Phishing awareness

Phishing Awareness

Ben jij je bewust van de online gevaren die op de loer liggen? Met digitale criminelen in het huidige online landschap is het belangrijker dan ooit om je organisatie tegen de dreiging van phishing te wapenen.

Maar waar begin je de defensieve strategie tegen phishing? Het start bij het creëren van bewustzijn bij de meest kwetsbare schakels binnen je organisatie. Het zijn de medewerkers op de werkvloer die veel mailverkeer ontvangen en versturen. Zij worden dagelijks blootgesteld aan de gevaren van phishing en zijn daarom van cruciaal belang in de defensieve linie.

Phishing, een welbekende maar brede term, is hét grootste digitale gevaar voor organisaties.

Wat is phishing? Hoe houd je digitale criminelen buiten de deur van je organisatie? Welke rol spelen werknemers hierin? En hoe ga je aan de slag met de defensieve strategie om phishers buiten de deur te houden? Je leest het hier.

Gratis testaccount

Vertrouwd door onze opdrachtgevers

phishing icon

Phishing Betekenis

Terug naar het begin: wat is phishing? Phishing is een vorm cybercrime of internetfraude, waarbij criminelen een poging doen om toegang te krijgen tot persoonlijke informatie, bank- en inloggegevens of data. Het betekent letterlijk: vissen naar (gevoelige) data of informatie.

Hoe Werkt Phishing?

De meest voorkomende vormen van phishing zijn phishing via e-mail en sms. De ontvanger wordt vaak verleid om op een link te klikken, waarna er op een vervalste website gevraagd wordt naar diens inloggegevens. De inlogpagina lijkt op het eerste oog nét de officiële website van de afzender. De website is echter vervalst door phishers en laat lijken alsof de persoon in een veilige omgeving inlogt. Na het invullen van de inloggegevens komen deze in handen van de criminelen en kunnen ze toegang tot een account of systeem verkrijgen.

 

In sommige gevallen van phishing wordt er in een e-mail of sms gevraagd om een bestand te downloaden. Dit bestand installeert schadelijke software (malware), waarmee de crimineel controle krijgt over je systeem en zo toegang heeft tot gevoelige persoons- of bedrijfsinformatie.

 

Als de phisher toegang heeft tot een systeem begint de volgende stap in hun strategie: angst creëren. De criminelen dreigen met het platleggen van het systeem of met misbruik van de informatie. Ze eisen geld of andere waardevolle en gevoelige informatie. Hierbij spelen ze in op angst en emotie van het slachtoffer.

Meer weten over:

Meeste Phishingaanvallen Per Online Sector

arrow-down

Bron: Statista.com - Online industries most targeted by phishing attacks

Wist je dat meer dan 90% van de succesvolle cyberaanvallen wordt veroorzaakt door phishing?

Zo Maak Jij Je Medewerkers Weerbaar Tegen Phishing

Demo icon

1. Vul onderstaand formulier in

2. Selecteer een phishingtemplate

3. Kies de landingspagina

4. Plan de phishingsimulatie in

graph icon

5. Volg live de resultaten

Vraag je gratis toegang aan en start direct met phishing

Wat kan je verwachten?

checkmark icon

28 dagen gratis phishen voor maximaal 5.000 gebruikers.

checkmark icon

Keuze uit 20+ kant-en-klare templates in 9 talen.

checkmark icon

Mogelijkheid om phishingmails te personaliseren op basis van jouw huisstijl.

checkmark icon

Je toegang eindigt automatisch na 28 dagen.

Lightbulb icon

De rapportage geeft een helder inzicht in de stand van zaken en creëert intern draagvlak.

alert icon

“Medewerkers zijn merkbaar alerter geworden. Na elke phishingsimulatie ontvingen we meer meldingen van bezorgde medewerkers die het niet vertrouwden.”

