Cybercriminelen hanteren verschillende methodes om toegang te krijgen tot de bedrijfsnetwerken en de informatie van bedrijven. Ze richten zich daarbij steeds vaker op de medewerkers van de organisatie. Eén van de succesvolste methodes die door cybercriminelen wordt gebruikt is het sturen van een phishing bericht via e-mail.
Bij phishing worden de slachtoffers (lees: de medewerk(st)ers van je bedrijf) verleid om bepaalde informatie te verstrekken of om bijvoorbeeld op een link te klikken. De cybercriminelen “vissen” op deze manier naar informatie over je bedrijf, de netwerken en de bedrijfsgegevens.
Het sturen van phishing e-mails is populair bij cybercriminelen. We hebben er allemaal wel eens mee te maken gehad. Je ontvangt bijvoorbeeld een email die van de bank lijkt te komen met het verzoek om je accountgegevens te bevestigen. Als je dan op zo’n link klikt dan kun je terecht komen op een "valse" website die vervolgens virussen en/of malware op je computer en je netwerk installeert. Of je komt terecht op een nagemaakte inlogscherm waarin je gevraagd wordt je Microsoft inloggegevens in te voeren. Onbewuste mensen trappen daar in en vullen hun inloggegevens in. Een gevaarlijke situatie natuurlijk, want op die manier geef je de cybercriminelen de sleutel om binnen te komen in het netwerk van je bedrijf. Je verliest dan snel de controle over je systeem en vertrouwelijke bedrijfsinformatie komt in gevaar.
"Die phishing e-mails herken ik wel hoor, die komen van een bank"
OK, dat hoor ik vaker. De praktijk is echter anders. Als ik bij bedrijven een eerste phishingtest als "nulmeting" uitvoer is het héél gewoon dat 30-40% van het personeel op de link in de test klikt. En daarnaast voert ook nog eens de helft daarvan hun inloggegevens in.
Het gevaar van phishing wordt door veel mensen erg onderschat. Ze realiseren zich niet wat de gevolgen kunnen zijn. Bij een ransomware besmetting zijn de financiële-, operationele- en reputatieschade enorm. En dan loop je ook nog eens de kans dat de AP (Autoriteit Persoonsgegevens) aan de bel trekt omdat je een datalek hebt veroorzaakt. De continuïteit van een bedrijf komt vaak in gevaar.
Menselijke eigenschappen
Bij phishing wordt er misbruik gemaakt van heel gewone menselijke eigenschappen. Zo wordt er bijvoorbeeld ingespeeld op gemakzucht, emoties, angsten, onwetendheid, nieuwsgierigheid, eigenwijsheid, etc. Hackers weten slim in te spelen op deze menselijke eigenschappen met de teksten in hun phishing berichten waarmee ze hun slachtoffers effectief in de val lokken.
Alle medewerk(st)ers van bedrijven ontvangen regelmatig phishing e-mails. Ze ontvangen ze niet alleen op het werk, maar ook thuis! Veel mensen ontvangen werk e-mails ook op hun Smartphone. Hackers weten dat. En ze weten óók dat mensen 's avonds thuis op de bank minder alert zijn dan op het werk. Een linkje in een e-mail op zo'n klein telefoonschermpje is dan snel aangeklikt.
Alle medewerk(st)ers in elke organisatie horen tegenwoordig te weten hoe ze e-mails moeten beoordelen of het wel/geen phishing is. Dat gaat verder dan alleen maar het afzendadres bekijken. Bewust personeel maakt een organisatie weerbaar tegen phishing. Dat verlaagt het aantal security incidenten en datalekken.
Security Awareness: Besteed er aandacht aan
Security is al lang niet meer het exclusieve speelveld van de “ICT-jongens”. Het gaat om veilig gedrag van medewerkers met ICT middelen en bedrijfsinformatie. Er moet de juiste cultuur gecreëerd worden op het gebied van informatiebescherming. Steeds vaker wordt daarom ook HR betrokken bij een security awareness programma.
Het is van belang dat medewerkers bewust gemaakt worden van de risico’s waaraan ze bloot staan. Zowel op het werk als thuis! Begin eens met een phishingtest als nulmeting, gevolgd door enkele awareness presentaties en E-learning modules. Tijdens deze Awareness presentaties ga ik uitgebreid in op onderwerpen als phishing, veilige omgang met wachtwoorden en de diverse vormen van fraude. Voorbeelden genoeg! De presentaties zijn een eye-opener geweest voor velen. Ik help bedrijven met een Security Awareness platform waarmee een passende awareness campagne opgezet kan worden, inclusief e-learning en phishingtesten. Het gaat hierbij om lage kosten per medewerk(st)er en het voorkomt veel ellende in de toekomst.
Met vragen is iedereen uiteraard welkom. Vul het formulier hieronder in of neem rechtstreeks contact met me op via e-mail: rob.koch@kochconsultancy.nl