De problematiek rond phishing is niet nieuw; deze vorm van cyberfraude is al jaren een oud zeer. Goedgelovige slachtoffers trappen al te vaak in phishing scams en dat brengt risico’s voor bedrijven met zich mee.
Phishing misbruikt het vertrouwen van mensen. Die zijn al te vaak de zwakke schakel. Ondanks de huidige geavanceerde veiligheidssystemen slagen cybercriminelen erin persoonlijke gegevens te ontfutselen dankzij de goedgelovigheid van internetgebruikers. Dit doen zij via een misleidende e-mail, die nietsvermoedende slachtoffers naar een valse website leidt. Hier vullen slachtoffers hun inloggegevens of kredietkaartnummer in.
Internetbankieren
Meestal lijkt de afzender van de phishingmail een vertrouwde instantie zoals een bank. Een derde van alle phishingaanvallen wereldwijd wordt verstuurd onder het mom van een financiële instelling. Het voorbije jaar is in ons land één miljoen euro buitgemaakt door fraude met internetbankieren. Maar naarmate banken zich beter beschermen tegen phishing, richten hackers hun pijlen meer en meer op andere bedrijven. Mails betreffende de verzending van een pakket of een foute bestelling op een webshop zijn steeds vaker voorkomende phishingberichten.
Jigsaw: psychologisch element
Cybercriminelen voegen steeds vaker een extra psychologisch element toe aan hun ransomware. Een voorbeeld hiervan is Jigsaw. Zoals de naam doet vermoeden, is de ransomware gebaseerd op het personage Billy the Puppet uit horrorfilm Saw.
Geïnfecteerde computers zien een filmpje waarin het Saw-personage oproept om een relatief klein bedrag over te maken. Het filmpje toont een klok met hoe lang het slachtoffer nog heeft om te betalen. Dit is amper één uur. Zolang het losgeld niet wordt betaald, verwijdert het virus stelselmatig bestanden.
De cybercriminelen hopen dat slachtoffers door het psychologisch element sneller met het losgeld over de brug komen. Ze vragen vaak een relatief kleine som, maar geven geen tijd om na te denken of overheidsinstanties in te schakelen. Dit soort ransomware-varianten met een psychologisch element zullen tot heel wat extra slachtoffers leiden.
Bedrijfsrisico’s?
‘It takes twenty years to build a reputation and five minutes to ruin it’, stelt de steenrijke zakenman Warren Buffet. Voor bedrijven kan een cyberaanval het vertrouwen van de klant volledig ondermijnen, in die mate zelfs dat de klant andere oorden opzoekt. Belgische bedrijven zijn zich daar ten volle van bewust en sluiten daarom steeds vaker een cyberverzekering af. Dat is geen slechte zaak, maar het is beter te voorkomen dan te genezen. Met de aankomende Europese wetgeving betreffende gegevensbescherming, moeten bedrijven zich beter gaan beschermen tegen diefstal van klantengegevens. Boetes voor bedrijven die hieraan niet voldoen, kunnen oplopen tot 10 procent van hun omzet.
3 beveiligingstips
Hoe kan uw bedrijf zich tegen phishing in jouw naam beschermen? Ik geeft drie tips.
1. Bescherm je e-maildomein
- Elke it-manager weet hoe je een e-mail kan versturen uit naam van Bill.Gates@Microsoft.com. Door het aanmaken van een SPF record kunt u zelf beslissen welke mailservers e-mails mogen sturen vanuit uw domeinnaam.
- Controleer of de domeinnamen die van u lijken niet worden misbruikt. Hackers trachten vaak een domeinnaam met een letter verschil te registreren om zo de onoplettende bezoeker om de tuin te leiden. De nieuwe toplevel domeinnamen zoals .brussels, .vlaanderen, .gent of .cloud, .autos, .house enz. zijn voor marketingdoeleinden misschien interessant, maar maken het voor hackers steeds eenvoudiger om bezoekers te misleiden.
2. Bescherm je gebruikers
- Zorg voor een goede contentfiltering op inkomende e-mail. Deze moet phishingmails tegengehouden voor ze op het pc-scherm verschijnen.
- Wijs gebruikers op potentiële gevaren. Herhaal dat een bedrijf nooit vraagt om persoonlijke gegevens op hun site in te voeren. In geval van twijfel, typ je de url van de website manueel in je browser. Klik nooit op de link die in de mail staat.
- Controleer de url. Phishingmails voor Amazon.com werden bijvoorbeeld verstuurd vanuit amazon.club, waar de phishingsite ook gehost werd.
- Maak gebruikers ervan bewust dat de hackers almaar slimmer worden. Vroeger werden phishingmails in een gebrekkig Nederlands geschreven, vaak een eerste aanwijzing. U kon bovendien gemakkelijk checken of de connectie wel veilig was met een https-verbinding. Tegenwoordig zijn phishingmails opgesteld in perfect Nederlands. Een certificaat voor je website aankopen kost daarnaast bijna niets meer, dus ook een foute url met een groen slotje kan een phishingsite zijn.
3. Bescherm je klanten
- Niemand houdt van wachtwoorden. Klanten gebruiken het liefst zo veel mogelijk hetzelfde wachtwoord. Zorg dat ze dat wachtwoord niet telkens moeten ingeven, of maak gebruik tweefactor-authenticatie. Dit hoeft lang niet meer een token te zijn, maar met een kleine applicatie op de smartphone kan de gebruiker een QR-code scannen of een bericht toegestuurd krijgen om in te loggen. Je kan dat trouwens ook perfect in je eigen app laten ontwikkelen.
Deze tips helpen je een stap verder. Een verwittigd man is er twee waard, maar bedenk dat fraudeurs inventief zijn en telkens nieuwe manieren zoeken om mensen geld of informatie afhandig te maken. De phishingmails worden steeds realistischer, zowel qua taal als layout.
Kurt Berghs, verkoop- en product manager bij Vasco.
