Zo’n 90 procent van de datalekken ontstaat door phishing. Hoe gaan cybercriminelen met phishing te werk en wat kun je ertegen doen? In deze blog vertelt onze security- en netwerkengineer Johan Zandstra meer over phishing en de oplossingen.
“Ja, 90 procent is een heel hoog percentage”, erkent Johan. “Maar phishing is vaak de eerste stap in de hele keten van datalekken. Door middel van phishing komen hackers achter bepaalde informatie, waarmee zij weer verder kunnen om het netwerk te infiltreren. Maar zo begint het dus bijna altijd wel.”
Wat is phishing?
Phishing is een vorm van online criminaliteit waarbij criminelen via allerlei trucs en kanalen persoonlijke informatie of geld proberen te stelen. Johan: “Vaak gebeurt dit via e-mail. We kennen allemaal de mailtjes die zogenaamd van de bank of een ander officiële instantie komen. In zo’n mail staat dan dat er iets mis is met je account of bankrekening en dat je direct actie moet ondernemen om het probleem te verhelpen. Voorheen vielen dit soort mails snel door de mand door de vele spelfouten, maar ze worden steeds beter en zien er heel echt uit. In deze mails staat altijd een link om snel in te loggen. Niet op klikken! Je kunt met je muis over de link gaan en dan zie je meestal dat de link niet klopt.”
Bekend is tegenwoordig ook de phishing via WhatsApp. “We noemen dit ‘spearphishing’, de hacker heeft al bepaalde gegevens, zoals je mobiele nummer en waarschijnlijk je voornaam. Dit zijn berichten in de trant van ‘Hé pap, ik heb een nieuw telefoonnummer en maak even snel geld over’. En dan hebben we nog de Marktplaats-methode. Een zogenaamde verkoper wil dan dat je eerst 1 cent overmaakt om te bevestigen dat je rekeningnummer klopt. Maar het linkje naar het Tikkie gaat naar een malafide website en zo krijgen deze oplichters toegang tot je bankrekening, met alle gevolgen van dien.” Zoals gezegd worden de berichten, zeker via e-mail, steeds beter en spelen de berichten in op gedrag. Er is een urgente kwestie en je moet direct handelen. Ook via SMS komen berichten binnen die van hackers afkomstig zijn. Het gaat dan bijvoorbeeld om berichten over invoerrechten die je moet betalen over een pakket dat je besteld zou hebben.
Daar trap je toch niet in?
Je denkt misschien dat je niet meer in deze trucjes trapt. Toch blijkt dus dat 90 procent van de datalekken start met phishing. Welke extra maatregelen kun je nemen om phishing te voorkomen? Johan: “Als je twijfelt, kun je de link in het bericht altijd checken op de site checkjelinkje.nl. Ja, die site is betrouwbaar. Open niet zomaar een bijlage en wees voorzichtig met het delen van je gegevens op het internet. Als je iets niet vertrouwt: niet openen!” Een belangrijke ontwikkeling is het sneeuwbaleffect: als hackers eenmaal binnen zijn bij een account in het netwerk, kunnen vanaf dat account mails inclusief bijlage verstuurd worden. “Op dat moment vertrouw je dus de afzender, het is iemand die je kent. En dus ook de bijlage. Zo ontstaat een hele keten van datalekken.”
Wat te doen?
Er zijn manieren om jezelf en je organisatie te wapenen tegen phishing. Zoals al gezegd: niet zomaar klikken op onbekende links en bijlagen. “Belangrijk is natuurlijk een spamfilter, dat malafide berichten tegenhoudt bij de voordeur. Maar niet alles, een aantal berichten glipt er altijd tussendoor. Verder een antivirusprogramma dat goed geüpdatet is. Mocht er dan toch op een verkeerde link worden geklikt dat malware installeert, dan houdt dit programma dat tegen. Een ander punt is de tweetraps authenticatie: het inloggen op een site of applicatie nog eens bevestigen via een code die je op je telefoon krijgt toegestuurd.
Maar het allerbelangrijkste is educatie van je medewerkers. Om de proef op de som te nemen, hebben we bij Arrix een proef-nepmail om te versturen, zodat we de medewerkers testen. Wie toch op de link klikt, krijgt vervolgens een educatief mailtje. Als alles desondanks fout gaat, is het belangrijk om een up-to-date back-up te hebben, die je bij voorkeur letterlijk fysiek scheidt van je systeem. Op die manier is je back-up onbereikbaar voor hackers.”