De afgelopen jaren is het gevaar van phishingaanvallen enorm toegenomen. En hoewel elke organisatie of individu een potentieel doelwit is, heerst bij sommige organisaties nog het gevoel ‘het overkomt ons toch niet’. Hoe ziet het phishinggevaar er anno 2021 uit en nog belangrijker, hoe weer je jezelf hiertegen? Een gesprek hierover met Projectmanager Awareness & Social Engineering Timo Koot: “Het alert houden van medewerkers is essentieel om je goed te kunnen wapenen tegen phishing.”

Phishing is zoals de naam al aangeeft het ‘vissen’ naar gegevens en andere gevoelige informatie. “Die definitie is nog steeds hetzelfde als tien jaar geleden, maar de gebruikte technieken en methoden veranderen wel,” begint Timo het gesprek. “Deze werkwijze wordt natuurlijk steeds geavanceerder en speelt in op de actualiteit. Waar vroeger de bekende phishingmails gebrekkige taal en opmaak bevatte, zie je nu steeds vaker berichten die niet van het echt te onderscheiden zijn. Daarnaast wordt phishing niet alleen meer via de mail uitgevoerd, maar steeds vaker ook via de telefoon, post, SMS of WhatsApp.”

Toegenomen dreiging

Door de uitbraak van de coronacrisis is de dreiging van phishing volgens Timo erg toegenomen. “Je ziet duidelijk een verschuiving van offline naar online criminaliteit. Nu iedereen thuis zit en werkt, is het ‘offline’ inbreken erg lastig geworden. Maar omdat iedereen online bezig is, groeit de kans om via phishing online in te breken. Medewerkers zitten daarnaast vaak alleen thuis waardoor ze kwetsbaarder kunnen zijn voor deze aanvallen. Ze zijn meer op zichzelf aangewezen of zijn door het ontbreken van een geschikte werkplek of kinderen sneller afgeleid, waar kwaadwillenden misbruik van willen maken. En dat lukt hen helaas, want in de testen die wij het afgelopen jaar uitvoerden, zagen we dat het aantal kliks en logins met ongeveer 30 procent stijgen ten opzichte van de situatie voor de coronacrisis.”

Iedereen als potentieel doelwit

Phishing heeft volgens Timo twee mogelijke hoofddoelen: het verkrijgen van gevoelige informatie en gegevens om deze vervolgens door te verkopen, of de toegang verkrijgen tot het netwerk van een organisatie. “Bij dat laatste geval gaan de criminelen op zoek naar waardevolle informatie of de kroonjuwelen van de organisatie om deze vervolgens te ‘gijzelen’. Dit houdt in dat de informatie door de kwaadwillenden wordt versleuteld waardoor de organisatie geen toegang meer heeft tot deze gegevens. Pas tegen betaling van losgeld kan de organisatie de data mogelijk weer terugkrijgen.”

“Bepaalde sectoren zullen voor criminelen extra onder de loep liggen, omdat zij over een grote hoeveelheden waardevolle informatie of gevoelige gegevens beschikken. Daar is voor kwaadwillenden dus meer buit te maken. Maar in principe is elke organisatie of elk individu een potentieel doelwit voor phishingaanvallen.”

Spear phishing

Er zijn verschillende manieren waarop phishing plaatsvindt. Zo is er de bekende algemene phishingmail die naar grote groepen mensen wordt gestuurd, maar zijn er ook specifiekere aanvallen. “Criminelen richten zich dan op één specifieke medewerker. Deze vorm wordt ook wel ‘spear phishing’ genoemd. Een bekende vorm hiervan is CEO-fraude, waarbij de kwaadwillenden zich voordoen als de directeur of iemand anders met een hooggeplaatste functie. Deze manier kost criminelen meer tijd, bijvoorbeeld door het verzamelen van informatie over de organisatie, het bedenken van een geloofwaardig verhaal en het aangaan van de interactie met de medewerker. Maar de mogelijke opbrengsten zijn dan ook enorm. Denk bijvoorbeeld aan Pathé, die in 2018 door deze vorm van phishing 19 miljoen euro verloor.”

MFA en sterke wachtwoorden

Met technische maatregelen kan het gevaar van een phishingaanval verminderd worden. “Spamfilters en firewalls worden steeds beter in het herkennen en tegenhouden van deze mails, maar een van de belangrijkste maatregelen die je kunt nemen is multifactor authenticatie (MFA). MFA voorkomt dat criminelen met alleen jouw inloggegevens toegang hebben tot een systeem. Daarnaast dragen sterke wachtwoorden ook bij aan het verminderen van het gevaar omdat simpele wachtwoorden makkelijk gekraakt kunnen worden door software.”

Op werk én thuis

Maar met alleen de technische maatregelen ben je er nog niet. Timo: “Het is minstens zo belangrijk om de bewustwording bij medewerkers hoog te houden en duidelijke procedures en processen neer te zetten omtrent het delen van en omgaan met informatie. Daarbij is alleen het waarschuwen voor phishing is niet voldoende; je moet het ook tastbaar en dichtbij maken voor medewerkers. Bijvoorbeeld door middel van presentaties of sessies over het onderwerp. Maar ook door ontvangen phishingmails te delen zodat medewerkers ze gaan herkennen. Daarnaast is het belangrijk aandacht te besteden aan het omgaan met en verifiëren van verzoeken waarbij gevraagd wordt om gegevens van medewerkers of klanten te delen. Een malafide verzoek valt medewerkers dan veel sneller op.”

“Daarnaast is phishing een onderwerp waar medewerkers niet alleen op de werkvloer mee te maken krijgen, maar ook privé. Hierdoor is het een onderwerp wat goed en makkelijk te bespreken is. Het bewuster maken van medewerkers is een continu proces en niet een onderwerp waar eenmalig aandacht aan moet worden besteed.”

Inzicht in bewustwording

Audittrail kan organisaties hierbij helpen middels haar phishingtesten, die zowel via de mail als SMS kan worden uitgevoerd. “Zo verkrijgen organisaties inzicht in de bewustwording van haar medewerkers omtrent phishing,” licht Timo toe. “Zeker nu medewerkers thuiswerken is het belangrijk om inzicht te krijgen in hoe medewerkers omgaan met dit soort acties. Naast een rapportage met daarin resultaten van de test, biedt een phishingtest ook inzicht in de incident response. Het is enorm waardevol om naar aanleiding van een test de reacties binnen de organisatie te volgen. Hoe snel komt de eerste melding binnen? En hoe reageren medewerkers nadat intern een melding is gemaakt? Deze bevindingen kunnen vervolgens worden meegenomen in bewustwordingssessies.”

Continu alert blijven

Want het phishinggevaar bij organisaties zal de komende jaren alleen maar verder toenemen, sluit Timo af: “Mensen maken fouten en zijn beïnvloedbaar, dat zal niet veranderen. Daarom zal phishing blijven, zich ontwikkelen en gaan gebruikmaken van nieuwe technologieën en werkwijzen. Zo zie ik kunstmatige intelligentie in de toekomst als reële dreiging, bijvoorbeeld middels deepfakes. Hierdoor wordt het moeilijker om echt van nep te onderscheiden. Criminelen kunnen dit inzetten bij phishingaanvallen door zich voor te doen of te klinken als een medewerker van de organisatie. Bewustwording over de gevaren van phishing én weten waar je op moet letten, zal daarom ook in de toekomst nog belangrijker worden.”

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? Laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.