Phishing is een vorm van een cybercrime die tussen 2019 en 2020 wereldwijd flink toegenomen is, deels gedreven door COVID-19 en onzekerheden in de supply chain. Ook in Nederland is in de afgelopen jaren het aandeel van cybercriminaliteit fors toegenomen. In 2021 waren 2,5 miljoen Nederlanders slachtoffer van internetfraude.
Veel van deze phishing attacks zijn gericht op laaghangend fruit, met zo min mogelijk inspanning een zo groot mogelijk impact. De kunst voor individuen en organisaties zit in het identificeren en voorkomen van phishing scams. Je kan jezelf dus veiliger stellen door je fruit iets hoger te hangen.
Wat is phishing?
Phishing is een vorm van internetfraude. Phishing wordt gedaan via verschillende kanalen, zoals sms, telefoon, valse e-mail, social media en websites. Vaak vindt phishing plaats op grote schaal zonder een specifiek target, soms heel erg gericht op een organisatie of persoon. Phishing wordt door hackers gebruikt om mensen te misleiden om een actie te laten ondernemen. Bijvoorbeeld persoonlijke informatie zoals gebruikersnamen en wachtwoorden te delen of mensen te misleiden om op dubieuze links te klikken.
Wat is spear phishing?
Waar heel veel mensen in trappen zijn valse e-mails. Jaarlijks ontvangen medewerkers gemiddeld 14 kwaadaardige e-mails. Sommige industrieën zijn ook bijzonder hard getroffen. Bijvoorbeeld werknemers in de detailhandel, zij ontvangen jaarlijks gemiddeld 49 e-mails.
Spear phishing, een vorm van een phishing, zijn attacks die gericht zijn op een organisatie of persoon. Daarvoor wordt onder andere gebruik gemaakt van e-mails die van een collega lijken te komen. Klik nooit zomaar op onbetrouwbare links, wiens naam er ook staat!
Wij mensen zijn van nature een vertrouwend soort en als de afzender van een e-mail een bekende naam is, zijn we veel eerder geneigd om de inhoud ook te vertrouwen. Dat is mede de oorzaak dat CEO-fraude zo succesvol is: een e-mail die van de directeur lijkt te komen en waarin gevraagd wordt ‘even snel’ een transactie te doen, zal in veel gevallen succesvol zijn. Niemand wil namelijk de directeur dwars zitten.
Iedereen aan de PGP?
Een bekend geaccepteerde maatregelen om phishing te voorkomen, is het implementeren van Pretty Good Privacy Signing (PGP). PGP-signing wordt gebruikt voor het ondertekenen, coderen en decoderen van teksten, e-mails, bestanden en directories. Dit allemaal om de veiligheid van e-mailcommunicatie te vergroten.
PGP-signing is ook handig om de authenticiteit van berichten en bestanden te verifiëren en geeft ons een manier om te bewijzen dat een bericht afkomstig is van de oorspronkelijke bron.
Het grootste nadeel van PGP-signing is dat het niet zo gebruiksvriendelijk is. Om als organisatie over te gaan naar PGP moet er training geven worden. Omdat veel organisaties echter niet alleen maar uit cyber security goeroes bestaan, is deze oplossing in de praktijk niet voor iedereen haalbaar. Gelukkig kan het ook anders.
PAM een oplossing tegen phishing?
Privileged Access Management (PAM) is gericht op privileged users die toegang moeten krijgen tot meer gevoelige gegevens. PAM maakt het mogelijk om de impact van phishing te verminderen door het verkrijgen van persoonlijke informatie moeilijker te maken.
PAM biedt twee mogelijke oplossingen die phishing zinloos maken:
-
Just-in-Time(JIT): het (de)activeren van accounts en groepen op gekoppelde systemen met roterende wachtwoorden.
-
Single sign-on(SSO): een methode waarbij gebruikers een keer inloggen om toegang te krijgen tot de systemen die ze nodig hebben. In combinatie met 2FA.
Cyber hygiëne
Cyber hygiëne zijn best practices die organisaties en individuen regelmatig uitvoeren om de gezondheid en veiligheid van gebruikers, apparaten, netwerken en (persoonlijke)informatie te handhaven. Het doel van cyber hygiëne is om gevoelige gegevens te beveiligen en te beschermen tegen diefstal of aanvallen. Cyber hygiëne is een gedeelde verantwoordelijkheid die alle afdelingen en gebruikers moeten prioriteren.
Tips voor cyber hygiëne
Om phishing te voorkomen heb je als organisatie een aantal hygiënemaatregelen opgesteld, deze zijn gebaseerd op menselijke en technische factoren.
Menselijk:
- Wees altijd waakzaam voor onverwachte e-mails, telefoontjes, sms'jes en valse websites. Antwoord en klik nooit op dubieuze phishing pogingen.
- Een sterk gegenereerd wachtwoord en waar kan met 2FA.
- Informeer werknemers over de gevaren van het downloaden van onbetrouwbare software.
- Leer werknemers hoe valse en echte websites te kunnen herkennen.
- Geef inloggegevens delen of voer ze niet in zonder de authenticiteit van de bron te verifiëren.
Techniek
- Backup maken van alle data.
- Antivirus software installeren.
- Software updates bijhouden.
- Onderscheid maken tussen gebruikers op privilege en least privilege.
- Multi-factor authentication (MFA) gebruiken voor alle accounts en apparaten.
Er zijn nog vele anti phishing-alternatieven in de wereld dan de bovengenoemde tips. Cyber security is het sterkste als je het in veel verschillende laagjes kan opbouwen. Het belangrijkste is dat we buiten standaard patronen gaan acteren. Ook eenvoudige oplossingen kunnen het leven van veel hacker een stuk zwaarder maken.
Meer willen weten over privileged access verstrekken? Lees meer over Privileged Access Management.