Vergeet de spelfouten, rare lay-outs en verouderde logo’s, phishers hebben hun lesje geleerd en maken websites tegenwoordig zo goed na dat zelfs specialisten twee keer moeten kijken. Hoe moeten leken hier dan mee omgaan?
Phishing (‘hengelen’) is een vorm van online oplichting waarbij cybercriminelen trachten om inloggegevens, kredietkaartinformatie, pincodes of medische data te stelen. Ze doen dat door vervalste e-mails of sms’jes te sturen van instanties die je vertrouwt: jouw bank, de FOD Financiën, een bekend pretpark, een grote telecomprovider, … In die berichtjes vragen ze je om door te klikken naar de website van deze instantie om daar bijvoorbeeld jouw rekeningnummer en pincode van jouw bank-app in te geven. Of om te klikken op een link, die dan een virus op jouw computer installeert.
Ondertussen duiken er ook al varianten van phishing op, de inventiviteit van de cybercriminelen kent daarbij geen grenzen. ‘Whaling’ bijvoorbeeld, waarbij oplichters via platformen als Whatsapp berichtjes sturen waarin ze zich voordoen als bekende personen of familieleden. De oplichter vraagt om geld over te maken omdat hij met een klein probleem zit of tijdelijk niet aan zijn rekening kan. Uiteraard met de belofte om dit zo snel mogelijk terug te betalen. Ook ‘CEO-fraude’ is een fenomeen dat nog steeds vaak voorkomt. Hierbij doet de oplichter zich voor als de baas van het slachtoffer en vraagt hij om dringend een som geld over te schrijven om bijvoorbeeld een onbetaalde factuur te voldoen.
“In het begin waren phishingberichten nog vrij goed te herkennen”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “Ze stonden vaak vol taalfouten, hadden een vage aanspreektitel of gebruikten jouw e-mailadres als aanspreking. Ook de nagebouwde websites waren dikwijls maar slechte kopieën, zodat er bij veel slachtoffers wel een alarmbelletje afging. De phishers zijn zich echter gaan professionaliseren. Het wordt almaar lastiger om nog het onderscheid te maken met legitieme mails en sites.”
Naast het feit dat de hackers steeds beter worden in hun oplichtingspogingen, stijgt ook het aantal phishingberichten enorm waardoor er meer en meer slachtoffers vallen. Volgens de bankenfederatie Febelfin vonden er in 2020 zo’n 67.000 frauduleuze banktransacties plaats na phishing. Daarbij werd 34 miljoen euro ontfutseld. Ter vergelijking: een jaar eerder bedroeg de schade ‘maar’ 8 miljoen euro.
Ook Vanbreda Risk & Benefits merkt dat er meer schademeldingen zijn én dat het gaat om hogere schadebedragen. “We stellen vast dat verzekeraars daar doorgaans op drie mogelijke manieren op reageren”, zegt Tom Van Britsom. “Ze verhogen de premies van de polissen, zowel voor nieuwe als bestaande klanten. Of ze passen hun voorwaarden aan en voorzien bijvoorbeeld lagere kapitalen, hogere eigen risico’s en aangepaste clausules. Tot slot verstrengen verzekeraars ook hun acceptatiebeleid. Bedrijven moeten aantonen dat hun securitybeleid op orde staat of bepaalde sectoren worden gewoonweg uitgesloten.”
Uiteraard is een sluitend technisch veiligheidsbeleid een belangrijke factor om phishers af te remmen, zegt Van Britsom. Maar het is evenzeer belangrijk om te investeren in de ‘menselijke factor’. “Het overgrote deel van de schadegevallen kent namelijk een menselijke link, die je als onderneming nooit volledig kunt uitschakelen, maar die je wel continu moet trainen. Vanbreda Risk & Benefits doet dat op twee manieren. Ten eerste via de cyberworkshops die we organiseren en die we baseren op onze eigen ervaringen in cyberschade. We leren je hierin de best practices: hoe ga je om met phishing op het moment dat je getroffen wordt. De do’s en de don ’t’s dus, wat kan je doen om jouw onderneming voor te bereiden en hoe kan je adequaat reageren na een aanval?”
Het tweede luik is een online ‘phishing-training’ die Vanbreda aanbiedt. Van Britsom: “Via ons platform kunnen we uiterst realistische phishing-simulaties opzetten, die volledig op maat van jouw onderneming zijn gemaakt. Je hoeft daarvoor zelf geen enkele aanpassing te doen aan jouw IT-infrastructuur. Wij sturen de zogenaamde phishingmails uit en houden dan zeer nauwkeurig bij hoe jouw medewerkers hierop reageren. Nadien bezorgen we je uiteraard uitgebreide rapporten en analyses van hoe de test verliep.”
De rapporten leggen bijvoorbeeld uit hoeveel mails gestuurd werden, hoeveel er werden geopend, wie welke data invoerde of de mails beantwoordde, hoeveel mensen op verdachte bijlages klikten, hoeveel medewerkers het IT-departement op de hoogte brachten, enzovoort. “Op deze manier geven we zowel de onderneming als de medewerkers meer inzichten in de digitale gevaren én leren we hen er correct mee omgaan. Hierdoor wordt voor jouw onderneming ook duidelijker hoe het interne beleid rond cybersecurity nog kan geoptimaliseerd worden”, zegt Van Britsom. “De training maakt van elke medewerker een echte phishingexpert. Zo zijn jouw werknemers voorbereid op cyberaanvallen waardoor de gegevens, activa en reputatie van jouw organisatie beter beschermd zijn.”
