Nieuws en blogs

Phishing herkennen: 9 tips in de ultieme phishingmail checklist.

We krijgen er allemaal bijna dagelijks mee te maken: phishingmails in de inbox. Zakelijk en privé vormt phishing nog altijd de grootste digitale dreiging. Om even een beeld te schetsen, bij organisaties wordt 90% van alle succesvolle cyberaanvallen veroorzaakt door een phishing e-mail. Mede hierom is phishing herkennen belangrijker dan ooit.

De directe gevolgen kunnen gigantisch zijn. Denk aan ransomware-infecties die hele organisaties platleggen en hacks die leiden tot gigantische datalekken. Maar vergeet ook zeker de indirecte gevolgen niet, zoals de financiële schade om systemen weer up-and-running te krijgen, dagenlang geen zaken kunnen doen en de blijvende imagoschade. Privé kost het je voornamelijk heel veel geld, omdat het grootste deel van de aanvallen gericht is op het verkrijgen van toegang tot je bankrekening.

Een moment van onoplettendheid en een fout is zo gemaakt, zeker in de waan van de dag. Het is zaak om goed op de hoogte te zijn van de “red flags” in een e-mail waarbij alle alarmbellen af zouden moeten gaan. Werk daarom met een checklist om snel phishingmails te herkennen en echt van nep te onderscheiden. Wij hebben 9 tips om phishing te herkennen voor je op een rij gezet. Dat bespaart jou een hoop ellende.

08 jul Tip nummer 1 om phishing te herkennen: vertrouw niet de naam die als afzender getoond wordt


1) Vertrouw niet meteen de naam die als afzender getoond wordt

De afzendernaam toont niet altijd het (echte) e-mailadres. Klik of dubbelklik op de naam van de afzender om het e-mailadres te tonen. Maar pas wel op: phishers proberen je vaak te misleiden door je het gevoel te geven dat een e-mail betrouwbaar is. Bijvoorbeeld door een e-mailadres veel op een legitiem e-mailadres te laten lijken door een letter te veranderen of weg te laten.

Hoe bepaal je de legitimiteit van een e-mailadres? Het deel achter het @-teken moet eindigen op de domeinnaam. Eventuele tekst voor de domeinnaam moet gescheiden zijn met een punt. Phishing herken je vaak wanneer dit niet het geval is.

Goed: klantenservice@mail.rabobank.nl
Fout: nieuwsbrief@emaillogin-rabobank.nl

Maar let op! Een e-mailadres dat helemaal klopt en daadwerkelijk van een bekende relatie of organisatie komt, biedt nog geen garanties. Het e-mailadres kan namelijk gespoofed zijn of het e-mailaccount kan gehackt zijn. Dit laatste was het geval toen Bol.com een e-mail van leverancier Brabantia kreeg met het verzoek een rekeningnummer te wijzigen. In deze gevallen is alleen het e-mailadres dus geen kenmerk van phishing. 

2) Check eventuele links, maar klik niet

Klik alleen op een link als je 100% zeker bent dat de afzender en het bericht te vertrouwen zijn. Beweeg je muis over de link in de e-mail en check of de domeinnaam in de URL legitiem is. Hier geldt dat het deel voor de eerste enkele schuine streep moet eindigen op de domeinnaam. Eventuele tekst voor de domeinnaam moet gescheiden zijn met een punt. Op een smartphone of tablet kan je de volledige link zien door de link een tijdje in te drukken, totdat er een venstertje verschijnt met het webadres.

3) Let op de urgentie

Vaak wordt bij phishing gedreigd met grote gevolgen (“snel geld overmaken anders verliezen we de deal”) of hoge kosten als je niet snel handelt. Bij CEO-fraude, een vorm van phishing waarbij de crimineel zich voordoet als hooggeplaatst persoon binnen de organisatie, worden verzoeken vaak tegen het einde van de dag gestuurd om de urgentie extra overtuigend te maken. Wees dus extra alert wanneer een bericht een hoge urgentie of bepaalde tijdsdruk bevat. Zo herken je een phishingmail.

4) Let extra op bij meegestuurde bijlagen

Bijlagen zijn een bron van malware-infecties. Let vooral op bijlagen die eindigen op .exe, .zip, .docm of .xlsm. Bijlagen die je nooit moet openen zijn bestanden die eindigen op .js .lnk .wsf .scr .jar. Open alleen bijlagen als je deze verwacht en als ze een betrouwbare extensie hebben. Je kan phishing herkennen wanneer je dus geen bijlage verwacht. Let dan extra op.

