Dit artikel is bedoeld voor iedere organisatie die aan de slag wil met weerbaarder worden tegen phishing. Hoe weerbaar je digitaal ook bent, medewerkers in jouw organisatie zullen met phishing te maken krijgen op werk en privé.
Phishing is een aanvalstechniek waarbij een aanvaller zich voordoet als een betrouwbare organisatie of persoon om vertrouwelijke gegevens te verkrijgen. Meestal via e-mail, maar ook via sms-berichten (Smishing), appberichten, bellen, QR-codes (Quishing) of sociale media. Het doel is vrijwel altijd hetzelfde: iemand verleiden om op een link te klikken, een bijlage te openen of gegevens (zoals inloggegevens of betaalinformatie) achter te laten.
Spearphishing is een specifieke vorm van phishing. De aanvaller richt zich op één specifieke persoon of functie binnen een organisatie, zoals een medewerker van de financiële administratie, een inkoper of een bestuurder. Het bericht is vaak zorgvuldig opgesteld en bevat persoonlijke of organisatorische informatie, waardoor het geloofwaardig(er) overkomt.
Het grootste verschil met reguliere phishing is vooral de mate van voorbereiding. Een spearphishingaanval maakt gebruik van vooraf verzamelde informatie uit bijvoorbeeld openbare bronnen, een data-lek of sociale media. Daardoor is deze moeilijker te herkennen en is de kans groter dat je reageert.
Phishing is vaak de eerste stap om toegang te krijgen tot een individu of organisatie.
De aanval begint met een bericht dat de ontvanger tot handelen moet aanzetten. Het slachtoffer wordt verleid om:
Daarna komt het slachtoffer terecht op een nagemaakte website, bijvoorbeeld een inlogpagina van een e-maildienst of cloudomgeving. Vul je daar een gebruikersnaam en wachtwoord in, dan ontvangt de aanvaller deze gegevens direct. Open je een bestand of bijlage dan kan schadelijke software ongemerkt worden uitgevoerd, waardoor toegang tot het account of systeem ontstaat.
Vervolgens gebruikt de aanvaller het account of systeem om zich verder binnen de organisatie te bewegen. Omdat medewerkers vaak toegang hebben tot meerdere systemen, kan één succesvolle phishingactie voldoende zijn om verdere toegang binnen de organisatie te verkrijgen.
Na overname van een account kan een aanvaller e-mail meelezen, bestanden openen en namens de medewerker berichten versturen. Zo kan hij zich voordoen als collega of leverancier en nieuwe slachtoffers maken.
Vanuit één account kan een aanvaller:
Met die toegang kan malware of ransomware verder worden verspreid, waardoor bedrijfsprocessen stilvallen of gegevens verloren gaan of juist openbaar worden. Een phishingincident kan dus ook leiden tot financiële of reputatieschade.
Business Email Compromise (BEC) is op dit moment een van de snelst groeiende vormen van digitale oplichting. Bij BEC doen criminelen zich voor als een persoon die binnen een organisatie wordt vertrouwd - vaak een directeur of leidinggevende (CEO-fraude). In dit blog lees je meer over hoe BEC-aanvallen typisch verlopen, hoe je ze kunt herkennen en op welke manieren je jouw organisatie hiertegen kunt wapenen.
Phishing werkt omdat het inspeelt op menselijk gedrag en automatische handelingen. Aanvallers maken gebruik van vertrouwen, herkenning en tijdsdruk. Een phishingmail oogt betrouwbaar doordat deze afkomstig lijkt van een bekende organisatie of een vertrouwd contact. De ontvanger beschouwt het bericht als legitiem en neemt actie.
Vrijwel iedere phishingmail bevat een duidelijke call-to-action: de ontvanger moet een link aanklikken, een bijlage openen of gegevens invullen. Daarbij wordt vaak urgentie gecreëerd, waardoor de kans kleiner wordt dat iemand het bericht kritisch beoordeelt.
Aanvallers gebruiken ook herkenbare situaties en de actualiteit. Slachtoffers worden bijvoorbeeld gevraagd snel te reageren om:
Door deze combinatie van betrouwbaarheid en tijdsdruk handelen mensen sneller en klikken zij eerder op links, openen bijlagen of laten gegevens achter.
