Phishing-bewustzijn: hoe gebeurt het en hoe kunt u het voorkomen
Waarom gebruiken criminelen een phishing-aanval?
Wat is het grootste beveiligingslek in een organisatie?
De mensen!
Wanneer ze een computer willen infecteren of toegang willen krijgen tot belangrijke informatie zoals rekeningnummers, wachtwoorden of pincodes, ze hoeven het alleen maar te vragen.
Phishing aanvallen zijn gebruikelijk omdat ze:
- Makkelijk te doen – Een 6-jarig kind zou een phishingaanval kunnen uitvoeren.
- schaalbare – Ze variëren van spear-phishing-aanvallen die één persoon raken tot aanvallen op een hele organisatie.
- Zeer effectief - 74% van de organisaties een succesvolle phishing-aanval hebben meegemaakt.
- Inloggegevens Gmail-account - $80
- Creditcard pincode – $20
- Online bankreferenties voor rekeningen met minstens $ 100 in hen - $40
- Bankrekeningen bij minstens $ 2,000 - $120
U denkt waarschijnlijk: "Wauw, mijn rekeningen gaan voor de laagste dollar!"
En dit is waar.
Er zijn andere soorten accounts die voor een veel hoger prijskaartje gaan, omdat ze gemakkelijker geldovermakingen anoniem kunnen houden.
Accounts die crypto bevatten, zijn de jackpot voor phishing-oplichters.
De gangbare tarieven voor crypto-accounts zijn:
- Coinbase - $610
- Blockchain.com – $310
- Binance - $410
Er zijn ook andere niet-financiële redenen voor phishing-aanvallen.
Phishing-aanvallen kunnen door natiestaten worden gebruikt om andere landen te hacken en hun gegevens te minen.
Aanvallen kunnen zijn voor persoonlijke vendetta's of zelfs om de reputatie van bedrijven of politieke vijanden te vernietigen.
De redenen voor phishing-aanvallen zijn eindeloos...
Hoe begint een phishingaanval?
Een phishing-aanval begint meestal wanneer de crimineel naar buiten komt en u een bericht stuurt.
Ze kunnen u een telefoontje, een e-mail, een expresbericht of een sms sturen.
Ze kunnen beweren iemand te zijn die voor een bank werkt, een ander bedrijf waarmee u zaken doet, een overheidsinstantie, of zelfs doen alsof ze iemand van uw eigen organisatie zijn.
Een phishing-e-mail kan u vragen op een link te klikken of een bestand te downloaden en uit te voeren.
Je denkt misschien dat het een legitiem bericht is, klik op de link in hun bericht en log in op wat de website lijkt te zijn van de organisatie die je vertrouwt.
Op dit moment is de phishing-zwendel voltooid.
Je hebt je privégegevens overgedragen aan de aanvaller.
Hoe u een phishingaanval kunt voorkomen
De belangrijkste strategie om phishing-aanvallen te voorkomen, is het trainen van werknemers en het vergroten van het bewustzijn van de organisatie.
Veel phishing-aanvallen zien eruit als legitieme e-mails en kunnen een spamfilter of soortgelijke beveiligingsfilters passeren.
Op het eerste gezicht kan het bericht of de website er echt uitzien met een bekende logo-indeling, enz.
Gelukkig is het detecteren van phishing-aanvallen niet zo moeilijk.
Het eerste waar u op moet letten, is het adres van de afzender.
Als het afzenderadres een variatie is op een websitedomein waaraan u misschien gewend bent, wilt u misschien voorzichtig te werk gaan en niet op iets in de hoofdtekst van de e-mail klikken.
U kunt ook kijken naar het websiteadres waarnaar u wordt doorverwezen als er links zijn.
Voor de zekerheid typt u het adres van de organisatie die u wilt bezoeken in de browser of gebruikt u browserfavorieten.
Pas op voor links die, wanneer u er overheen zweeft, een domein laten zien dat niet hetzelfde is als het bedrijf dat de e-mail verzendt.
Lees de inhoud van het bericht zorgvuldig door en wees sceptisch over alle berichten waarin u wordt gevraagd uw privégegevens in te dienen of informatie te verifiëren, formulieren in te vullen of bestanden te downloaden en uit te voeren.
Laat u ook niet misleiden door de inhoud van het bericht.
Aanvallers proberen je vaak bang te maken om je op een link te laten klikken of je te belonen om je persoonlijke gegevens te bemachtigen.
Tijdens een pandemie of nationale noodsituatie zullen phishing-oplichters profiteren van de angsten van mensen en de inhoud van de onderwerpregel of berichttekst gebruiken om u bang te maken om actie te ondernemen en op een link te klikken.
Controleer ook op slechte spel- of grammaticafouten in het e-mailbericht of de website.
Een ander ding om in gedachten te houden is dat de meeste vertrouwde bedrijven u gewoonlijk niet zullen vragen om gevoelige gegevens via internet of e-mail te verzenden.
Daarom mag u nooit op verdachte links klikken of gevoelige gegevens verstrekken.
