Het afgelopen jaar, waarin er voornamelijk vanuit huis werd gewerkt, verschoof ook de criminaliteit van offline naar online. Steeds meer organisaties werden het slachtoffer van ransomware en hacks. Dit komt ook naar voren in de toename in het aantal gemelde datalekken als gevolg van social engineering en dan met name door phishing.
Phishing is een vorm van oplichting waarbij een kwaadwillende zich voordoet als een persoon of organisatie met als doel om (gevoelige) data van personen of organisaties buit te maken of om toegang te krijgen tot een systeem. Jaar op jaar wordt er een toename in het aantal phishingmails geconstateerd en daarnaast worden de mails steeds realistischer waardoor deze soms bijna niet meer van echt te onderscheiden zijn. Kortom, het wordt steeds professioneler.
Phishing kent twee soorten:
Spearphishing is een soort waarbij een kwaadwillende zeer zorgvuldig zijn doelwit uitkiest en informatie over het doelwit verzameld voordat de phishing aanval uitgevoerd wordt. Hiermee richt de kwaadwillende zich op één persoon of afdeling van een organisatie en creëert hij een scenario voor de phishingmail die speciaal gericht is op de organisatie of persoon. Denk hierbij bijvoorbeeld aan CEO-fraude, waarbij een kwaadwillende zich voor doet als de directeur van het bedrijf en een verzoek indient om zo snel mogelijk geld over te maken.
De tweede soort is de algemene phishingmail waarbij er niet direct naar het doelwit wordt gekeken, maar eenzelfde mail naar een grote groep ontvangers wordt verstuurd. Iedereen kent dit soort mails wel van bijvoorbeeld banken, de overheid en webwinkels.
Vormen
Onder deze twee soorten phishing zijn er nog verschillende vormen van phishing, namelijk:
Waarom phishing
De reden dat phishing zo populair is komt doordat het succesvol en rendabel is. Mensen maken fouten en zijn manipuleerbaar. Hier maken kwaadwillende maar al te graag misbruik van. Daarnaast is het schaalbaar. Phishingmails kunnen in groten getale tegelijk worden verstuurd naar mensen over de hele wereld. En daar komt nog een belangrijk punt naar voren. Phishingmails versturen kan naar iedereen over de hele wereld, maar een mail kan ook verstuurd worden vanaf elke locatie in de wereld. Kwaadwillende doen dus alles op afstand, omdat het risico hierdoor veel kleiner is om gepakt te worden. Met verschillende technische snufjes kunnen er mails verstuurd worden vanuit Amerika, terwijl de kwaadwillende in werkelijk in Australië zit.
Gevolgen van phishing
De gevolgen van een phishing aanval kunnen verschillen. Kwaadwillende kunnen zich richten op het buit maken van data om deze vervolgens door te verkopen. De data wordt door de kopers weer verder misbruikt. Bijvoorbeeld voor identiteitsfraude of nieuwe phishing aanvallen. Of de focus ligt op het verkrijgen van toegang tot het systeem van het doelwit om vervolgens op zoek gaan in het netwerk van de organisatie naar de meest waardevolle informatie (kroonjuwelen) om deze vervolgens te “gijzelen” middels gijzelsoftware. Hierdoor heeft de organisatie geen toegang meer tot deze informatie, tenzij er betaald wordt. Wat de kwaadwillende ook kiezen voor soort of vorm, de gevolgen voor een organisatie of particulier kunnen gigantisch, en dus niet te overzien, zijn. Naast imagoschade en mogelijk grote financiële gevolgen gaat het vaak om informatie van bijvoorbeeld klanten van de organisatie. Hierdoor kan een aanval niet alleen schade veroorzaken voor de organisatie, maar vertaald dit zich mogelijk door naar de getroffen klanten.
Hoe phishing te voorkomen
100 procent voorkomen dat een organisatie slachtoffer wordt van phishing is een utopie. Wat wel mogelijk is, is om de kans voor het plaatsvinden en de mate van gevolgen te verkleinen. Denk hierbij aan het treffen van organisatorische maatregelen (procedures, richtlijnen processen) en technische maatregelen (multifactor authentication, autorisaties, scheiding van netwerken, spamfilters). Hierdoor wordt het risico en de gevolgen verkleint dat de organisatie slachtoffer wordt van een phishing aanval. Daarnaast is bewustwording een belangrijk onderdeel. Zodra medewerkers zich bewust zijn van phishing en in staat zijn om phishing te herkennen en ze melden dit, dan kan de organisatie hierop handelen. Bewustwording creëren kan op verschillende manieren en het is hierbij belangrijk dat dit op een constante basis gebeurt. De combinatie van de hierboven benoemden zaken (bewustwording, technische en organisatorische maatregelen) maakt jou als organisatie weerbaarder tegen phishing aanvallen.
Bron: Audittrail, Foto: Audittrail
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine - November 2024 Inhoud Ferry van der Pal (Wonen Wateringen): Fusie leidt tot betere bijdrage aan de volkshuisvestelijke opgave…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.