Actueel

De phishingmail checklist. 9 tips om phishing te herkennen.

We krijgen er allemaal bijna dagelijks mee te maken: phishingmails in de inbox. Zakelijk en privé vormt phishing nog altijd de grootste digitale dreiging. Om even een beeld te schetsen, bij organisaties wordt 90% van alle succesvolle cyberaanvallen veroorzaakt door een phishing e-mail.

De directe gevolgen kunnen gigantisch zijn. Denk aan ransomware-infecties die hele organisaties platleggen en hacks die leiden tot gigantische datalekken. Maar vergeet ook zeker de indirecte gevolgen niet, zoals de financiële schade om systemen weer up-and-running te krijgen, dagenlang geen zaken kunnen doen en de blijvende imagoschade. Privé kost het je voornamelijk heel veel geld, omdat het grootste deel van de aanvallen gericht is op het verkrijgen van toegang tot je bankrekening.

Een moment van onoplettendheid en een fout is zo gemaakt, zeker in de waan van de dag. Het is zaak om goed op de hoogte te zijn van de “red flags” in een e-mail waarbij alle alarmbellen af zouden moeten gaan. Werk daarom met een checklist om snel phishingmails te herkennen en echt van nep te onderscheiden. Wij hebben 9 tips om phishing te herkennen voor je op een rij gezet. Dat kan je een hoop ellende besparen.

08 jul photo


1) Vertrouw niet de naam die als afzender getoond wordt

De afzendernaam toont niet altijd het (echte) e-mailadres. Klik of dubbelklik op de naam van de afzender om het e-mailadres te tonen. Maar pas wel op: criminelen laten een e-mailadres vaak veel op een legitiem e-mailadres lijken, bijvoorbeeld door een letter te veranderen of weg te laten.

Hoe bepaal je de legitimiteit van een e-mailadres? Het deel achter het @-teken moet eindigen op de domeinnaam. Eventuele tekst voor de domeinnaam moet gescheiden zijn met een punt.

Goed: klantenservice@mail.rabobank.nl
Fout: nieuwsbrief@emaillogin-rabobank.nl

Een juist e-mailadres biedt overigens nog geen garanties. Het e-mailadres kan namelijk gespoofed zijn of het e-mailaccount kan gehackt zijn. Dit laatste was het geval toen Bol.com een e-mail van leverancier Brabantia kreeg met het verzoek een rekeningnummer te wijzigen. In deze gevallen is alleen het e-mailadres dus geen kenmerk van phishing.

2) Check eventuele links, maar klik niet

Klik alleen op een link als je 100% zeker bent dat de afzender en het bericht te vertrouwen zijn. Beweeg je muis over de link in de e-mail en check of de domeinnaam in de URL legitiem is. Ook hier geldt dat het deel achter het @-teken moet eindigen op de domeinnaam. Eventuele tekst voor de domeinnaam moet gescheiden zijn met een punt.

Op een smartphone of tablet kan je de volledige link zien door de link een tijdje in te drukken, totdat er een venstertje verschijnt met het webadres.

3) Let op de urgentie

Vaak wordt bij phishing gedreigd met grote gevolgen (“snel geld overmaken anders verliezen we de deal”) of hoge kosten als je niet snel handelt. Bij CEO-fraude, een vorm van phishing waarbij de crimineel zich voordoet als hooggeplaatst persoon binnen de organisatie, worden verzoeken vaak tegen het einde van de dag gestuurd om de urgentie extra overtuigend te maken. Wees dus extra alert wanneer een bericht een hoge urgentie of bepaalde tijdsdruk bevat.

4) Let extra op bij meegestuurde bijlagen

Bijlagen zijn een bron van malware-infecties. Let vooral op bijlagen die eindigen op .exe, .zip, .docm of .xlsm. Bijlagen die je nooit moet openen zijn bestanden die eindigen op .js .lnk .wsf .scr .jar. Open alleen bijlagen als je deze verwacht en als ze een betrouwbare extensie hebben. Wees extra alert als je geen bijlage verwacht.

5) Let op de begroeting

Bij phishing wordt er vaak gebruik gemaakt van een algemene aanhef (Geachte klant) in plaats van een persoonlijke aanhef (Beste [jouw naam]). Maar ook hier is voorzichtigheid geboden. Criminelen maken regelmatig gebruik van persoonsgegevens die zijn buitgemaakt bij een hack. In deze gevallen zullen ze dus wel een persoonlijke aanhef gebruiken. Deze persoonlijke vorm van phishing wordt ook wel spear-phishing genoemd.

6) Wordt er gevraagd naar inloggegevens?

Echte bedrijven vragen nooit om je inloggegevens te delen via e-mail, sms of telefoon. Ga, indien mogelijk, zelf naar de legitieme website met de bij jou bekende gegevens en log in om het bericht te controleren.

7) Kijk uit naar taal- en spelfouten

Een phishingbericht neemt het vaak niet zo nauw met spelling en grammatica. Maar pas op: tegenwoordig is phishing steeds verfijnder. De tijd dat alle phishingberichten vol stonden met taalfouten is voorbij.

8) Lijkt het te mooi om waar te zijn?

Dan is dat vaak ook zo! Mega-kortingen, gratis producten of hoge rendementen worden vaak gebruikt om je te verleiden om te klikken of gegevens achter te laten.

Het meest “klassieke” geval is dat van de Nigeriaanse prins die jou heeft genoemd in zijn testament en waardoor je in één klap miljonair kan zijn.

9) Bij twijfel altijd checken

Twijfel je over de echtheid van een bericht? Neem dan telefonisch contact op met de afzender. Gebruik hiervoor alleen niet het nummer dat in het bericht staat, maar zoek deze zelf op. Je kan natuurlijk ook altijd een collega of de servicedesk binnen je organisatie contacten.

Ook op internet is voldoende te vinden. Op de Fraudehelpdesk is bijvoorbeeld een actueel overzicht van phishingmails te vinden. Het gaat hier wel om phishingmails die mensen privé ontvangen.

De verantwoordelijkheid van organisaties

Het is de taak van organisaties om de “phishing awareness” bij hun medewerkers continu hoog te houden. Train medewerkers regelmatig in het herkennen van phishing en voer ook phishing simulaties uit om te bepalen hoe kwetsbaar de organisatie is. Naast een middel om het actuele risico te bepalen zijn simulaties, mits goed uitgevoerd, een perfect middel om bewustwording te creëren en medewerkers weerbaar te maken tegen toekomstige phishing-aanvallen.

Het is essentieel om medewerkers te allen tijde zo alert mogelijk te houden. Dit kan alleen door een procesmatige aanpak. Bij Awaretrain helpen we je hier graag mee. Bekijk onze producten en diensten of neem eens vrijblijvend contact met ons op.

Download onze gratis poster

Klik hier of op onderstaande preview om de poster in A2-formaat te downloaden.

 

+31 (0)88 018 16 00 info@awaretrain.com

Blijf op de hoogte en volg ons op LinkedIn

Take me there!

Nieuws, blogs en events

Blijf op de hoogte van de laatste ontwikkelingen op het gebied van security awareness, informatiebeveiliging en privacy.

logo 13 okt
PARTNERSHIP | Webroot en Awaretrain gaan samenwerking aan Lees meer
logo 12 okt
Vacature | Customer Success medewerker Lees meer
logo 23 sep
BLOG | Van security awareness naar een cyberveilige werkomgeving en security awareness cultuur Lees meer
Nieuwsarchief