E-mail blijft een onmisbaar communicatiemiddel voor bedrijven. Maar ook cybercriminelen maken er gretig gebruik van. E-mails zijn namelijk zeer geschikt voor het uitvoeren van phishingaanvallen. Hoe kunnen organisaties zich beschermen tegen deze digitale dreiging?

Veel mensen hebben een achterhaald beeld van phishing. Zij denken hierbij aan slecht vertaalde e-mails vol spelfouten, afkomstig van bijvoorbeeld een Nigeriaanse prins of een knappe dame in geldnood. Als je even gauw een paar duizend euro overmaakt, word je rijkelijk beloond. Wie tuint daar nou in? Maar anno 2019 gaan cybercriminelen veel geraffineerder te werk. Phishingaanvallen zijn vaak tot in detail voorbereid. De beste phishingmails zijn bijna niet van echt te onderscheiden.

Een geslaagde phishingaanval kan grote gevolgen hebben. Zo werd Walter Stephan in mei 2016 ontslagen als CEO van FACC, een fabrikant van vliegtuigonderdelen, nadat hij in een phishingmail was getrapt. De aanvallers deden zich per e-mail voor als een hooggeplaatste collega van Stephan en vroegen hem om in het geheim 56 miljoen dollar over te maken. Vervolgens werd het geld weggesluisd via bankrekeningen in Azië en Slowakije. Een duur foutje, dus.

Dit is slechts een van de vele incidenten in de afgelopen jaren. Helaas zal ook in 2019 menig organisatie slachtoffer worden van phishing. Het goede nieuws? Met enkele vrij eenvoudige maatregelen kun je de risico's fors beperken. Mimecast, specialist in e-mailbeveiliging, geeft de volgende tips:

1. Neem phishing serieus

Onderschat de potentiële impact van een succesvolle phishingaanval niet. Volgens onderzoek van Mimecast en Vanson Bourne uit 2018 heeft 20 procent van de organisaties in een jaar tijd financiële schade geleden door een impersonatieaanval. Bij dit type aanval doen cybercriminelen zich voor als een andere, betrouwbare partij om bijvoorbeeld waardevolle informatie of geld in handen te krijgen.

De dreiging van phishing is zeker niet aan het afzwakken. Uit hetzelfde onderzoek bleek zelfs dat ruim de helft van de Nederlandse organisaties het aantal phishingaanvallen in de laatste 12 maanden zag toenemen.

2. Herken de trucs van cybercriminelen

Phishing draait om misleiding. Aanvallers maken gebruik van allerlei trucjes om hun doelwit op het verkeerde been te zetten. Ze imiteren bijvoorbeeld een legitieme URL door een teken te vervangen door iets wat er heel erg op lijkt. Dit heet spoofing. Na het klikken denkt de gebruiker op een betrouwbare website te belanden. In werkelijkheid is het een nagemaakte site waar bijvoorbeeld om inloggegevens wordt gevraagd.

Een voorbeeld: in de URL www.autoverkoop.nl staat de letter a. Met het blote oog is dit teken niet te onderscheiden van het cyrillische teken а. Als jij een e-mail krijgt met daarin de link www.аutoverkoop.nl, heb je waarschijnlijk niet direct argwaan.

3. Train je werknemers continu

Mensen zijn eenvoudig te manipuleren, en daar doen cybercriminelen hun voordeel mee. Zij sturen bijvoorbeeld een rekening van een telecombedrijf met een dringend verzoek om het bedrag snel te voldoen. Daarmee creëren ze een gevoel van urgentie. De makkelijkste prooi? Ongetrainde werknemers.

Het is belangrijk dat werknemers in ieder geval een securitybasis hebben. Begrijpen ze hoe phishing werkt en wat de risico's zijn? Weten ze dat het gevaarlijk is om verdachte bijlages te openen? Schakelen ze bij twijfel altijd de IT-afdeling in? Het trainen van personeel moet een continu proces zijn. Helaas biedt de helft van de organisaties slechts eens per kwartaal of jaarlijks een securitytraining aan.

4. Bouw aan bewustwording van bovenaf

Ook in de bestuurskamer moet de strijd tegen phishing voldoende aandacht krijgen. CEO's, CFO's en andere topmanagers zijn namelijk een aantrekkelijk doelwit. Uit het onderzoek van Mimecast en Vanson Bourne blijkt echter dat de directie geregeld de mist in gaat. Zo laat 20 procent van de Nederlandse organisaties weten dat C-level managers in reactie op een phishingaanval gevoelige data hebben verstuurd.

Securitytrainingen voor medewerkers hebben weinig zin als de directeur zelf kwetsbaar is voor phishingaanvallen. Het management moet zich hier bewust van zijn en zelf het goede voorbeeld geven.

5. Wees extra op je hoede tijdens evenementen

Cybercriminelen spelen slim in op grote evenementen, zoals het WK voetbal of de Olympische Spelen. Tijdens het WK in Rusland in de zomer van 2018 kregen voetballiefhebbers bijvoorbeeld een e-mail waarin gratis Adidas-schoenen of een wedstrijdschema werden aangeboden - via een malafide link. Zo'n 'kans' maakt het doelwit enthousiast en dus minder waakzaam.

Bij de Adidas-aanval, gericht op klanten van de kledingfabrikant, maakten de cybercriminelen overigens ook gebruik van spoofing. De i in Adidas werd in de URL vervangen door een verticaal teken.

6. Ga voor dedicated e-mailbeveiliging

Een foutje is menselijk, ook voor een goed getrainde medewerker. Een solide verdediging tegen phishing vraagt dan ook om aanvullende technische maatregelen, zoals het in gebruik nemen van speciale e-mailbeveiligingssoftware Zo'n oplossing scant binnenkomende e-mail en kan allerlei typen phishingaanvallen detecteren. Verdachte URL's en andere bedreigingen worden geblokkeerd voordat gebruikers erop kunnen klikken.

Er is geen wondermiddel tegen phishing. Maar met de juiste mix van kennis, waakzaamheid en technologie kun je het aanvallers in ieder geval zo moeilijk mogelijk maken.