Sponsored content
Sponsored content

Laat criminelen achter het net phishen

Voorheen was phishing makkelijk te herkennen: met een krakkemikkige e-mail probeerde een ‘Nigeriaanse prins’ je geld uit de zak te kloppen. Inmiddels is dat moeilijker: de prinsen zijn kwaadwillende ict-koningen geworden.



‘Het is heus niet dom als je in een hedendaagse phishing-mail trapt’, meent Hugo van den Toorn, consultant bij Deloitte Cyber Risk Services. ‘We zien steeds minder ongerichte spam en steeds meer spearphishing, die bewust op een groep gericht wordt, bijvoorbeeld klanten van een bepaalde bank. Het is belangrijk je te realiseren dat criminelen hierbij geraffineerd te werk gaan: websites van banken worden compleet nagemaakt, één op één, met alle logo’s en in perfect Nederlands. Sterker nog, omdat vaak het advies geldt “vertrouw je het niet, bel de bank”, hebben criminelen zelfs eigen helpdesks, waarvan het telefoonnummer in de phishing-mail en op de phishing-website staat.’

Criminelen hebben zelfs eigen helpdesks

Phishers zijn dus proactiever geworden. Van den Toorn: ‘Een bekend verhaal is dat van de zogenaamde Microsoft-medewerkers die bellen en vragen of je een programmaatje wilt installeren om de beveiliging van je computer te testen, waarmee je eigenlijk malware installeert.’ Dat is in essentie een klassieke babbeltruc, waarbij listig gebruik gemaakt wordt van de waarschuwingen die mensen krijgen tégen phishing. ‘Zo komen we in het sfeer van de social engineering, de kunst van het “hacken” van de mens’. Een collega van Van den Toorn deed onderzoek naar de psychologie achter bepaalde phishing-technieken: ‘Een beetje psychologische druk werkt het beste, met dingen als “klik nu, zoveel mensen gingen u voor” en “vul deze enquête in, daarmee helpt u uw collega’s”.’
Wat ook vaker voorkomt: whaling, een vrij specifieke vorm van spearphishing, die zich op bestuurders van bedrijven richt met als doel bijvoorbeeld grote betalingen te autoriseren. ‘Hierbij verzamelen criminelen eerst informatie over het doelwit - bijvoorbeeld via sociale media – zodat ze met een geloofwaardig scenario aan kunnen komen’, zegt van den Toorn. Hoe groot het probleem is, is moeilijk te zeggen; deze zaken komen zelden in de openbaarheid omdat bedrijven zich zorgen maken om hun imago. ‘En mensen schamen zich nou eenmaal, als ze zich hebben laten oplichten.’

Omdat de mails zo echt lijken, worden ze door spamfilters niet tegengehouden

Hoe kunnen we ons hier tegen wapenen? ‘Eigenlijk moet dit in het onderwijscurriculum’, meent Van den Toorn. ‘Naast biologielessen over bloempjes en bijtjes, zouden scholieren les moeten krijgen in cyber-hygiëne. Wat kun je wel en wat niet veilig op sociale media zetten? Hoe herken je phishing-mails?’ Want je kunt wel een goed geconfigureerde firewall en spamfilter hebben; doordat de mails zo echt lijken, glippen ze er gewoon doorheen. Van den Toorn: ‘Het komt echt op de mens zelf aan. De enige manier om te voorkomen dat je slachtoffer wordt, is jezelf bij elk mailtje, telefoontje of appje afvragen: klopt dit wel, dit verhaal, dit verzoek? Vragen ze om persoonlijke informatie, rekening- en creditcardnummers, of zelfs een kopie van je paspoort, denk dan: “Het bedrijf wéét dit al van mij, waarom zouden ze het nog eens vragen?”’
Ook binnen bedrijven is phishing een probleem en is bewustwording bij medewerkers belangrijk. Dit kan getraind worden door fictieve phishing-mails naar de werknemers van een bedrijf te sturen. Nadien wordt er gemeten hoe die daarmee om zijn gegaan. ‘Daarop volgt een awareness-traject, waarin beloning centraal staat: geef de eerste tien rapporteurs van een phishing-mail maar een bonus, want hiermee stimuleer je de bewustwording op een positieve manier.’

Hoe is het gesteld met jouw phishing-bewustzijn? Test ‘m doormiddel van deze quiz.

Hugo van den Toorn is consultant bij Deloitte Cyber Risk Services en heeft onder andere expertise op het gebied van social engineering en phishing. Wil je meer weten over phishing, ga dan naar de website van Deloitte of neem contact op met Hugo.