(Rutger Kegels, Woonzorgnet)

De Meest Voorkomende Vormen Van Phishing

Phishing heeft verschillende vormen. Dit komt onder andere doordat cybercriminelen inventief zijn en steeds nieuwe phishingmethodes verzinnen. Hieronder behandelen we de meest voorkomende vormen van phishing.

arrow-down
E-mail Phishing

Dit is de meest voorkomende vorm van phishing. Criminelen sturen je een e-mail met een link en proberen je op deze link te laten klikken. Deze link leidt vaak naar een vervalste website waarop je inloggegevens moet invullen. Deze informatie gebruiken de phishers vervolgens voor illegale activiteiten. Ook kan in een phishingmail gevraagd worden om een bestand te downloaden dat schadelijk software op je systeem installeert.

Spear Phishing

Een vorm van phishing, waarbij een crimineel zich richt op specifieke personen of groepen binnen een organisatie. Het is een gerichte aanval via een mail met het doel om individuen te verleiden om gevoelige informatie te delen of handelingen uit te voeren. Dit gebeurt vaak door de ontvanger te leiden naar een nepwebsite, waar iemand inlogt of gegevens achterlaat. Spear phishing bevat vaak specifieke informatie over een bedrijf of persoon en komt daardoor betrouwbaar over voor de ontvanger van de mail.

Vishing (Voice Phishing)

Voice phishing, ook vaak ‘vishing’ genoemd, is een telefoonzwendel. Door middel van frauduleuze telefoongesprekken probeert een crimineel de individu te verleiden om geld over te maken of persoonlijke informatie (zoals inloggegevens) te delen. De crimineel doet zich vaak voor als een betrouwbare instelling, organisatie of overheidsinstantie om vertrouwen te creëren bij het doelwit.

Smishing (Sms Phishing)

Smishing is een afkorting van sms-phishing. Phishing beperkt zich allang niet meer tot alleen e-mail. Bij smishing maken criminelen gebruik van sms of andere chatdiensten, zoals WhatsApp, om je geld afhandig te maken of toegang tot je gegevens te krijgen.

WhatsApp Phishing

Een bekend voorbeeld van smishing is WhatsApp-fraude. Hierbij doet een crimineel zich voor als familielid met een nieuw nummer. Vervolgens vraagt de crimineel om hem of haar uit de brand te helpen door het betalen van een rekening. Helaas blijkt deze vorm van fraude nog altijd erg effectief.

Social Engineering

Social engineering is de ‘kunst’ om mensen te manipuleren om vertrouwelijke informatie af te staan of bepaalde acties uit te laten voeren. Het wordt ook wel ‘human hacking’ genoemd. Denk bijvoorbeeld aan het ontfutselen van wachtwoorden of bankgegevens.

Malware

Malware is een afkorting van ‘malicious software’ en betekent ‘kwaadaardige software’. Het is software die door cybercriminelen wordt ontwikkeld en gebruikt om gegevens te stelen en computers en computer systemen over te nemen of te beschadigen. Voorbeelden van malware zijn virussen, trojans, spyware, adware en ransomware.

Whaling

Whaling is een veelvoorkomende cyberaanval en social engineering-techniek waarbij de cybercrimineel zich voordoet als een hooggeplaatst persoon binnen een organisatie. De crimineel zich richt op invloedrijke personen of belangrijke medewerkers binnen de organisatie. Het doel is om geld of gevoelige informatie te stelen of toegang te krijgen tot computersystemen. Whaling staat ook wel bekend als CEO-fraude. Criminelen maken gebruik van spear phishing door zich te richten op specifieke personen binnen een organisatie. Whaling is effectief omdat medewerkers niet graag een verzoek van een hooggeplaatst iemand weigeren.

Case Woonzorgnet

Checkmark icon

Gevoelige clientgegevens beschermen.

Checkmark icon

Veilige werkomgeving met een verkleinde kans op informatie-incidenten.

Checkmark icon

Periodieke phishingsimulaties om medewerkers alert te houden.

“Het grootste veiligheidsrisico zit bij de mens. Door medewerkers doorlopend alert te houden op de mogelijke risico’s én hen bewust te maken over wat je zelf kan doen om je werkomgeving veilig te houden, verklein je de kans op incidenten.”

