Phishing: wees bewust en train jouw medewerkers

 “Awareness en training zijn de beste methoden om phishers de pas af te snijden”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “En met onze nieuwe dienstverlening ‘Phishing as a service’ kunnen wij jouw onderneming daarbij helpen.”

Phishing as a service

Vergeet de spelfouten, rare lay-outs en verouderde logo’s, phishers hebben hun lesje geleerd en maken websites tegenwoordig zo goed na dat zelfs specialisten twee keer moeten kijken. Hoe moeten leken hier dan mee omgaan?

Phishing (‘hengelen’) is een vorm van online oplichting waarbij cybercriminelen trachten om inloggegevens, kredietkaartinformatie, pincodes of medische data te stelen. Ze doen dat door vervalste e-mails of sms’jes te sturen van instanties die je vertrouwt: jouw bank, de FOD Financiën, een bekend pretpark, een grote telecomprovider, … In die berichtjes vragen ze je om door te klikken naar de website van deze instantie om daar bijvoorbeeld jouw rekeningnummer en pincode van jouw bank-app in te geven. Of om te klikken op een link, die dan een virus op jouw computer installeert.

Varianten op klassieke phishing

Ondertussen duiken er ook al varianten van phishing op, de inventiviteit van de cybercriminelen kent daarbij geen grenzen. ‘Whaling’ bijvoorbeeld, waarbij oplichters via platformen als Whatsapp berichtjes sturen waarin ze zich voordoen als bekende personen of familieleden. De oplichter vraagt om geld over te maken omdat hij met een klein probleem zit of tijdelijk niet aan zijn rekening kan. Uiteraard met de belofte om dit zo snel mogelijk terug te betalen. Ook ‘CEO-fraude’ is een fenomeen dat nog steeds vaak voorkomt. Hierbij doet de oplichter zich voor als de baas van het slachtoffer en vraagt hij om dringend een som geld over te schrijven om bijvoorbeeld een onbetaalde factuur te voldoen.

Phishers professionaliseren zich

“In het begin waren phishingberichten nog vrij goed te herkennen”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “Ze stonden vaak vol taalfouten, hadden een vage aanspreektitel of gebruikten jouw e-mailadres als aanspreking. Ook de nagebouwde websites waren dikwijls maar slechte kopieën, zodat er bij veel slachtoffers wel een alarmbelletje afging. De phishers zijn zich echter gaan professionaliseren. Het wordt almaar lastiger om nog het onderscheid te maken met legitieme mails en sites.”

Naast het feit dat de hackers steeds beter worden in hun oplichtingspogingen, stijgt ook het aantal phishingberichten enorm waardoor er meer en meer slachtoffers vallen. Volgens de bankenfederatie Febelfin vonden er in 2020 zo’n 67.000 frauduleuze banktransacties plaats na phishing. Daarbij werd 34 miljoen euro ontfutseld. Ter vergelijking: een jaar eerder bedroeg de schade ‘maar’ 8 miljoen euro.

Verzekeraars reageren

Ook Vanbreda Risk & Benefits merkt dat er meer schademeldingen zijn én dat het gaat om hogere schadebedragen. “We stellen vast dat verzekeraars daar doorgaans op drie mogelijke manieren op reageren”, zegt Tom Van Britsom. “Ze verhogen de premies van de polissen, zowel voor nieuwe als bestaande klanten. Of ze passen hun voorwaarden aan en voorzien bijvoorbeeld lagere kapitalen, hogere eigen risico’s en aangepaste clausules. Tot slot verstrengen verzekeraars ook hun acceptatiebeleid. Bedrijven moeten aantonen dat hun securitybeleid op orde staat of bepaalde sectoren worden gewoonweg uitgesloten.”

De menselijke factor

Uiteraard is een sluitend technisch veiligheidsbeleid een belangrijke factor om phishers af te remmen, zegt Van Britsom. Maar het is evenzeer belangrijk om te investeren in de ‘menselijke factor’. “Het overgrote deel van de schadegevallen kent namelijk een menselijke link, die je als onderneming nooit volledig kunt uitschakelen, maar die je wel continu moet trainen. Vanbreda Risk & Benefits doet dat op twee manieren. Ten eerste via de cyberworkshops die we organiseren en die we baseren op onze eigen ervaringen in cyberschade. We leren je hierin de best practices: hoe ga je om met phishing op het moment dat je getroffen wordt. De do’s en de don ’t’s dus, wat kan je doen om jouw onderneming voor te bereiden en hoe kan je adequaat reageren na een aanval?”

