Phishing is een (groeiend) probleem voor veel organisaties. 98% van de succesvolle cyberaanvallen beginnen met een phishing e-mail. Omdat mensen emotioneel beïnvloedbaar zijn is het een bijzonder effectief wapen voor cybercriminelen. Maar er is een oplossing, met de juiste kennis kun je een phishing e-mail goed herkennen.
Phishing e-mails spelen in op jouw emoties. Door rationeel te blijven denken voorkom je dat je slachtoffer van een phishing e-mail wordt. Heb je het vermoeden dat je naar een phishing e-mail aan het kijken bent? Dan kun je jouw vermoeden testen door naar specifieke technische kenmerken te kijken.
Phishing speelt in op jouw emotie
Het emotionele deel van ons brein is sneller en sterker dan het rationele deel van ons brein. Daarom wordt bij phishing vaak gebruikgemaakt van technieken om ons te laten handelen vanuit emoties zoals angst en stress. Als je je bewust bent van deze veelgebruikte technieken kun je ze herkennen en rationeel handelen.
Een tip van DTX om niet uit emotie te handelen is de 6-seconden regel. Na 6 seconden zal het rationele deel van je brein weer gelijklopen met het emotionele deel en kun je bewuster de validiteit van de e-mail controleren. Vraag jezelf af wat het doel is van de email en hoe het dit doel probeert te bereiken?
Er zijn zes scenario’s die hackers het meest misbruiken:
- Stress
Het is bijna 5 uur, je werkt vluchtig door je taken heen en op het laatste moment ontvang je toch nog één e-mail. Vanwege de stress werk je te snel en heb je niet genoeg aandacht voor de email. Te vluchtig reageren op een mail kan ervoor zorgen dat je de risico signalen mist. Denk aan de 6-seconden regel. - Urgentie
Vaak wordt er via deadlines een tijdsdruk gegeven. Dit kan in positieve of negatieve zin, zo kan het zijn dat “je een prijs hebt gewonnen die je binnen een paar uur moet claimen” of “je bankrekening vergrendeld binnen zoveel uur als je geen actie onderneemt”. - Angst
Het vorige voorbeeld gebruikt ook angst, je bent bang dat je bankrekening vergrendeld en je niet meer bij je geld kunt. Dit soort e-mails spelen in op je angst om iets te vergeten, dat je iets verkeerd hebt gedaan en er grote consequenties volgen als je niet handelt. - Hebzucht
Zijn er nog maar 5 gift-cards over? Doet de dienst of het product zich voor alsof er veel vraag naar is? Is een product ineens heel scherp afgeprijsd? Het is waarschijnlijk te mooi om waar te zijn. Let goed op dat je niet vanuit hebzucht beslissingen maakt. - Nieuwsgierigheid
Het is natuurlijk voor de mens om nieuwsgierig te zijn. Een e-mailtje over een onverwachts pakketje dat geleverd gaat worden speelt hier perfect op in. Heb je iets over het hoofd gezien? Ben je vergeten wat je besteld hebt? Via nieuwsgierigheid proberen criminelen je te motiveren om op de link te drukken. - Autoriteit
Er kan ook autoriteit nagebootst worden. Dan lijken de e-mails van een persoon te komen die in een positie zit die op basis van autoriteit invloed kan uitoefenen. Denk aan een manager of HR-departement die iets van je nodig heeft. Bij twijfel, bericht degene die de e-mail stuurde, gebruik dan wel een ander communicatiemiddel, gebruik niet de e-mail!
Hoe herken je een phishing e-mail?
Je argwaan is nu geprikkeld, maar klopt dit vervolgens ook? Phishing e-mails zijn op het eerste oog niet snel te herkennen, maar als je even de tijd neemt zijn er een aantal factoren die je kunt nalopen om te kijken of een e-mail valide is.
- Logica
Is het logisch dat je deze mail ontvangt? Ben je wel klant van deze partij, verwacht je ook echt een pakketje of heb je echt een rekening open staan? Denk eerst goed na of het verzoek dat je ontvangt wel logisch is. Twijfel je hierover, Google het bedrijf en neem contact met het bedrijf op voor opheldering. - De afzender
Vertrouw de afzender-naam niet: De afzender-naam kan vervalst zijn om zich voor te doen als een voor jou bekend(e) gebruiker of bedrijf. Bekijk het e-mailadres goed om de afzender te valideren. Controleer ook of je al vaker mails hebt ontvangen van deze afzender.
