Phishing: wees bewust en train jouw medewerkers

 “Awareness en training zijn de beste methoden om phishers de pas af te snijden”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “En met onze nieuwe dienstverlening ‘Phishing as a service’ kunnen wij jouw onderneming daarbij helpen.”

Phishing as a service

Vergeet de spelfouten, rare lay-outs en verouderde logo’s, phishers hebben hun lesje geleerd en maken websites tegenwoordig zo goed na dat zelfs specialisten twee keer moeten kijken. Hoe moeten leken hier dan mee omgaan?

Phishing (‘hengelen’) is een vorm van online oplichting waarbij cybercriminelen trachten om inloggegevens, kredietkaartinformatie, pincodes of medische data te stelen. Ze doen dat door vervalste e-mails of sms’jes te sturen van instanties die je vertrouwt: jouw bank, de FOD Financiën, een bekend pretpark, een grote telecomprovider, … In die berichtjes vragen ze je om door te klikken naar de website van deze instantie om daar bijvoorbeeld jouw rekeningnummer en pincode van jouw bank-app in te geven. Of om te klikken op een link, die dan een virus op jouw computer installeert.

Varianten op klassieke phishing

Ondertussen duiken er ook al varianten van phishing op, de inventiviteit van de cybercriminelen kent daarbij geen grenzen. ‘Whaling’ bijvoorbeeld, waarbij oplichters via platformen als Whatsapp berichtjes sturen waarin ze zich voordoen als bekende personen of familieleden. De oplichter vraagt om geld over te maken omdat hij met een klein probleem zit of tijdelijk niet aan zijn rekening kan. Uiteraard met de belofte om dit zo snel mogelijk terug te betalen. Ook ‘CEO-fraude’ is een fenomeen dat nog steeds vaak voorkomt. Hierbij doet de oplichter zich voor als de baas van het slachtoffer en vraagt hij om dringend een som geld over te schrijven om bijvoorbeeld een onbetaalde factuur te voldoen.

Phishers professionaliseren zich

“In het begin waren phishingberichten nog vrij goed te herkennen”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “Ze stonden vaak vol taalfouten, hadden een vage aanspreektitel of gebruikten jouw e-mailadres als aanspreking. Ook de nagebouwde websites waren dikwijls maar slechte kopieën, zodat er bij veel slachtoffers wel een alarmbelletje afging. De phishers zijn zich echter gaan professionaliseren. Het wordt almaar lastiger om nog het onderscheid te maken met legitieme mails en sites.”

Naast het feit dat de hackers steeds beter worden in hun oplichtingspogingen, stijgt ook het aantal phishingberichten enorm waardoor er meer en meer slachtoffers vallen. Volgens de bankenfederatie Febelfin vonden er in 2020 zo’n 67.000 frauduleuze banktransacties plaats na phishing. Daarbij werd 34 miljoen euro ontfutseld. Ter vergelijking: een jaar eerder bedroeg de schade ‘maar’ 8 miljoen euro.

Verzekeraars reageren

Ook Vanbreda Risk & Benefits merkt dat er meer schademeldingen zijn én dat het gaat om hogere schadebedragen. “We stellen vast dat verzekeraars daar doorgaans op drie mogelijke manieren op reageren”, zegt Tom Van Britsom. “Ze verhogen de premies van de polissen, zowel voor nieuwe als bestaande klanten. Of ze passen hun voorwaarden aan en voorzien bijvoorbeeld lagere kapitalen, hogere eigen risico’s en aangepaste clausules. Tot slot verstrengen verzekeraars ook hun acceptatiebeleid. Bedrijven moeten aantonen dat hun securitybeleid op orde staat of bepaalde sectoren worden gewoonweg uitgesloten.”