Het tweede luik is een online ‘phishing-training’ die Vanbreda aanbiedt. Van Britsom: “Via ons platform kunnen we uiterst realistische phishing-simulaties opzetten, die volledig op maat van jouw onderneming zijn gemaakt. Je hoeft daarvoor zelf geen enkele aanpassing te doen aan jouw IT-infrastructuur. Wij sturen de zogenaamde phishingmails uit en houden dan zeer nauwkeurig bij hoe jouw medewerkers hierop reageren. Nadien bezorgen we je uiteraard uitgebreide rapporten en analyses van hoe de test verliep.”

Elke medewerker een expert

De rapporten leggen bijvoorbeeld uit hoeveel mails gestuurd werden, hoeveel er werden geopend, wie welke data invoerde of de mails beantwoordde, hoeveel mensen op verdachte bijlages klikten, hoeveel medewerkers het IT-departement op de hoogte brachten, enzovoort. “Op deze manier geven we zowel de onderneming als de medewerkers meer inzichten in de digitale gevaren én leren we hen er correct mee omgaan. Hierdoor wordt voor jouw onderneming ook duidelijker hoe het interne beleid rond cybersecurity nog kan geoptimaliseerd worden”, zegt Van Britsom. “De training maakt van elke medewerker een echte phishingexpert. Zo zijn jouw werknemers voorbereid op cyberaanvallen waardoor de gegevens, activa en reputatie van jouw organisatie beter beschermd zijn.”

Gere­la­teer­de berichten

I Stock 874075212

Wat bete­kent de intro­duc­tie van NIS2 voor jouw onderneming?

Cyber en Fraude
03.09.2024

In het najaar van 2024 zal de NIS2-richtlijn in werking treden. Het doel is om de cyberveiligheid en het incidentenbeheer van de EU-lidstaten verder te optimaliseren. Op welke ondernemingen is NIS2 van toepassing? Wie volgt de toepassing op, welke sancties zijn bepaald en welke impact is er op verzekeringsvlak? We lichten het graag toe.

Lees meer
Lees meer over Wat betekent de introductie van NIS2 voor jouw onderneming?
DIGF13681

De gemoeds­rust van een cyberverzekering

Pers
09.04.2024

Bij Vanbreda Risk & Benefits stellen we vast dat bedrijven steeds vaker een cyberpolis afsluiten door groeiende digitale bedreigingen en de toenemende afhankelijkheid van technologie. Collega's Jonas Mannaerts en Steven Dierckx lichten in Sterck magazine onder meer toe wat een cyberpolis inhoudt en vooral ook waarom werknemers de belangrijkste schakel zijn om cybercriminaliteit tegen te gaan.

Lees meer
Lees meer over De gemoedsrust van een cyberverzekering
Cyber laptop

Cyber­aan­val­len boven­aan de lijst van risi­co’s voor bedrijven

Pers
08.02.2024

De opkomst van digitale gevaren is in 2023 onverminderd doorgegaan. Volgens de risicobarometer ligt cyberfraude voor op natuurrampen, de energiecrisis en zelfs oorlogsrisico's. Onze cyberexpert Tom Van Britsom gaf meer tekst en uitleg in de Franstalige krant L'Echo.

Lees meer
Lees meer over Cyberaanvallen bovenaan de lijst van risico's voor bedrijven
Cyber laptop

Cyber­stu­die Van­b­re­da: bij 21% van de cybe­rin­ci­den­ten in 2022 was er voor meer dan 100.000 euro schade

Cyber en Fraude
13.02.2023

Belgische bedrijven zijn zich meer dan ooit bewust van digitale risico’s en zien de noodzaak in om zich hiertegen te beschermen via een cyberverzekering. Uit de schadecijfers van onze cyberportefeuille blijkt ook dat cyberincidenten Belgische bedrijven steeds duurder komen te staan. In 2022 lag de totale kost van 1 op 5 incidenten boven de 100.000 euro.

Lees meer
Lees meer over Cyberstudie Vanbreda: bij 21% van de cyberincidenten in 2022 was er voor meer dan 100.000 euro schade