Wat moet ik doen als ik een phishing-e-mail ontvang?
Als je een bericht ontvangt dat lijkt op een phishingaanval, heb je drie opties.
- Verwijder het.
- Controleer de inhoud van het bericht door contact op te nemen met de organisatie via het traditionele communicatiekanaal.
- U kunt het bericht doorsturen naar uw IT-beveiligingsafdeling voor verdere analyse.
Uw bedrijf zou al de meeste verdachte e-mails moeten screenen en filteren, maar iedereen kan het slachtoffer worden.
Helaas vormen phishing-zwendel een groeiende bedreiging op internet en de slechteriken ontwikkelen altijd nieuwe tactieken om door te dringen tot uw inbox.
Houd er rekening mee dat u uiteindelijk de laatste en belangrijkste verdedigingslaag bent tegen phishingpogingen.
Hoe een phishing-aanval te stoppen voordat het gebeurt
Aangezien phishing-aanvallen afhankelijk zijn van menselijke fouten om effectief te zijn, is de beste optie om mensen in uw bedrijf te trainen hoe ze kunnen voorkomen dat ze in het aas grijpen.
Dit betekent niet dat u een grote vergadering of seminar moet houden over hoe u een phishing-aanval kunt voorkomen.
Er zijn betere manieren om hiaten in uw beveiliging te vinden en uw menselijke reactie op phishing te verbeteren.
2 stappen die u kunt nemen om een phishing-zwendel te voorkomen
A phishing-simulator is software waarmee u een phishing-aanval op alle leden van uw organisatie kunt simuleren.
Phishing-simulators worden meestal geleverd met sjablonen om de e-mail te vermommen als een vertrouwde leverancier of om interne e-mailindelingen na te bootsen.
Phishing-simulators creëren niet alleen de e-mail, maar helpen ook bij het opzetten van de nepwebsite waar de ontvangers uiteindelijk hun inloggegevens moeten invoeren als ze niet slagen voor de test.
In plaats van hen uit te schelden omdat ze in de val zijn gelopen, is de beste manier om met de situatie om te gaan informatie te geven over hoe phishing-e-mails in de toekomst kunnen worden beoordeeld.
Als iemand een phishing-test niet doorstaat, kun je hem het beste een lijst met tips sturen om phishing-e-mails te herkennen.
U kunt dit artikel zelfs gebruiken als naslagwerk voor uw medewerkers.
Een ander groot voordeel van het gebruik van een goede phishingsimulator is dat u de menselijke dreiging in uw organisatie kunt meten, die vaak moeilijk te voorspellen is.
Het kan tot anderhalf jaar duren om werknemers op te leiden tot een veilig niveau van mitigatie.
Het is belangrijk om de juiste phishing-simulatie-infrastructuur te kiezen voor uw behoeften.
Als u phishing-simulaties uitvoert voor één bedrijf, wordt uw taak eenvoudiger
Als u een MSP of MSSP bent, moet u mogelijk phishingtests uitvoeren voor meerdere bedrijven en locaties.
Kiezen voor een cloudgebaseerde oplossing is de beste optie voor gebruikers die meerdere campagnes uitvoeren.
Bij Hailbytes hebben we geconfigureerd GoPhish, een van de meest populaire open-source phishing-frameworks als een gebruiksvriendelijke instantie op AWS.
Veel phishing-simulators komen in het traditionele Saas-model en hebben strakke contracten, maar GoPhish op AWS is een cloudgebaseerde service waarbij u betaalt tegen een bepaald tarief in plaats van een contract van 1 of 2 jaar.
Stap 2. Beveiligingsbewustzijnstraining
Een belangrijk voordeel van het geven van werknemers veiligheidsbewustzijn training beschermt hen tegen identiteitsdiefstal, bankdiefstal en gestolen bedrijfsreferenties.
Beveiligingsbewustzijnstraining is essentieel om het vermogen van werknemers om phishingpogingen te herkennen te verbeteren.
Cursussen kunnen helpen bij het opleiden van personeel om phishing-pogingen te detecteren, maar slechts enkele richten zich op kleine bedrijven.
Het kan voor u als eigenaar van een klein bedrijf verleidelijk zijn om de kosten van een cursus te verlagen door enkele YouTube-video's over beveiligingsbewustzijn te sturen...
maar personeel herinnert zich zelden dat soort training voor meer dan een paar dagen.
Hailbytes heeft een cursus met een combinatie van snelle video's en quizzen, zodat u de voortgang van uw werknemers kunt volgen, kunt aantonen dat er beveiligingsmaatregelen zijn genomen en uw kansen op phishing aanzienlijk kunt verkleinen.
Je kunt onze cursus over Udemy hier bekijken of op de onderstaande cursus klikken:
Als u geïnteresseerd bent in het uitvoeren van een gratis phishing-simulatie om uw werknemers te trainen, ga dan naar AWS en bekijk GoPhish!
Het is gemakkelijk om aan de slag te gaan en u kunt altijd contact met ons opnemen als u hulp nodig heeft bij het instellen.
