LR T1 A6181

Share

Als je goed oplet, dan trap je er niet in. Maar je hoeft maar net een moment te hebben dat je niet oplet en toch klikt in een phishing e-mail. Daarom is het bij phishingpreventie belangrijk dat je weet waar jijzelf en je collega's op moeten letten. Zorg dat iedereen weet hoe ze een phishingmail kunnen onderscheiden van een echte, maar ook hoe ze een phishingwebsite herkennen.

Wat is phishing?

Voordat we vertellen hoe je voorkomt slachtoffer te worden van phishing, is het belangrijk om te weten wat phishing is. Phishing is een techniek die wordt ingezet door cybercriminelen om logingegevens te achterhalen.

Phishing werkt met websites die lijken op de website van de organisatie die zij nadoen. De cybercriminelen maken deze websites zo goed mogelijk na. De URL van zo'n phishingsite lijkt vaak ook op de echte URL. De technieken die worden gebruikt om jou naar zo'n pagina te lokken worden steeds beter.

Phishing voorbeeld

Om slachtoffers naar hun phishingsite te lokken kunnen verschillende technieken worden gebruikt. Meestal worden links naar phishingsites verstuurd via e-mail of sms. In het voorbeeld hieronder doet een crimineel zich per e-mail voor als een bank om zo jouw bankrekening te plunderen.

De phisher wil dat jij naar deze pagina toe gaat en stuurt je een mail dat jouw bankpas gaat verlopen en dat het tijd is om een nieuwe bankpas aan te vragen. Om de tijdsdruk nog verder op te voeren wordt er bijvoorbeeld gezegd: “wanneer je langer dan 48 uur wacht met het aanvragen van een nieuwe bankpas, wordt je rekening geblokkeerd” of “na 48 uur worden de kosten voor het aanvragen van een nieuwe bankpas 25 euro, maar als je het nu doet is het gratis”.

Wanneer je je gegevens invult op een phishingsite, krijgt de crimineel de ingevulde inloggegevens in handen. Vaak wordt gedacht: “tegenwoordig heb je een tweede authenticatiemethode nodig om in te loggen, dan komen ze heus niet bij mijn bankrekening”. Helaas klopt dat niet, want phishingsites zijn geen statische pagina's meer, maar interactieve websites waarbij.

Nadat jij jouw gegevens invult op zo'n interactieve phishingsite krijg je een scherm te zien dat dat je even moet wachten. Op dat moment dan logt de crimineel direct in bij jouw bank met de logingegevens. Als er dan om verificatie aan de crimineel wordt gevraagd, dan stuurt hij een berichtje via de phishingsite naar jou. Zo krijg jij een bericht dat je je inlog moet verifiëren, bijvoorbeeld met je vingerafdruk in de mobiele app van de bank.

Als je dat doet, geef je dus toestemming dat de phisher jouw rekening gebruikt. Hij kan dan producten of cryptocvaluta kopen of geld overmaken naar een andere rekening.

Gelukkig hebben de meeste banken fraudedetectiesystemen die verdachte transacties kunnen stoppen. Die systemen zijn echter niet waterdicht, waardoor het belangrijk is altijd zelf oplettend te blijven dat je geen slachtoffer wordt van een phishingaanval.

Hacken van zakelijke e-mailadressen

Het hacken van zakelijke mailadressen wordt door cybersecurity experts business email compromise genoemd, afgekort als BEC. Business email compromise is vaak het gevolg van phishing waarbij de inloggegevens van een zakelijk e-mailaccount worden gestolen.

BEC wordt gezien als de grootste financiële bedreiging voor organisaties op het gebied van cybersecurity met meer financiële schade dan ransomware. Elk jaar maakt de FBI een rapport over de totale economische schade door verschillende aanvallen. Hierin is de schade van BEC volgens het rapport van 2021 vastgesteld op ongeveer 2,4 miljard dollar. Dit is waarschijnlijk slechts het topje van de ijsberg omdat de meeste organisaties het niet openbaar maken als zij slachtoffer zijn van dit soort oplichting.