De menselijke factor

Uiteraard is een sluitend technisch veiligheidsbeleid een belangrijke factor om phishers af te remmen, zegt Van Britsom. Maar het is evenzeer belangrijk om te investeren in de ‘menselijke factor’. “Het overgrote deel van de schadegevallen kent namelijk een menselijke link, die je als onderneming nooit volledig kunt uitschakelen, maar die je wel continu moet trainen. Vanbreda Risk & Benefits doet dat op twee manieren. Ten eerste via de cyberworkshops die we organiseren en die we baseren op onze eigen ervaringen in cyberschade. We leren je hierin de best practices: hoe ga je om met phishing op het moment dat je getroffen wordt. De do’s en de don ’t’s dus, wat kan je doen om jouw onderneming voor te bereiden en hoe kan je adequaat reageren na een aanval?”

Het tweede luik is een online ‘phishing-training’ die Vanbreda aanbiedt. Van Britsom: “Via ons platform kunnen we uiterst realistische phishing-simulaties opzetten, die volledig op maat van jouw onderneming zijn gemaakt. Je hoeft daarvoor zelf geen enkele aanpassing te doen aan jouw IT-infrastructuur. Wij sturen de zogenaamde phishingmails uit en houden dan zeer nauwkeurig bij hoe jouw medewerkers hierop reageren. Nadien bezorgen we je uiteraard uitgebreide rapporten en analyses van hoe de test verliep.”

Elke medewerker een expert

De rapporten leggen bijvoorbeeld uit hoeveel mails gestuurd werden, hoeveel er werden geopend, wie welke data invoerde of de mails beantwoordde, hoeveel mensen op verdachte bijlages klikten, hoeveel medewerkers het IT-departement op de hoogte brachten, enzovoort. “Op deze manier geven we zowel de onderneming als de medewerkers meer inzichten in de digitale gevaren én leren we hen er correct mee omgaan. Hierdoor wordt voor jouw onderneming ook duidelijker hoe het interne beleid rond cybersecurity nog kan geoptimaliseerd worden”, zegt Van Britsom. “De training maakt van elke medewerker een echte phishingexpert. Zo zijn jouw werknemers voorbereid op cyberaanvallen waardoor de gegevens, activa en reputatie van jouw organisatie beter beschermd zijn.”

Gere­la­teer­de berichten

Cyber laptop

Cyber­stu­die Van­b­re­da: bij 21% van de cybe­rin­ci­den­ten in 2022 was er voor meer dan 100.000 euro schade

Cyber en Fraude
13.02.2023

Belgische bedrijven zijn zich meer dan ooit bewust van digitale risico’s en zien de noodzaak in om zich hiertegen te beschermen via een cyberverzekering. Uit de schadecijfers van onze cyberportefeuille blijkt ook dat cyberincidenten Belgische bedrijven steeds duurder komen te staan. In 2022 lag de totale kost van 1 op 5 incidenten boven de 100.000 euro.

Lees meer
Lees meer over Cyberstudie Vanbreda: bij 21% van de cyberincidenten in 2022 was er voor meer dan 100.000 euro schade
Videopodcast cyber insurance

Video­pod­cast — Cyber insurance

Videopodcast
07.10.2022

In de eerste aflevering van onze Succes Verzekerd-podcast verwelkomen we cybersecurity-expert Tom Van Britsom aan de microfoon. Tom is manager business development met een diepgewortelde interesse in cyber security en cyber insurance.

Lees meer
Lees meer over Videopodcast - Cyber insurance
Cyber resized

Cyber­stu­die Van­b­re­da: 90% van de cyberin­breu­ken is te wij­ten aan een men­se­lij­ke fout

Cyber en Fraude
17.03.2022

Uit de schadecijfers van de cyberportefeuille van verzekeringsmakelaar Vanbreda Risk & Benefits blijkt dat 90% van de cyberinbreuken bij bedrijven in 2021 te wijten is aan een menselijke fout. Meer dan ooit is er nood aan preventie en het trainen van medewerkers om de steeds professionelere phishing-aanvallen te herkennen.

Lees meer
Lees meer over Cyberstudie Vanbreda: 90% van de cyberinbreuken is te wijten aan een menselijke fout