Niemand is veilig voor phishing. Jij kunt ook slachtoffer worden als je al een berichtje verwacht over een bepaalde factuur of het invullen van gegeven bij een inlogscherm. Bij iets routinematigs (zoals je wachtwoord veranderen) denk je er vaak niet twee keer over na.
Door het gebruik van AI (bijvoorbeeld ChatGPT) zijn duidelijke spelling- en grammaticafouten zeldzamer en ziet een inlogpagina er ook vaak authentieker uit. Iets van hoge kwaliteit is echter geen bewijs dat een bericht betrouwbaar is. Hoewel phishing steeds lastiger te herkennen is, zijn er wel zaken waarop je specifiek kunt letten.
Let vooral op de inhoud van het bericht:
Een verzoek om snel te handelen is een belangrijke rode vlag. Aanvallers proberen tijdsdruk te creëren zodat de ontvanger minder kritisch leest.
Vaak wijst een combinatie van signalen op phishing. Denk hierbij aan:
Phishing herken je zelden aan één kenmerk, maar aan het totaalbeeld. Bij twijfel: gebruik niet de link in de e-mail, maar ga zelf via de normale website of app naar de organisatie.
Let op: een aanvaller is bewust van bovenstaande rode vlaggen en zal, vooral in een spearphishingsituatie, er alles aan doen om je te overtuigen dat het geen rode vlag is. Bijvoorbeeld door je in contact te brengen met een klantenservice die met je meeleeft en verontschuldigingen aanbiedt dat er iets is misgegaan waardoor je toch opnieuw je bankgegevens op moet geven.
Test je kennis met de 8 vragen in deze Phishing Quiz. Veel succes!
Hoewel phishing niet volledig te voorkomen is, doe je er goed aan om maatregelen te nemen die de kans van slagen van een phishingaanval verlagen én schade beperken als het toch gebeurt.
Stimuleer veilig gedrag van medewerkers en wees terughoudend met het delen van (persoonlijke) informatie op sociale media en openbare platformen. Aanvallers zoeken daar vaak gegevens om doelwitten te selecteren en e-mailadressen te achterhalen.
Medewerkers moeten verdachte e-mails eenvoudig kunnen melden en laten controleren. Werk aan een laagdrempelige meldcultuur en draag dit actief uit binnen de organisatie. Je hebt de steun van bestuurders nodig. Voor digitaal veilig gedrag van iedereen in de organisatie is vaak meer nodig dan alleen een bewustwordingscampagne; structurele aandacht is noodzakelijk. Ook vanuit de bestuurder(s).
Zorg daarnaast voor doorlopende aandacht voor phishing, bijvoorbeeld door:
Oefenen helpt medewerkers om signalen te herkennen. Gesimuleerde phishingcampagnes kunnen worden ingezet om bewustwording te vergroten en om te zien waar extra aandacht nodig is.
Twijfel je en ken je degene die je een bericht stuurt? Bel degene gelijk via een nummer dat jou al bekend was en/of via een andere bron dan wat mogelijk in de mail staat.
Aanvullend kunnen technische maatregelen het risico verder verkleinen:
Houd er vooral rekening mee dat phishingmails nooit volledig te voorkomen zijn.
Het helpt om één duidelijk aanspreekpunt te hebben (bijvoorbeeld je servicedesk of securityteam) dat snel kan handelen. Snelle opvolging voorkomt vaak verdere verspreiding binnen de organisatie.
We willen tot slot benadrukken om het management en bestuur te betrekken. Het zijn niet alleen medewerkers die in phishing trappen. Bovendien heb je draagkracht binnen je organisatie nodig voor passende maatregelen en een veilige meldcultuur. Wanneer leidinggevenden het belang van melden en veilig gedrag actief uitdragen, verlaagt dit de drempel voor medewerkers om incidenten te melden, phishingaanvallen te signaleren en een cultuur te bouwen die goed is voor je cyberweerbaarheid.
Dan kan het NCSC ondersteuning bieden. We bieden je deskundig advies bij cyberincidenten. Samen kijken we wat er is gebeurd en wat dat betekent. Zo zet je snel de juiste stappen om de schade te beperken.