BEC werkt vaak als volgt: op het moment dat een phisher toegang krijgt tot jouw inbox nadat jouw credentials zijn gephisht, wordt er meegelezen met de mails die je verzendt en ontvangt. Door het meelezen met de conversaties die plaatsvinden, kan er worden achterhaald wanneer er een factuur zal worden gestuurd aan een klant. De phisher zal dan een nepfactuur sturen, of een echte factuur waarbij hij het rekeningnummer heeft gewijzigd. Dit gebeurt vanuit jouw inbox waardoor het voor de ontvanger lijkt alsof jij de afzender bent.

Wanneer een phisher erachter komt dat mailbox die hij heeft gehackt geen toegang heeft tot facturen of andere waardevolle informatie, dan zal de phisher eenzelfde phishingtruc toepassen met een collega als doelwit. De crimineel maakt dan een phishingsite aan en stuurt een mail vanuit het account van de gehackte medewerker naar bijvoorbeeld de afdeling die wel facturen stuurt. Wanneer een medewerker van deze afdeling hierin trapt, dan is ook het e-mailaccount van deze medewerker gehackt. Zo kan de cybercrimineel alsnog valse facturen versturen.

Interessant onderwerp? Luister dan onze podcast podcast Sh** ik ben gehackt.. wat nu? Hierin vertelt Dennis van Dijk, CISO van de Gemeente Haarlemmermeer, over de hack die bij hun heeft plaats gevonden met behulp van BEC. Erik Biemans, hoofd cybersecurity bij Nomios, legt uit hoe wij de gemeente hebben geholpen bij het oplossen van deze hack.
Placeholder for Closeup young man holding smartphoneCloseup young man holding smartphone

Waarom zijn phishing en BEC een probleem?

Phishing en BEC zijn om meerdere redenen een groot probleem. Het heeft vaak grote financiële gevolgen voor personen en organisaties. Maar het kan ook voor grote persoonlijke gevolgen zorgen.

Persoonlijke gevolgen

In 2014 werden van ruim 200 bekende Amerikaanse filmactrices hun Apple iCloud gehackt. Deze zaak werd ook wel ‘The Fappening’ genoemd. Na het ontvangen van phishingmails voerden deze actrices de gegevens van hun iCloud in een phishing website.

De crimineel heeft op deze manier op hun account ingelogd en naaktfoto’s en -video’s van de actices gestolen en online verspreid. Deze zijn in handen van heel de wereld en staan ook nog steeds online.

In dit geval is de hacker die de beelden heeft gestolen veroordeeld tot 8 maanden celstraf, maar de gestolen foto's en video's zijn nog steeds online te vinden, tot grote schaamte van sommige slachtoffers.

Financiële gevolgen

Wanneer jouw persoonlijke bankrekening wordt leeggeroofd middels phishing, zal in de meeste gevallen de bank de schade compenseren. Bij zakelijke rekeningen gebeurt dit echter niet altijd.

BEC heeft de grootste financiële gevolgen omdat het geld echt weg is. Banken vergoeden het ook meestal niet omdat de bankrekening niet is overgenomen.

Regelmatig worden Nederlandse organisaties slachtoffers van BEC. Zo werd in juli 2022 door de politie gepubliceerd dat een Nederlands energiebedrijf voor 1,3 miljoen euro werd opgelicht doordat zij een factuur betaalden van een leverancier waarvan het mailaccount was gehackt.

Phishing preventie: wat kan jouw organisatie doen tegen phishing?

Het is onmogelijk om helemaal uit te sluiten dat jouw organisatie ooit slachtoffer wordt van phishing. Wel kan veel gedaan worden om zowel de kans als de impact te beperken. Wij adviseren daarbij in te zetten op educatie, het inrichten van processen en het gebruiken van technologie.

