Het was niet weg te slaan uit het nieuws de afgelopen weken: cyber criminelen hebben het druk, vooral dan met het lanceren van phishing aanvallen. Met onze zeven tips leer je deze aanvallen herkennen. Wil je deze tips omzetten in een praktijktest samen met jouw team? Vraag dan naar onze phishing awareness training! 

Een opstoot van cyber criminaliteit: phishing viert hoogtij

De pandemie heeft een immense impact op onze levens. Een bijkomend randfenomeen van het vele thuisblijven, is dat ook mensen met slechte bedoelingen nu van thuis uit “werken”. Phishing is zo aan een enorme opmars begonnen sinds maart 2020. Een Amerikaanse studie legde volgende schokkende cijfers bloot: 

• Phishing is uitgegroeid tot de populairste methode voor cybercriminelen: 
  • De aanvallen stegen met 667%.
  • 60% van alle criminelen gebruiken deze methode. 
  • 80% van alle aanvallen, is een phishing aanval.
• In 2020 werd 65% van alle Amerikaanse bedrijven het doelwit van een phishing aanval.
• Momenteel wordt elke 39 seconden een phishing aanval gelanceerd.
• Tegen eind 2021 wordt de schade door cyber crime geschat op zo’n 6 BILJOEN dollar.
• Websites zijn langer offline door aanvallen: de downtime steeg met gemiddeld 75% in 2020. Hierdoor moesten bedrijven 50% langer hun activiteiten stilleggen.

Wat is phishing precies?

Phishing is een vreemd klinkende term, maar het is eigenlijk heel simpel: cybercriminelen doen zich in een bericht of op een website voor als een betrouwbare instantie en vragen je om persoonlijke informatie, zoals login-gegevens. Vervolgens proberen ze je geld afhandig te maken. Vaak gaat het om bankgegevens of de login bij jouw bank, Paypal of sociale media. 

Voorbeelden van phishing aanvallen

Tijd voor een paar concrete voorbeelden. 
Het bekendste voorbeeld is misschien wel de crimineel die zich voordoet als jouw bank en vraagt om dringend in te loggen “via onderstaande link”. Die brengt je naar een login-scherm dat als twee druppels water lijkt op dat van jouw bank. Vaak is het echter een eigen website die jouw logingegevens opslaat. Vervolgens loggen de criminelen met jouw gegevens in bij jouw bank… 

Een ander voorbeeld is een bericht waarin de phishers zich voordoen als Bpost. Ze beweren dat er een pakje voor je klaarligt, maar dat je enkel nog de leveringskosten moet betalen. Vaak zijn dit kleine bedragen (een vijftal euro) en je kan ze meteen aflossen. Toch doe je dit beter niet, want met je ingegeven bankgegevens krijgen de criminelen al snel toegang tot jouw bankrekening!

Lastiger wordt het wanneer je een bericht van een Facebookvriend krijgt. Hackers kunnen namelijk inbreken in een Facebookaccount om zo de contacten van die persoon een malafide link door te sturen. Een bekend voorbeeld is een bericht dat lijkt op een artikel met tips van Yves Leterme om te beleggen in bitcoins.

Hoe herken je een phishing aanval? Wat zijn de kenmerken van een phishing mail?

Gelukkig zijn er een aantal kenmerken waaraan je een phishing-aanval kan herkennen. 

1. Kijk goed naar het afzender adres.
   Kreeg je wel écht een mail van jouw bank? Vaak zit ’t hem in de details. Misschien kreeg je wel een email van info@belfuis.be en niet van info@belfius.be?
    
2. Ook het webadres waar je heen gestuurd wordt is belangrijk.
   Banken gaan zelfden of nooit een onherkenbare- of onlogische url gebruiken. Word je niet naar het logische www.belfius.be/login gestuurd? Dan is er iets niet pluis. Ga met je muisaanwijzer over de link in het bericht, normaal kun je dan al zien welke link gebruikt wordt. Opnieuw: het gevaar kan zich verschuilen in een klein detail: www.belfius.login.com en www.belfius.be/login. De eerste login gaat namelijk niet naar belfius.be, maar naar login.com…
    
3. Vraag jezelf ook af of je wel nieuwe verwacht? “Als iets te mooi is om waar te zijn, dan is dat meestal ook zo”.
   Heb je geen pakje besteld? Dan ligt er zeker geen op je te wachten. Heb je nooit bitcoins gehad? Dan ga je er heus geen gratis krijgen... Hetzelfde geldt voor je vrienden: komen die op Facebook uit 't niets aandraven met tips voor investeringen? Dan klopt er iets niet. En die Nigeriaanse prins wil ongetwijfeld ook niet écht een deel van z’n erfenis aan jou kwijt!
    
