Tech-redacteur Joost Schellevis van de NOS schreef afgelopen maand over hoe hij op een Russisch hackforum kant-en-klare nagemaakte websites van banken kon kopen. De nagemaakte sites zijn bijna niet te onderscheiden van de ‘echte’ sites. Hiermee laat Schellevis zien hoe makkelijk het tegenwoordig is om als internetcrimineel aan de slag te gaan met phishing.
De gevaren van phishing?
Om meer te leren over phishing spraken we met Rogier van der Galiën, oprichter van The Slippery Phish Project: een campagne om mensen bewust te maken van Phishing-technieken. Rogier geeft aan dat phishing al meer dan 20 jaar bestaat en een van de meest gevaarlijke vormen van cybercriminaliteit is. 91% van alle cyber crimes beginnen met een phishing-aanval. Phishing-technieken worden beschouwd als gevaarlijk, omdat het laagdrempelig is en het bijna niet te voorkomen is door middel van internetbeveiliging. Zo kan een website met een SSL-certificaat alsnog een phishingsite zijn.
Phishing via de mail
Via onbetrouwbare e-mails blijven phishers langs de spam-filters, firewalls en andere beveiligingsmaatregelen sneaken. Phishing wordt vaak verspreid via de mail. Misschien denk je nu aan typische spammails, met een onbekende afzender, slecht Nederlands en met een huisstijl die afwijkt van die van het ‘echte’ merk. Echter zijn tegenwoordig mails, afkomstig van phishers, niet meer te onderscheiden van de ‘echte’ mails. Als e-mail marketing bedrijf is het frustrerend om te zien hoe e-mail wordt ingezet door deze criminelen. Voor bedrijven is phishing daarnaast ook erg schadelijk, gaat men straks bijvoorbeeld de mails van het ‘echte’ bedrijf naar hun spam box sturen om schade te voorkomen?
Ook via nagemaakte interne mailtjes kan een bedrijf slachtoffer worden van phishing. Kijk bijvoorbeeld naar hoe de Nederlandse Pathé afdeling door phishingmails niet 19.2 miljoen overmaakte naar hun Franse hoofdkantoor maar naar het account van een phisher.
Wat kun je eraan doen?
Hoe voorkomen we dat we zelf slachtoffer worden van Phishing? Tot op de dag van vandaag is er nog geen vaste oplossing voor deze probleemstelling. Van der Galiën: ‘Je moet altijd met gezonde achterdochtigheid het internet op gaan. Je moeder, vriend of collega kan gephist zijn en dan kunnen ze vervolgens met hun account dingen naar jou sturen. De mens is dan ook de zwakste schakel in technologie. Je phist een persoon, niet een computer’.
Er kan al veel ellende voorkomen worden door niet meer op linkjes te klikken, maar altijd zelf de website URL in te typen. Probeer daarnaast ook logisch na te denken. Het probleem van Pathé had bijvoorbeeld makkelijk voorkomen kunnen worden als er een intern telefoontje was gepleegd om na te vragen of de informatie uit de ontvangen mail correct was.
Als iemand via jouw bedrijfsnaam phishing mails rondstuurt, is het belangrijk om snel actie te ondernemen. De Rijksoverheid raadt aan om meteen aangifte te doen. Deze aangifte valt onder cybercrime en is een vorm van identiteitsfraude. Het is naast aangifte doen van belang om je e-mail lijst bewust te maken van het gevaar. Een goede volgende stap is dus het rondsturen van een informatieve mail. Maak je klanten bewust van de phishingmail om schade bij hen te voorkomen. Vermeld in deze mail hoe de phishingmail er uitziet, dat je aangifte hebt gedaan en bied eventueel je excuses aan voor de verwarring.