De domeinnaam: De meeste legitieme organisaties zullen e-mailen vanuit een eigen domeinnaam, niet vanaf een publiek domein (dus niet ‘@hotmail.com’). Komt de domeinnaam overeen met gebruiker die het zou hebben gestuurd? Staan er spelfouten in de domeinnaam? Iedereen kan een domeinnaam kopen, dus let op dat er niet een bepaalde domeinnaam wordt geïmiteerd (@twittter.com in plaats van @twitter.com). - Bijlage
Wees voorzichtig met bijlagen: Bijlagen om je voor de gek te houden met lange namen, of een nep-icoon. Misschien een Pdf-bestand dat uiteindelijk toch ZIP-bestand bleek te zijn. Open alleen bijlagen als je zeker bent van de herkomst. - Linkjes
Zweven, niet klikken: Staat er een link in de e-mail? Zweef er met je muis overheen, maar klik niet! Zo kun je de link eronder lezen, komt deze overeen met je verwachting? Denk ook weer aan spelfouten of een domeinnaam die geïmiteerd wordt. Wees kritisch en zorgvuldig.
Deze is tegenwoordig lastiger om te controleren doordat veel e-mailproviders deze veranderen. Indien dat niet het geval is worden er wel diensten gebruikt als bit.ly of andere om de hyperlink in te korten. Advies hierin blijft gebruik alleen jouw eigen favorieten of typ het webadres zelf in, eventueel zou je de hyperlink kunnen scannen met behulp van VirusTotal of namecheck - Taalgebruik
Aanhef: Is de aanhef specifiek aan jou gericht of is het vaag? “Beste klant” zegt niet veel, de meeste bedrijven zouden je bij je naam noemen als ze informatie van je nodig hebben. Sommige phishing e-mails vermijden een aanhef zoals een ‘advertentie’-mail.
Spelling en grammatica: Eén van de makkelijkste methoden om phishing e-mails te herkennen is door naar spelling en grammatica te kijken. Legitieme organisaties hebben dit vaak op orde, phishing e-mails niet altijd. De reden hierachter is dat de hackers liever de minder oplettende slachtoffers hebben omdat zij makkelijkere prooien zijn. Andere kleine stijlfoutjes of minder scherpe logo’s kunnen ook een indicatie zijn. - Kleine foutjes
Styling van de e-mail: Probeer scherp te blijven, vaak zitten er wel kleine stijlfoutjes of minder scherpe logo’s in phishing e-mails. Het blijft lastig, maar alleen door zelf kritisch te blijven kun je het verschil zien tussen echt en nep.
Contactgegevens: Let op of de contactgegevens wel kloppen voordat je direct contact opneemt met de persoon. Heeft de persoon plotseling een ander telefoonnummer of e-mailadres? Controleer de contactgegevens met een zoekopdracht in Google of neem eerst contact op door middel van de gegevens waar je al over beschikte.
Wat te doen bij twijfel?
Voldoet de e-mail aan alle punten, maar twijfel je nog steeds? Neem dan direct contact op met de afzender. Natuurlijk wel via een ander kanaal. Zoals hierboven kunnen de contactgegevens vervalst zijn.
Wat moet je doen bij een phishing e-mail?
- Markeer de e-mail als spam
Door de e-mail als spam te markeren zullen vergelijkbare e-mails sneller herkend worden als spam en is de kans kleiner dat ze bij jou aan komen. - Direct de e-mail verwijderen
Zorg ervoor dat je niet per ongeluk op een later moment toch in de phishing e-mail trapt. Verwijder deze onmiddellijk.
Wat moet je nooit doen bij een phishing e-mail?
- Stuur e-mails niet door naar collega’s
Wanneer je twijfelt stuur een e-mail niet door naar een collega ter bevestiging. Mogelijk raakt hun computer hierdoor geïnfecteerd. - Download geen bijlage
Hoogstwaarschijnlijk zitten er schadelijke bestanden tussen de bijlage. Door deze niet te openen kan er ook geen virus of ransomware geïnstalleerd worden op jouw computer. - Klik niet op links
Mogelijk zit er schadelijke software achter linkjes. Ook krijgen cybercriminelen een bevestiging dat jouw e-mailadres actief is door te klikken op de link. - Reageer niet op de e-mail
Voorkom dat jouw e-mail op een lijst komt van actieve e-mailadressen. Door te reageren op de e-mails bevestig je bij de criminelen dat ze een actief e-mailadres in handen hebben. De phishing pogingen zullen hierdoor steeds vaker plaatsvinden. - Bellen met telefoonnummers uit de e-mail
Het is natuurlijk goed om te controleren of een e-mail valide is bij het bedrijf waaruit de e-mail gestuurd wordt. Maar vaak leiden de telefoonnummers naar een callcenter van de criminelen zelf.
Bescherm je organisatie tegen phishing
Jouw organisatie zit vol met mensen die dagelijks e-mails ontvangen. Sommige wel 50 tot 100 per dag. De kans is dus groot dat zij regelmatig te maken krijgen met phishing. Eenmalige uitleg over de gevaren van phishing blijkt in de praktijk niet voldoende te zijn. Onze partner Mimecast heeft een Security Awareness Training ontwikkelt voor meer bewustwording bij jouw organisatie. Meer weten over hoe jij jouw organisatie kunt beschermen tegen phishing? Neem contact op met onze eXperts!
.