Phishing: wees bewust en train uw medewerkers

Vergeet de spelfouten, rare lay-outs en verouderde logo’s, phishers hebben hun lesje geleerd en maken websites tegenwoordig zo goed na dat zelfs specialisten twee keer moeten kijken. Hoe moeten leken hier dan mee omgaan? “Awareness en training zijn de beste methoden om phishers de pas af te snijden”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “En met onze nieuwe dienstverlening ‘Phishing as a service’ kunnen wij uw onderneming daarbij helpen.”

Phishing: wees bewust en train uw medewerkers

Phishing (‘hengelen’) is een vorm van online oplichting waarbij cybercriminelen trachten om inloggegevens, kredietkaartinformatie, pincodes of medische data te stelen. Ze doen dat door vervalste e-mails of sms’jes te sturen van instanties die u vertrouwt: uw bank, de FOD Financiën, een bekend pretpark, een grote telecomprovider, … In die berichtjes vragen ze u om door te klikken naar de website van deze instantie om daar bijvoorbeeld uw rekeningnummer en pincode van uw bank-app in te geven. Of om te klikken op een link, die dan een virus op uw computer installeert.

Varianten op klassieke phishing

Ondertussen duiken er ook al varianten van phishing op, de inventiviteit van de cybercriminelen kent daarbij geen grenzen. ‘Whaling’ bijvoorbeeld, waarbij oplichters via platformen als Whatsapp berichtjes sturen waarin ze zich voordoen als bekende personen of familieleden. De oplichter vraagt om geld over te maken omdat hij met een klein probleem zit of tijdelijk niet aan zijn rekening kan. Uiteraard met de belofte om dit zo snel mogelijk terug te betalen. Ook ‘CEO-fraude’ is een fenomeen dat nog steeds vaak voorkomt. Hierbij doet de oplichter zich voor als de baas van het slachtoffer en vraagt hij om dringend een som geld over te schrijven om bijvoorbeeld een onbetaalde factuur te voldoen.

Phishers professionaliseren zich

“In het begin waren phishingberichten nog vrij goed te herkennen”, zegt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “Ze stonden vaak vol taalfouten, hadden een vage aanspreektitel of gebruikten uw e-mailadres als aanspreking. Ook de nagebouwde websites waren dikwijls maar slechte kopieën, zodat er bij veel slachtoffers wel een alarmbelletje afging. De phishers zijn zich echter gaan professionaliseren. Het wordt almaar lastiger om nog het onderscheid te maken met legitieme mails en sites.”

Naast het feit dat de hackers steeds beter worden in hun oplichtingspogingen, stijgt ook het aantal phishingberichten enorm waardoor er meer en meer slachtoffers vallen. Volgens de bankenfederatie Febelfin vonden er in 2020 zo’n 67.000 frauduleuze banktransacties plaats na phishing. Daarbij werd 34 miljoen euro ontfutseld. Ter vergelijking: een jaar eerder bedroeg de schade ‘maar’ 8 miljoen euro.

Verzekeraars reageren

Ook Vanbreda Risk & Benefits merkt dat er meer schademeldingen zijn én dat het gaat om hogere schadebedragen. “We stellen vast dat verzekeraars daar doorgaans op drie mogelijke manieren op reageren”, zegt Tom Van Britsom. “Ze verhogen de premies van de polissen, zowel voor nieuwe als bestaande klanten. Of ze passen hun voorwaarden aan en voorzien bijvoorbeeld lagere kapitalen, hogere eigen risico’s en aangepaste clausules. Tot slot verstrengen verzekeraars ook hun acceptatiebeleid. Bedrijven moeten aantonen dat hun securitybeleid op orde staat of bepaalde sectoren worden gewoonweg uitgesloten.”

De menselijke factor

Uiteraard is een sluitend technisch veiligheidsbeleid een belangrijke factor om phishers af te remmen, zegt Van Britsom. Maar het is evenzeer belangrijk om te investeren in de ‘menselijke factor’. “Het overgrote deel van de schadegevallen kent namelijk een menselijke link, die u als onderneming nooit volledig kunt uitschakelen, maar die u wel continu moet trainen. Vanbreda Risk & Benefits doet dat op twee manieren. Ten eerste via de cyberworkshops die we organiseren en die we baseren op onze eigen ervaringen in cyberschade. We leren u hierin de best practices: hoe gaat u om met phishing op het moment dat u getroffen wordt. De do’s en de don ’t’s dus, wat kan u doen om uw onderneming voor te bereiden en hoe kan u adequaat reageren na een aanval?”

Het tweede luik is een online ‘phishing-training’ die Vanbreda aanbiedt. Van Britsom: “Via ons platform kunnen we uiterst realistische phishing-simulaties opzetten, die volledig op maat van uw onderneming zijn gemaakt. U hoeft daarvoor zelf geen enkele aanpassing te doen aan uw IT-infrastructuur. Wij sturen de zogenaamde phishingmails uit en houden dan zeer nauwkeurig bij hoe uw medewerkers hierop reageren. Nadien bezorgen we u uiteraard uitgebreide rapporten en analyses van hoe de test verliep.”

Elke medewerker een expert

De rapporten leggen bijvoorbeeld uit hoeveel mails gestuurd werden, hoeveel er werden geopend, wie welke data invoerde of de mails beantwoordde, hoeveel mensen op verdachte bijlages klikten, hoeveel medewerkers het IT-departement op de hoogte brachten, enzovoort. “Op deze manier geven we zowel de onderneming als de medewerkers meer inzichten in de digitale gevaren én leren we hen er correct mee omgaan. Hierdoor wordt voor uw onderneming ook duidelijker hoe het interne beleid rond cybersecurity nog kan geoptimaliseerd worden”, zegt Van Britsom. “De training maakt van elke medewerker een echte phishingexpert. Zo zijn uw werknemers voorbereid op cyberaanvallen waardoor de gegevens, activa en reputatie van uw organisatie beter beschermd zijn.”

Tom Van Britsom

Meer informatie?

Wenst u meer informatie over de phishing-trainingen die wij aanbieden? Neem gerust contact met ons op via onderstaand e-mailadres.

Schrijf u in op onze nieuwsbrief.