 

Verder lezen over deze customer case? Klik hier

Gratis testaccount

Phishing In De Praktijk: Hoe Ziet Phishing Eruit?

arrow-down
Voorbeeld 1

E-mail Phishing

In de afgelopen jaren hebben online serviceproviders hun beveiliging verbeterd door klanten een e-mail te sturen wanneer ze ongebruikelijke of zorgwekkende activiteiten op de accounts van hun gebruikers detecteren. Het is niet verrassend dat phishers hier hun voordeel mee doen. De mails die afkomstig zijn van phishers zijn vaak iets minder goed ontworpen en bevatten nog wel eens spelfouten, maar tegenwoordig zijn ze vaak lastig om van echt te onderscheiden. Ze zien er dan ook legitiem genoeg uit voor iemand om te klikken. Dit gebeurt vooral wanneer iemand even niet goed oplet en de gevaren niet signaleert.

 

Hiernaast is een nep-beveiligingsmelding van ICS te zien die voor mogelijke signalen van "verdachte transacties" op een account waarschuwt. Er wordt aanbevolen om het account te controleren via een meegestuurde link. Dit is natuurlijk een malafide link, waarmee cybercriminelen creditcardgegevens proberen te bemachtigen. Een alert persoon zou weten dat een dergelijke partij niet zomaar om deze acties vraagt. Aan de andere kant zal een onoplettend persoon de gevaren niet herkennen en op de meegestuurde link klikken, met alle gevolgen van dien.

E-mail phishing
WhatsApp phishing
Voorbeeld 2

WhatsApp Phishing

Een bekend voorbeeld van WhatsApp-phishing: een cybercrimineel doet zich voor als een onhandige zoon die net een ander toestel heeft, omdat zijn oude toestel kapot is. In een gesprek probeert de cybercrimineel in te spelen op de emotie van de vader door te laten weten dat hij in de problemen zit. De vader kan dit oplossen door snel geld over te maken en de zoon betaalt dit later terug. Helaas is dit niet het geval en maakt de vader het geld naar een crimineel over.

 

In dit soort situaties probeert een WhatsApp-phisher urgentie te creëren. Er ontstaat er chaos, omdat het snel moet gebeuren. Steeds meer mensen zijn zich bewust van het feit dat WhatsApp phishing kan gebeuren. Toch is dit nog steeds een effectieve methode van phishers om toegang te krijgen tot de internetbankieromgeving van het slachtoffer óf hem of haar geld over te laten maken.

 

WhatsApp-phishing zien we over het algemeen vaker voorkomen in de privésfeer. Toch komt deze vorm van phishing ook voor op de werkvloer, waar collega's elkaar persoonlijk goed kennen en in een kleiner team werken.

Voorbeeld 3

Schadelijke Bijlagen

Schadelijke macro's in bijlages van phishingmails zijn een vaak voorkomende manier om ransomware te verspreiden. Deze documenten komen te vaak probleemloos langs antivirusprogramma's. De phishingmails spelen in op de nieuwsgierigheid van de ontvanger, zoals je kan zien in voorbeeld hiernaast, of bevatten een bepaalde mate van urgentie voor de ontvanger. Als gebruikers de macro's niet inschakelen kan er geen malafide code worden uitgevoerd en is de aanval niet succesvol.

CEO fraude
Voorbeeld 4

CEO-Fraude

CEO-fraude, ook wel whaling genoemd, is een vorm van Business Email Compromise (BEC) en social engineering. Bij deze vorm van fraude stuurt de oplichter uit naam van een hooggeplaatst persoon binnen de organisatie een verzoek om een spoedbetaling te doen of om een rekeningnummer te wijzigen. Deze berichten zijn vaak gericht aan een financiële medewerker of andere invloedrijke personen en is daarom een vorm van spear phishing. De oplichter maakt misbruik van factoren waar medewerkers gevoelig voor zijn, zoals het creëren van spoed en het uitstralen van autoriteit. Er wordt vaak gevraagd om af te wijken van het beleid en de procedures binnen de organisatie.

 

In sommige gevallen hebben de criminelen eerst toegang verkregen tot het e-mailaccount van de hooggeplaatste persoon. De e-mail lijkt daardoor daadwerkelijk afkomstig van de persoon in kwestie. Ook kunnen sterk lijkende vervalste e-mailadressen worden gebruikt of kan het e-mailadres 'gespoofed' zijn.