1. Educatie

Wanneer je kijkt naar de mensen binnen jouw organisatie dan is het belangrijkste punt educatie. Zorg ervoor dat medewerkers zich er bewust van zijn dat zulke aanvallen voorkomen. Richt daarbij het bewustzijn niet alleen op phishing, maar ook op BEC.

Belangrijk bij educatie

Zorg dat mensen weten hoe ze een phishingmail en een phishingsite herkennen. Daarnaast is het ook belangrijk dat ze goed begrijpen hoe de aanval werkt. Stel dat de aanvaller zijn tactiek een klein beetje verandert en geen phishingmail verstuurt maar een link via SMS (deze variant heet smishing), dan is het belangrijk dat de medewerker ook kan herkennen dat dit een vorm van phishing is.

Als medewerkers facturen ontvangen van een leverancier en het voelt niet goed, dan moet zij op de hoogte zijn dat er iets als BEC bestaat zodat zij passende actie ondernemen. Medewerkers met een interessant profiel, zoals mensen op een financiële afdeling of directiesecretaressen, zijn vaker slachtoffer en zullen dus extra alert moeten zijn.

Criminelen maken gebruik van actualiteiten

Cybercriminelen maken vaak gebruik van actualiteiten om de geloofwaardigheid van hun bericht te vergroten. Minder dan een dag na het uitbreken van de oorlog in Oekraïne werden al phishingmails gestuurd over dit onderwerp. Ook decoronamaatregelen en -vaccinaties zijn regelmatig gebruikt in phishingmails.

Het gebruik van actualiteiten gebeurt ook op bedrijfsniveau. Bijvoorbeeld als bedrijven aankondigen dat zij een nieuwe vestiging openen in een nieuw land. Phishers kunnen gebruik van die informatie maken door een e-mail sturen met daarin het verzoek om in te loggen in het systeem dat zal worden gebruik in de nieuwe vestiging.

Laat een phishingtest uitvoeren

Met een phishingtest laat je een legitieme hacker, ook wel ethical hacker genoemd, zich voordoen als een phisher en berichten verspreiden binnen de organisatie. Dan ga je als organisatie kijken wie hierop klikken. Het is hierbij belangrijk dat je dit doet om te testen of medewerkers erop klikken en niet om deze personen aan de schandpaal te nagelen. Het moet erop gericht zijn dat je awareness creëert.

2. Processen

Binnen organisaties moeten diverse processen worden vastgelegd om phishing te voorkomen en te beperken.

Voorkomen van phishing

Zorg ervoor dat het voor de ontvanger duidelijk is wanneer die een mail ontvangt van buiten de organisatie. Bijvoorbeeld door in de titel [external] toe te voegen. Het is een simpele maatregel, maar wel effectief.

Phishing contactpersoon

Wanneer iemand vermoedt dat er phishing plaatsvindt, dan is het belangrijk dat zij weten naar wie zij toe moeten om dit aan te geven. Zij moeten altijd bij deze persoon terecht kunnen in een van de onderstaande situaties:

  • Bij het ontvangen van een phishing email, maar niet klikken;
  • Bij het ontvangen van een phishing email, hierin klikken, naar een phishing website gaan maar hier geen gegevens invullen;
  • Bij het ontvangen van een phishing email, hierin klikken en hun gegevens achterlaten op een phishing website.

Wanneer dit laatste gebeurt, dan moeten medewerkers weten wat zij moeten doen en bij wie zij terecht kunnen. Deze contactpersoon moet ook weten welke stappen er moet worden uitgevoerd wanneer deze een bericht ontvangt dat er mogelijk phishing heeft plaatsgevonden. Een van de belangrijkste stappen is dat de medewerker zijn gebruikersnaam en wachtwoord verandert.