5) Let op de aanhef

Bij phishing wordt er vaak gebruik gemaakt van een algemene aanhef (Geachte klant) in plaats van een persoonlijke aanhef (Beste [jouw naam]). Maar ook hier is voorzichtigheid geboden. Criminelen maken regelmatig gebruik van persoonsgegevens die zijn buitgemaakt bij een hack. In deze gevallen zullen ze dus wel een persoonlijke aanhef gebruiken. Phishing waarbij persoonlijke of organisatiespecifieke gegegevens worden gebruikt wordt ook wel spear-phishing genoemd.

6) Wordt er gevraagd naar inloggegevens?

De ultieme herkenning van phishing. Echte bedrijven vragen nooit om je inloggegevens te delen via e-mail, sms of telefoon. Ga, indien mogelijk, zelf naar de legitieme website met de bij jou bekende gegevens en log in om het bericht te controleren.

7) Kijk uit naar taal- en spelfouten

Een phishingbericht neemt het vaak niet zo nauw met spelling en grammatica. Het lijkt dus een eenvoudige manier om phishing te herkennen en een oplichter te slim af te zijn. En dat is ook zo. Maar pas op: tegenwoordig is phishing steeds verfijnder. De tijd dat alle phishingberichten vol stonden met taalfouten is voorbij. Analyseer de tekst van een verdachte e-mail daarom goed. 

8) Lijkt het te mooi om waar te zijn?

Dan is dat vaak ook zo! Mega-kortingen, gratis producten of hoge rendementen worden vaak gebruikt om je te verleiden om te klikken of gegevens achter te laten. Het meest “klassieke” geval is dat van de Nigeriaanse prins die jou heeft genoemd in zijn testament en waardoor je in één klap miljonair kan zijn.

9) De belangrijkste tip bij phishing herkenning: bij twijfel altijd checken!

Ontvang je een vreemd of onverwacht verzoek van een bekende? Denk je phishing te herkennen? Neem dan via een ander kanaal, bijvoorbeeld telefonisch, contact op met de afzender. Gebruik hiervoor alleen niet het nummer dat in het bericht staat, maar zoek deze zelf op. Op je werk kan je natuurlijk ook altijd een collega of de servicedesk binnen je organisatie vragen om met je mee te kijken. En vergeet niet om nooit zomaar van bedrijfsprocedures af te wijken.

Ook op internet is voldoende te vinden. Op de Fraudehelpdesk is bijvoorbeeld een actueel overzicht van phishingmails te vinden. Het gaat hier wel om phishingmails die mensen privé ontvangen.

De verantwoordelijkheid van organisaties

Het is de taak van organisaties om de “phishing awareness” bij hun medewerkers continu hoog te houden. Train medewerkers regelmatig in het herkennen van phishing en voer ook phishing simulaties uit om te bepalen hoe kwetsbaar de organisatie is. Naast een middel om het actuele risico te bepalen zijn simulaties, mits goed uitgevoerd, een perfect middel om bewustwording te creëren en medewerkers weerbaar te maken tegen toekomstige phishing-aanvallen.

Het is essentieel om medewerkers te allen tijde zo alert mogelijk te houden. Dit kan alleen door een procesmatige aanpak. Bij Awaretrain helpen we je hier graag mee. Bekijk onze producten en diensten of neem eens vrijblijvend contact met ons op.

Probeer ons phishingplatform 28 dagen gratis

Meer info over het gratis gebruik van ons phishingplatform of jouw gratis toegang aanvragen? Dat kan via onderstaande button.

Start met phishing!

Download onze gratis poster

Klik hier of op onderstaande preview om de poster in A2-formaat te downloaden.

Downloadbare poster met 9 tips om phishing te herkennen

 

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Verder lezen

Bekijk ook onze andere blogs en nieuwsartikelen.

Foto van channel accountmanager Lloyd Hobo 05 mei
Maak kennis met... Lloyd Hobo, onze nieuwe channel accountmanager Lees meer
Afbeelding over het webinar van 30 maart genaamd 'Security awareness: zet je medewerkers centraal' 16 mrt
Webinar | Security awareness: zet je medewerkers centraal | 30 maart Lees meer
Afbeelding over het webinar van 26 januari 2023: Security awareness en ISO 27001 11 jan
Webinar | Security awareness als onderdeel van ISO 27001, NEN 7510 en BIO | 26 januari Lees meer
Bekijk alle blogs