Even inloggen… alles kwijt. Phishing bedreigt ook jouw bedrijf

Je bedrijf loopt gevaar online. En dat gevaar komt van binnenuit. De zwakste schakel in je beveiliging zijn namelijk je eigen medewerkers. Het hoeft maar 1 keer verkeerd te gaan of de toegangspoort tot je data en systemen staat wagenwijd open, en cybercriminelen kunnen vrolijk hun slag slaan.

We vertellen je in deze blog over phishing, de geraffineerde methode waarmee criminelen het goede vertrouwen van je medewerkers misbruiken om achter je inloggegevens komen. Ook geven we je tips om te voorkomen dat “even inloggen” jou een bult losgeld kost.

En mocht je nu nog aarzelen om verder te lezen: inmiddels staat phishing bovenaan de lijst van cyberdreigingen. Want in 90 procent van de gevallen lukt een cyberaanval dankzij een menselijke fout.

Wat is Phishing?

Phishing betekent letterlijk “vissen”. Iemand van buiten jouw bedrijf loopt te hengelen naar inloggegevens die toegang geven tot jouw data. Als het lukt, kan deze crimineel je bespioneren, belangrijke gegevens van je stelen of – en dat hoor je steeds vaker – je gegevens blokkeren met ransomware. “Losgeld in bitcoin betalen alstublieft.”

Vissers gebruiken lokaas. Cybercriminelen gebruiken als lokaas een e-mail die er betrouwbaar uitziet. In die mail vind je een link of een button die je naar een website leidt die er ook helemaal vertrouwd uitziet. Op die site moet je dan je inloggegevens gebruiken. Wat ook kan: er komt een pop-up tussendoor die om je inloggegevens vraagt.

De criminele hengelaars gooien soms duizenden lijntjes tegelijkertijd uit naar willekeurige mailadressen. Soms vissen ze heel gericht via mailadressen van medewerkers van een bepaald bedrijf. Als iemand toehapt, komen diens inloggegevens keurig in een database waarmee de boosdoeners direct, of op een later moment, aan de slag gaan.

De mens als zwakste schakel

Iedereen kent de verhalen wel over hoe hackers zoeken naar kwetsbare plekken in je firewall of je software om je netwerk of systemen binnen te komen. Daarom update je je virusscanners en je firewallsoftware. Phishing mikt echter op de allerzwakste schakel in de beveiligingsketen, en daar helpt geen virusscanner tegen.

Jij en ik zijn de zwakste schakel. We zijn zo gewend dat we ergens moeten inloggen om iets voor elkaar te krijgen, dat we makkelijk zonder nadenken onze gegevens invullen en op “verzenden” drukken. Dat doen we nog sneller wanneer de afzender die met ons communiceert vertrouwd is, en de omgeving waarin we onze gegevens invullen er bekend uitziet.

Dus we klikken op een link in de mail van de bank of van de pakketbezorgdienst. Of we werken die hinderlijke pop-up eventjes weg door de gegevens in te vullen waar om gevraagd wordt. En zo geven we in een paar seconden, even snel op de automatische piloot, belangrijke inloggegevens weg. Terwijl we vaak wel aanvoelen dat het niet helemaal klopt.

Het niet-pluisgevoel

Stel je laat online je gegevens achter, en er gebeurt niets. Of je krijgt een melding dat de website tijdelijk niet toegankelijk is. Op dat moment kun je je schouders ophalen, “het zal wel”. De digitale wereld blijft immers altijd iets ongrijpbaars houden. Je gaat over tot de orde van de dag. Je gevoel van argwaan redeneer je weg, je hebt immers wel meer te doen en zo’n vaart zal het wel niet lopen.

Dus zelfs als het niet pluis voelt, kun je dat in de drukte van alledag makkelijk negeren. En cybercriminelen maken hun lokaas steeds beter: schoonheidsfoutjes in de opmaak van een mail of een website, spelfouten; ze komen steeds minder voor.

Microsoft 365 Business Premium vangt het lokaas af

Inkomende mails wil je gescand hebben voor ze de inbox van jou en je medewerkers bereiken. Zodat mails met virussen in de attachments, en mails met verdachte links en afzenders in het filter blijven hangen. Het malware- en phishingfilter moet steeds uitgaan van de nieuwste informatie.