Voorbeeld 5

Credential Harvesting

Bij credential harvesting proberen de phishers specifiek om jouw inloggegevens te achterhalen. In deze gevallen word je vaak via link in een e-mail naar een vervalste inlogomgeving gestuurd die sterk lijkt op de officiële website van de afzender. In geval van credential harvesting worden je inloggegevens gestolen wanneer je in wilt loggen op de vervalste inlogomgeving. Het resultaat hiervan is dat de phisher in kan loggen om jouw echte account en zo toegang heeft tot je betaalgegevens, maar ook andere persoonsgegevens zoals je adres, telefoonnummer of zelfs BSN.

Credential Harvesting
Start met phishing!

Waarom Is Phishing Gericht Op Medewerkers?

Iedereen en elke organisatie kan het doelwit van een phishingaanval zijn. Phishers zijn vaak niet erg kieskeurig en versturen in grote aantallen hun phishingmails. Ze schieten in wezen met hagel en wachten rustig af tot één of meerdere onoplettende personen toehappen. Daar waar werknemers op grote schaal online actief zijn, is de kans op een succesvolle phishingaanval het grootst. Bedenk goed dat een phishingaanval al succesvol kan zijn wanneer één medewerker zijn of haar gegevens invult. De gevolgen kunnen groot zijn. Denk aan ransomware-infecties of datalekken.

 

In andere gevallen doen phishers meer moeite en gaan ze doelgerichter te werk. Dan richten ze zich op personen of afdelingen binnen een organisatie die specifieke handelingen kunnen verrichten. Bijvoorbeeld een financiële afdeling die gemachtigd is om betalingen uit te voeren. Dit staat bekend als spear phishing. Bij spearphishing gebruikt de phisher specifieke persoons- of bedrijfsinformatie om de mail zo betrouwbaar mogelijk te laten lijken. Veel bedrijven zijn op deze manier grote sommen geld verloren.

Moving image phishing
Moving image gaining knowlegde

Medewerkers Zijn De Defensieve Linie Tegen Phishing

Awareness creëren rondom phishing en het belang van informatiebeveiliging is belangrijker dan ooit. Bewuste medewerkers zijn de defensieve linie tegen phishers en andere illegale praktijken. Wil je als organisatie een veilig digitaal werkklimaat creëren? De eerste stap is om medewerkers bewust te maken van de dreigingen die op de loer liggen. In feite zijn medewerkers de achilleshiel én de oplossing als het gaat om de gevaren van phishing en andere digitale bedreigingen.

Phishing Training Maakt Medewerkers Bewust

Iemand die zich bewust is van de verschillende phishingmethodes, de kenmerken waaraan je phishing kan herkennen en de gevolgen kan de gevaren signaleren en tijdig alarm te slaan. De strijd tegen phishing begint dus bij bewustwording. De meest effectieve methode om bewustwording te creëren is om te beginnen bij de medewerkers. Zij worden dagelijks blootgesteld aan deze digitale gevaren, want bedenk: iedereen kan een doelwit van phishers zijn.

Waarom is phishing training essentieel?

checkmark icon

Het creëert bewustwording en houdt medewerkers alert

checkmark icon

Medewerkers leren phishing te herkennen

checkmark icon

Het stimuleert de weg naar een meldcultuur

Train en phish je medewerkers met ons security awareness platform

Gratis testaccount

Medewerkers Trainen Om Phishing Te Herkennen

Waar phishing herkennen in het verleden nog makkelijk was, is dat tegenwoordig wel anders. Cybercriminelen worden steeds gewiekster en zijn steeds beter in staat om phishingmails betrouwbaar te laten lijken en schimmige bestanden echt te laten lijken. Voor organisaties is het daarom van groot belang om medewerkers frequent te testen. Dit kan met phishingsimulaties. Met phishingsimulaties krijgen zij verschillende vormen van phishing op een onverwacht moment in hun inbox. Op deze manier worden zij alert gehouden en tegelijkertijd getraind om herkenbare punten van een phishingmail te signaleren.