4. Nog zo’n typisch signaal dat iets niet pluis is: is het opeens héél dringend dat je iets betaalt, of dat je inlogt? Verdacht!
   Bedrijven sturen je altijd meerdere aanmaningen. Ook je bank zal je niet uit ‘t niets een bericht sturen waarop je absoluut binnen de 24 uur moet antwoorden… Criminelen gebruiken deze dringende taal om je zenuwachtig te maken. Je moet snel - zonder twee keer na te denken - handelen. Daardoor maak je fouten en ben je onvoorzichtig.
    
5. Dé gouden regel: je bank vraagt je nooit om je login-, bank- of persoonlijke gegevens via sms, mail of telefoon.
   Doen ze dat toch, dan heb je zeker niét met je bank te maken.
    
6. Nog een weggevertje: opvallende (ver)taal- en tikfouten.
   Vaak zijn criminelen slordiger dan jouw bank. Die betalen namelijk geen professionele marketingmedewerkers om hun communicatie op te stellen. Vaak gebruiker ze een snel- en slecht opgestelde tekst die ze misschien wel gewoon uit het Engels vertaalden met een automatische tool… Toch moeten we dit nuanceren. Dit is geen sluitende regel. Een crimineel kan natuurlijk soms wél goed schrijven en ook betrouwbare instanties laten al eens een tikfoutje staan...
    
7. Je spamfolder heeft vaak gelijk.
   Banken en andere instanties doen er alles aan om hun mails af te stemmen op de eisen en filters van een spamfolder. Zit een mail van jouw bank bij je ongewenste- of spammails? Dan zal dat waarschijnlijk niet betrouwbaar zijn…

En natuurlijk: vertrouw op je boerenverstand. Lijkt er iets niet pluis? Doe dan niets. Of neem contact op met de instantie die je zogezegd gemaild, ge-sms’t, gebeld of gewhatsappt heeft. Zij zullen je kunnen bevestigen of je effectief iets moet doen. 

Wat doen als je een phishing bericht ontving? 

Hoe je het ook draait of keert: ooit krijg je te maken met een phishing bericht. Ofwel in je mailbox, ofwel in je Facebook berichten of zelfs via de telefoon. Het belangrijkste is dat je echter nergens op doorklikt en al zeker geen persoonlijke informatie ingeeft! Hoe dringend iets ook klinkt, hoe nieuwsgierig je ook bent: laat het bericht voor wat het is. 

Wat je wel kan doen, is het bericht doorsturen naar verdacht@safeonweb.be. Deze instantie van de Belgische overheid houdt zich bezig met het bestrijden van webcriminaliteit. 

"Ik heb toch doorgeklikt en ben gehackt, wat nu?"

Heb je toch geklikt op een onbetrouwbare link, of heb je zelfs ingelogd en zo persoonlijke informatie doorgegeven? Dan moet je als de bliksem je wachtwoorden wijzigen en melding doen bij de politie en/of jouw IT-verantwoordelijke in het bedrijf. 

Weet dat dit geen schande is. Je hoeft het niet te verzwijgen. Zelfs de besten zijn soms onoplettend. Het niét melden is een veel groter probleem.

Train jezelf en jouw medewerkers: de phishing test van Sofatech

Praktijkervaring is altijd beter dan de theorie. Enkel door om te gaan met phishing berichten, kun je ze écht leren herkennen. Alleen: bij phishing is er amper ruimte voor foutjes. Bij Sofatech hebben we daar de ideale oplossing voor: wij bieden jouw bedrijf een training aan waarbij wij nagaan of er veiligheidsproblemen zijn in jouw organisatie. Vervolgens leren we jullie medewerkers de kenmerken van een phishing mail herkenen. We doen dit onder meer door testmails uit te sturen op onverwachte momenten. Wanneer medewerkers fouten maken, krijgen ze extra uitleg, zonder dat wij écht gegevens (of geld) stelen natuurlijk. 

Interesse? Neem vrijblijvend contact met ons op voor meer informatie.