BDO Nederland gebruikt cookies en trackingtechnologieën om het browser-gebruik op onze site te verbeteren, gepersonaliseerde content te tonen en traffic te analyseren. Door het gebruik van onze website, stemt u in met het gebruik van functionele cookies. Door op onderstaande button te klikken, stemt u in met analytische cookies. Lees meer over ons cookiebeleid en privacybeleid.
Artikel:

5 redenen waarom phishing voorkomen moeilijk is

26 november 2020

Wist u dat 91% van de hackaanvallen starten met een phishing e-mail, appje of sms’je? Vorig jaar werd 55% van alle organisaties wereldwijd tenminste één keer slachtoffer van een phishing aanval. Nu we massaal thuiswerken, is het aantal corona-gerelateerde phishing e-mails explosief toegenomen. Het is dus geen overbodige luxe om u hier als organisatie of individu goed tegen te wapenen.

In oktober lanceerden wij ter gelegenheid van de internationale cybersecuritymaand de BDO Phish Quiz. Deze quiz is voor iedereen toegankelijk en bestaat uit 8 vragen waarmee u kunt testen of u genoeg weet over phishing. Inmiddels hebben 463 mensen de quiz doorlopen. Conclusie? Het herkennen van phishing blijkt best lastig. Van de respondenten had 39% maximaal 5 juiste antwoorden. 47% beantwoordde 6 tot 7 vragen goed. Slechts 14% maakte de quiz foutloos.

Onvoldoende kennis van phishing maakt de strijd tegen phishing moeilijk. Welke zaken spelen nog meer mee? En hoe kunt u uzelf en uw organisatie weerbaar maken tegen phishing?

1: Zoveel verschillende vormen die u moet kennen
Het is niet makkelijk om phishing te herkennen. U moet het verschil kunnen zien tussen een legitieme url als https://bankieren.rabobank.nl en een valse als https://bankieren-rabobank.nl. Maar ook dat een zipfile als factuur hoogst verdacht is. Dit laatste was een groot struikelblok in de quiz: maar liefst 64% zag niet dat de e-mail met een bijgesloten zipfile, zogenaamd als factuur, phishing was. Daarnaast communiceren instellingen als de Belastingdienst, het CJIB en banken op verschillende manieren. Doen ze dit per mail, per post of via MijnOverheid? En wanneer is het betrouwbaar? Dat is alles bij elkaar best complex.

2: Spear phishing: aanvallen worden steeds gerichter
Mogelijk vindt u bovenstaande voorbeelden te ingewikkeld, omdat u bij phishing denkt aan berichten die bol staan van de spelfouten en een louche afzendadres. Helaas is dit steeds meer iets uit het verleden. Vroeger probeerden aanvallers het met een schot hagel, tegenwoordig gaan ze steeds gerichter te werk. Dit heet spear phishing. Omdat ze specifiek gericht zijn op een individu of organisatie zijn ze moeilijker als phishing te herkennen.

3: De basisbeveiliging is niet op orde
Een phishingaanval wordt pas echt succesvol als de beveiliging van de organisatie te wensen overlaat. Bijvoorbeeld omdat de systemen niet up-to-date zijn, zodat bekende kwetsbaarheden uitgebuit kunnen worden. Of omdat de back-ups onbetrouwbaar zijn, of er geen netwerksegmentatie is. Als dit soort basiszaken op orde zijn, heeft de aanvaller veel minder kans van slagen. Dit is echter lang niet overal het geval.

4: Aanvallen is makkelijker dan verdedigen
Om uw organisatie te wapenen tegen phishing moet de verdediging vlekkeloos zijn. Een aanvaller heeft echter soms maar één klik nodig om een organisatie succesvol te hacken. Aanvallers hebben een ‘first mover advantage’, hoeven zich geen zorgen te maken over wetten of ethiek en kunnen heel snel nieuwe technieken inzetten. Ze hebben iets te winnen, terwijl de verdediging informatieveiligheid vaak ziet als een kostenpost, iets wat misschien wel noodzakelijk is, maar niets (leuks) oplevert. Een oneerlijke strijd.

5: De awareness aanpak voldoet niet
Om te zorgen dat medewerkers informatieveilig werken, zoals het herkennen van phishing mails, zetten organisaties awareness trainingen in. Maar in de regel zijn deze onvoldoende effectief. De focus van dit soort trainingen is meestal alleen op het overbrengen van informatie, terwijl er voor structurele gedragsverandering méér nodig is. Een aantal voorbeelden: sluit de awareness boodschap aan bij de drijfveren en de dagelijkse werksituatie van de medewerkers? Zijn de security richtlijnen eenduidig en goed vindbaar? Geven leidinggevenden het juiste voorbeeld? Hebben medewerkers de juiste ICT-systemen om veilig te kunnen werken? Worden ze voldoende gefaciliteerd? Als deze zaken worden meegenomen, is uw awareness aanpak veel succesvoller.

Wat kunt u nu doen om phishing tegen te gaan?

Het lijkt een onmogelijke opgave om uw cyberweerbaarheid op een goed niveau te krijgen, maar dat is zeker niet het geval. Welke maatregelen kunt u nemen?

  • Verhoog uw kennis over phishing (en dat van uw medewerkers). Doe de BDO Phish Quiz en lees de bijbehorende factsheet. Voer een phishing test uit, waarin u een nep phishing e-mail stuurt naar uw medewerkers, om te testen hoe bewust men nu al is.
  • Overweeg technische maatregelen die (spear)phishing tegengaan. Voorbeelden zijn DMARC, SPF en DKIM. Ontvangers kunnen hiermee controleren of e-mails ook daadwerkelijk afkomstig zijn van de veronderstelde afzender. E-mails van aanvallers worden beter herkend, zodat de kans op misbruik afneemt.
  • Zorg ervoor dat de basisbeveiliging van uw organisatie op orde is, dan heeft een cyberaanval minder kans van slagen of is de impact minder groot. Denk o.a. aan het invoeren van tweefactorauthenticatie in voor uw bedrijfssystemen, regelmatige updates, een goede backup en het segmenteren van uw netwerk.
  • Investeer in incident- en crisismanagement. Wees u ervan bewust dat uw organisatie een doelwit is voor hackers en dat u een keer geraakt kunt worden door een aanval.
  • Zorg voor een duidelijke en toegankelijke procedure waar werknemers phishing kunnen melden en voor adequate opvolging van meldingen. Door bijvoorbeeld de malafide url te blokkeren, kunt u voorkomen dat uw organisatie via andere medewerkers geraakt wordt door de aanval.
  • Maak informatieveilig werken behapbaar voor uw medewerkers, geef als leidinggevende het goede voorbeeld en laat trainingsmateriaal aansluiten bij de context van uw organisatie en specifieke doelgroep.

Meer weten?
U kunt nog steeds uw kennis over phishing testen via de BDO Phish Quiz. Heeft u vragen over hoe u verder uw organisatie weerbaar kunt maken tegen cyberaanvallen? Neem dan gerust contact op met één van onze adviseurs.