Een Alerte Medewerker Voorkomt De Gevolgen Van Cybercriminaliteit

Een alerte medewerker weet schimmige praktijken op tijd te signaleren en hier op een juiste manier naar te handelen. Dit zorgt ervoor dat digitale criminelen niet de kans krijgen toegang te vinden tot gevoelige data of vertrouwelijke informatie.

Omdat phishing steeds geavanceerder wordt is er geen standaard procedure om phishing te herkennen. In dit geval is iedere case anders. Het belangrijkste is dat je altijd alert blijft op een aantal zaken waaraan je kan herkennen of er iets niet in de haak is.

Een phishingmail herkennen, zo doe je dat:

Checkmark icon

Check de afzender en bedenk: “Hoe aannemelijk is het dat ik een mail van deze afzender krijg?”

Checkmark icon

Check de mail op verdachte links en of er gevraagd wordt om in te loggen.

Checkmark icon

Check of er gevraagd wordt om snel actie te ondernemen.

Checkmark icon

Check de mail op een verdachte bijlage.

Checkmark icon

Check of de mail te mooi lijkt om waar te zijn.

Start met phishing!

Phishing is de grootste digitale dreiging voor organisaties. Phishing awareness training is essentieel om medewerkers weerbaar te maken en deze dreiging het hoofd te bieden.

Phishing Awareness Training

arrow-down Waarom Medewerkers Trainen Tegen Phishing?

Digitale criminelen kunnen geen schade met phishing aanrichten wanneer niemand in hun val trapt. Een bewuste medewerker is dan ook de sleutel tot een (informatie)veilige werkomgeving en houdt criminelen buiten de deur. Phishing awareness is niet van de één op andere dag gecreëerd. Om je personeel of collega’s bekend te maken met de vormen van phishing en de gevaren ervan is het zaak om ze te trainen. Phishing awareness training helpt hierbij.

 

Tijdens een training, waarbij awareness creëren rondom phishing centraal staat, leert men om te gaan met deze digitale dreigingen. Door voorbeelden en simulaties worden medewerkers geïnformeerd over de kenmerken waaraan zij phishing kunnen herkennen en worden zij meegenomen in de werkwijze van phishers.

Stap 1: Test De Kennis En Gedrag Van Je Medewerkers

Mischien heb je dit al helder, maar welke digitale dreigingen zijn het grootst en waar liggen de grootste informatierisico’s binnen jouw onderneming? Om erachter te komen hoe bewust je medewerkers van deze dreigingen zijn kan je een security awareness nulmeting inzetten. Hiermee krijg je inzicht in het bewustzijnsniveau en klikgedrag van medewerkers en komen veiligheidsrisico’s aan het licht. De nulmeting bestaat uit een online vragenlijst en een generieke phishing simulatie.

Online Vragenlijst
Deelnemers ontvangen een uitnodiging voor een online vragenlijst, welke zij anoniem in kunnen vullen. De vragenlijst bevat vragen over security gerelateerde onderwerpen en het invullen duurt ongeveer 10 minuten.

Phishing Simulatie
Op een later moment ontvangt de deelnemer een veilige phishingmail. Dit meet of zij veilig werken en op een correcte manier handelen. Het is een eenvoudige manier om de alertheid van de frontlinie te testen.

Rapportage: Inzichten & Draagvlak Creëren
De resultaten van de online vragenlijst en de phishing simulatie worden gebundeld in een rapport. Het rapport laat gericht zien welke zaken op gebied van cyber security extra aandacht nodig hebben. Door het rapport intern op een juiste manier te communiceren is het tevens een mooie tool om draagvlak te creëren bij de directie en medewerkers.

Stap 2: Aan De Slag Met Phishingtraining

Start met training om personeel te trainen en weerbaar te maken tegen digitale dreigingen, zoals phishing. Door training leren zij risico’s te herkennen en informatiebewuster te werken. De trainingsmodules bevatten waardevolle praktijkvoorbeelden en handige tips. Iedere module duurt tussen tussen de 5 en 15 minuten. Geen lange theoretische verhalen dus, maar snel tot de kern. Daarbij is de content beschikbaar in maar liefst 9 talen.