Bij de Premium-licentie van Microsoft 365 Business zit dat hoogwaardige filter standaard inbegrepen. Inkomende mails worden gescand voor ze jouw bedrijf bereiken, en verdachte mails worden in een quarantaineportaal vastgehouden. De geadresseerde krijgt een berichtje, en kan vervolgens in het portaal beoordelen of de mail inderdaad vals is of echt. Een echte mail kan dan vrijgegeven worden, en komt in de inbox terecht.

Voor mails met een groot veiligheidsrisico kan zelfs worden bepaald dat alleen een beheerder ze kan vrijgeven. Zo bouw je een extra check in, en voorkom je geslaagde phishingacties.

Als je geen Premiumlicentie van Microsoft Business hebt, kun je dit filter ook laten inschakelen door je te abonneren op Microsoft Defender for Office 365. Bij Brisk ICT kunnen ze je hier alles over vertellen. Zij stellen het filter natuurlijk ook voor je in (dat moet gebeuren).

Simuleer een cyberaanval

Organiseren jullie wel eens een brandoefening, zodat iedereen weer scherp heeft wat er in geval van nood moet gebeuren? Jij kunt je medewerkers met Microsoft Defender for Office 365 ook scherp houden op phishing. Neem je namelijk Plan 2 van de software af, dan kun je een phishingaanval simuleren.

Je informeert je medewerkers over de oefening, laat het programma betrouwbaar uitziende phishingmails verzenden, en merkt vanzelf of er medewerkers toehappen. Als er collega’s voor de bijl gaan, is dat een mooie gelegenheid om de alertheid binnen je organisatie een boost te geven.

Stel Multi Factor Authentication verplicht

Zelfs als er geen phishingmail meer doorheen komt, en je medewerkers herkennen feilloos het lokaas en happen nooit. Dan nog is er de kans dat inloggegevens worden gestolen. Denk aan hackers die gegevens uit online databases stelen. Veel mensen recyclen hun wachtwoorden: het is voor criminelen een kwestie van uitproberen.

Laat je medewerkers daarom Multi Factor Authentication (MFA) inschakelen. Microsoft, Google of Apple: ze raden het je allemaal dringend aan. MFA betekent dat je, om in te loggen, een extra handeling moet verrichten. Je moet bevestigen dat jij het bent die aan het inloggen is, bijvoorbeeld door het sein ‘veilig’ te geven op je mobiele telefoon.

Krijg je een MFA-melding terwijl je nergens aan het inloggen bent? Dan negeer je die en verander je direct je wachtwoord. En ja, ook hier ligt ‘even snel accepteren’ op de loer. Daarom word je steeds vaker gedwongen na te denken, door online handmatig een code in te voeren die op je telefoon verschijnt.

Zijn mijn inloggegevens bij criminelen bekend?

Ben je nieuwsgierig of jouw inloggegevens bij een hack in verkeerde handen terecht zijn gekomen? Misschien zijn de klantgegevens van je garagebedrijf ontvreemd, of de database van een webshop waarbij je iets kocht. Je kunt dat op verschillende manieren ontdekken.

Op de website haveibeenpwned.com kun je niet alleen nazoeken of je mailadres, maar ook of een door jou gebruikt wachtwoord, door hackers uit een database is ontvreemd. Er staat ook bij wanneer de database is gehackt.

Gebruik je een passwordmanager in je browser, dan kun je daarin vaak ook zien of een wachtwoord nog veilig is. De manager van de Microsoft Edge Browser, en ook die van Google Chrome en Safari vergelijkt jouw inloggegevens met de mailadressen en wachtwoorden die door hackers worden uitgewisseld.

Ga je in je telefoon via instellingen naar wachtwoorden, dan tref je ook daar vaak beveiligingswaarschuwingen aan.

Kortom:

De grootste cyberdreiging voor bedrijven vandaag is phishing. Voorkom dat medewerkers hun inloggegevens prijsgeven aan cybercriminelen met de volgende stappen:

* Train ze met de ESET-training op de site van Brisk ICT

* Gebruik Microsoft 365 Business Premium of Microsoft Defender for Office 365 om phishingmails uit je inkomende berichten te filteren

* Stel Multi Factor Authenticatie voor al je collega’s verplicht

Extra tip: zorg voor een beveiligde back-up van je systemen en je gegevens (ook die in de Cloud). De mensen van Brisk ICT geven je graag advies over alle mogelijkheden en instellingen. Neem gerust vrijblijvend contact op.