Straf medewerkers niet

Wanneer medewerkers bij een phishing website hun gegevens invullen, dan gaan mensen dit vaak verbergen. Er is een gevoel van schaamte. Daarom is het hebben van een duidelijk proces erg belangrijk. Wanneer medewerkers de juiste educatie krijgen rondom phishing, is het belangrijk dat je vertelt dat iedereen dit kan overkomen en dat mensen niet gestraft worden. Richt ook je processen zo in dat medewerkers niet gestraft worden. Hoe langer mensen verzwijgen dat er phishing heeft plaatsgevonden, hoe groter de schade zal zijn voor jouw organisatie. Dit wil je ten alle tijden voorkomen.

3. Technologie

Zorg er als organisatie voor dat je de technologie in huis hebt die phishing emails herkennen en ervoor zorgen dat deze niet bij medewerkers terecht komen. Dit zijn oplossingen voor je mailserver. Dan kan je wanneer phishing vermoed wordt, een bericht in het onderwerp zetten als: [Let op! Mogelijk phishing]. Zo maak je medewerkers bewust dat zij deze mail extra moeten controleren op phishing. En zoals hierboven al wordt genoemd, benoem het wanneer iemand een mail van een extern persoon ontvangt door [external] toe te voegen in het onderwerp van de mail.

Managed Detection & Response

Ook kan je aan de slag gaan met Managed Detection en Response (MDR). Een dienst die Nomios levert om organisaties te beschermen tegen digitale aanvallen zoals phishing.

Met behulp van MDR kan in veel gevallen (helaas niet in alle gevallen) worden gedetecteerd wanneer een medewerker naar een phishing site gaat. Wanneer er dan even later wordt ingelogd op het account van deze medewerker met een IP adres uit Nigeria, dan kan er actief actie ondernomen worden door het account van deze medewerker te blokkeren.

Wat kan je doen als jouw organisatie slachtoffer is geworden van phishing?

Wanneer een organisatie is slachtoffer is geworden van phishing of business email compromise dan is het belangrijk om te achterhalen wat er precies is gebeurt. Zeker als er BEC heeft plaatsgevonden met een valse factuur en de klant zegt wel betaalt te hebben. Dan is het extra belangrijk om te achterhalen hoe dit heeft kunnen gebeuren. Welke account zijn gecompromitteerd? Welke wachtwoorden moeten gewijzigd worden? Wat heeft de aanvaller allemaal gedaan? Zijn er nog meer valse facturen verstuurd? Het achterhalen wat er allemaal precies gebeurt is noem je ook wel incident response.

Wat grotere en meer ontwikkelde organisaties kunnen overwegen is threat intelligence. Dit heeft te maken met waar cybercriminelen zich mee bezig houden. Dit gaat niet alleen om phishing of BEC, maar wordt breder ingezet. Soms bestaat er wel threat intelligence over logingegevens die achterhaald zijn met behulp van phishing. Wanneer je ziet dat jouw medewerkers op zo’n lijst staan dan kan je preventief actie ondernemen. Voordat je met threat intelligence aan de slag gaat, moet je als organisatie eerst alle bovenstaande stappen hebben uitgevoerd.

Laten we het over cybersecurity hebben

Wil je meer weten over hoe je phishing voorkomt of wil je praten over de cybersecuritydiensten en -oplossingen die wij aanbieden? Neem dan contact met ons op door een bericht te sturen of ons te bellen.

Over Erik Biemans

Sinds 2012 is Erik actief bezig met cybersecurity, hij heeft een achtergrond in fraudepreventie en -detectie bij banken. Tot en met 2020 is hij dagelijks bezig geweest met het onderwerp phishing. Ook is hij deel geweest van een taskforce, samen met de politie, het Openbaar Ministerie en de grootste banken van Nederland, om op te treden tegen business email compromise. Tegenwoordig is hij onze Head of Cybersecurity en geeft organisaties advies over hoe zij hun cybersecurity kunnen verbeteren en welke oplossing hier het beste bij past.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man