Probeer ons platform gratis en vrijblijvend uit om kennis te maken met de content. Met dit testaccount ontvang je 28 dagen toegang tot alle 60+ modules op ons security awareness trainingsplatform. Na 28 dagen eindigt je testaccount automatisch.

Gratis testaccount

Stap 3: Periodiek trainen en phishen om kwaliteit te waarborgen

Hoog tijd om een procesmatige aanpak in de praktijk te brengen! Met ons security awareness platform onderhoud je op een doorlopende manier een digitaal veilige en informatiebewuste werkomgeving door medewerkers periodiek te trainen en te phishen. Zo verklein je de kans dat criminelen toegang te krijgen tot waardevolle informatie aanzienlijk. Op ons platform hebben je medewerkers toegang tot de trainingsmodules die relevant zijn voor jullie business. Daarnaast kan je in eigen beheer phishingsimulaties uitsturen om medewerkers alert te houden.

Geef Phishers Geen Kans. Start Nu Met Security Awareness Training!

Phishing Voorkomen: Acht Gouden Regels Wanneer je Phishingsimulatie Inzet Bij Medewerkers

Het periodiek uitvoeren van phishingsimulaties bij medewerkers is essentieel om de kans op een succesvolle phishingaanval aanzienlijk te verkleinen. Dit doe je in een phishingcampagne. Hiermee creëer je een trainingsmoment én houd je medewerkers alert. Phishingsimulatie luistert wel nauw. Om er zeker van te zijn dat je dit goed aanpakt hebben we de ‘Acht Gouden Regels’ opgesteld. Houd je je als organisatie aan deze regels? Dan wordt jouw phishingcampagne succesvol en verklein je drastisch de kans op phishing.

arrow-down

1

Creëer een 'shockeffect' aan het begin van de campagne om de noodzaak van het onderwerp aan te tonen, maar houdt het ethisch.

2

Kondig de phishingcampagne aan. Hierdoor gaan je medewerkers e-mails kritischer bekijken. Ze willen immers niet klikken.

3

Betrek IT of de servicedesk waar medewerkers phishing moeten melden en laat hen medewerkers die een melding doen bedanken (creëer een open meldcultuur).

4

Communiceer intern de resultaten, ook het aantal meldingen dat is binnengekomen.

5

Maak er een leermoment van en toon bij klikken tips over hoe phishing te herkennen.

6

Hanteer een procesmatige aanpak, maar phish niet te vaak en niet te weinig. Wij adviseren om eens per twee maanden een phishingsimulatie te doen.

7

Onthoud: klikpercentages zeggen niet alles. Soms hebben medewerkers een out-of-office aanstaan of zien zij de mail simpelweg niet.

8

Doe vervolgtrainingen. Aan phishingsimulatie zonder vervolgtraining heb je weinig. Zorg dat medewerkers hun kennis over phishing bij kunnen houden. Denk aan basistrainingen en wissel deze af met leuke games of quizjes.

Security awareness in een voordelige licentie van 1, 2 of 3 jaar

Logo van het AVG en privacy abonnement AVG & Privacy Pack

60+ trainingsmodules

5 AVG & privacy-modules

Onbeperkte phishingsimulaties

30+ posters & cartoons

Meertalig in 9 talen

Managed phishing (2-maandelijks)

Managed nulmeting (voorafgaand)

Vraag je gratis testaccount aan
Meest gekozen
Logo van het Essentials abonnement Essentials

60+ trainingsmodules

5 AVG & privacy-modules

Onbeperkte phishingsimulaties

30+ posters & cartoons

Meertalig in 9 talen

Managed phishing (2-maandelijks)

Managed nulmeting (voorafgaand)

Vraag je gratis testaccount aan
Logo van het Premium abonnement Premium

60+ trainingsmodules

5 AVG & privacy-modules

Onbeperkte phishingsimulaties

30+ posters & cartoons

Meertalig in 9 talen

Managed phishing (2-maandelijks)

Managed nulmeting (voorafgaand)

Vraag je gratis testaccount aan

Ontdek hoe betaalbaar Awaretrain is!

Laat je inspireren

Lees onze blogs en nieuwsartikelen op het gebied van security awareness en laat je inspireren.