Categorie op Phishing

Phishing-mails gericht op business, IT en HR worden gevaarlijker

KnowBe4 presenteert zijn rapport over de phishing-campagnes waarop wereldwijd het meest geklikt is in het derde kwartaal van 2021. “Het uitvoeren van social engineering-aanvallen blijft voor cybercriminelen een van de belangrijkste tactieken om organisaties binnen te dringen en/of schade te veroorzaken,” zegt Stu Sjouwerman, CEO van KnowBe4.

Sjouwerman: “We zien een aanhoudende toename van phishing, waaronder meer gebruik van veel voorkomende HR-communicatie en minder gebruik van de voor de hand liggende phishing-campagnes op social media. Door IT-beveiligingsprofessionals te voorzien van meer gegevens over waarschijnlijke tactieken en sjablonen die worden gebruikt door cybercriminelen, kunnen zij hun menselijke firewall versterken. Nu meer dan ooit moeten eindgebruikers waakzaam blijven en nadenken voordat zij op een link klikken.”

Lees hier verder. © Managers Online

Fraudehelpdesk ontvangt duizenden klachten over telefoontjes ‘National Police’

De Fraudehelpdesk heeft de afgelopen periode duizenden klachten ontvangen van mensen die zijn gebeld door oplichters die zich voordoen als de ‘National Police’ of het ‘Dutch Supreme Court’. Slachtoffers werden uiteindelijk voor 209.000 euro opgelicht, zo laat de Fraudehelpdesk aan Security.NL weten.

De telefoontjes lijken van een Nederlands mobiel nummer te komen of van de Hoge Raad. In werkelijkheid gaat het om gespoofte telefoonnummers en zijn de mobiele nummers van particulieren die er niets mee te maken hebben. In eerste instantie wordt er een opgenomen Engelstalig bericht afgespeeld dat het BSN-nummer van de ontvanger wordt misbruikt, er tegen hem een arrestatiebevel loopt of dat de ontvanger betrokken is bij drugshandel en witwassen.

Vervolgens wordt gevraagd om het cijfer 1 in te toetsen om te worden doorverbonden met een ‘agent’. Deze nepagent vraagt mensen hun identiteit te verifiëren aan de hand van persoonlijke gegevens. Vervolgens stelt de oplichter dat er een probleem is met de bankrekening van het slachtoffer en die zijn geld moet overmaken naar een veilige rekening. In sommige gevallen nemen de oplichters de computer van hun slachtoffers over, door die een remote administration tool te laten installeren.

Zo’n vijfduizend mensen hebben bij de Fraudehelpdesk gemeld dat ze door dergelijke oplichters zijn gebeld. 42 mensen rapporteerden financiële schade, voor een bedrag van zo’n 209.000 euro. De meeste mensen met financiële schade zijn Engelstalig. Wie wordt gebeld door een onbekend telefoonnummer of een Engelstalig bandje hoort wordt aangeraden direct op te hangen.

Lees hier verder. © Security.nl

Hoe bescherm ik mijn organisatie tegen phishing?

Tegenwoordig wordt het steeds moeilijker om een phishing-mail te herkennen. Hackers zijn zo geavanceerd dat het verschil tussen een namaakmail en een authentieke e-mail bijna niet meer te zien is. Om u hiertegen te beschermen zijn er een aantal oplossingen die op de “achtergrond” werken. Wij hebben een onderscheid gemaakt tussen technische maatregelen en organisatorische maatregelen:

Technische maatregelen

  • Sender Policy Framework (SPF)
    SPF voorkomt dat iemand in naam van uw organisatie een e-mail kan sturen. SPF controleert de afzender van een e-mail op echtheid waarbij er een identiteitscheck wordt gedaan op de afzender. Meer info over SPF en hoe te configureren vindt u hier.
  • Domain Message Authentication Reporting & Conformance (DMARC)
    DMARC vertelt uw mailserver wat hij moet doen als hij een verdachte e-mail ontvangt. Ook zorgt DMARC ervoor dat een organisatie informatie krijgt over vervalste e-mails die in zijn naam verstuurd zijn. Meer info over DMARC en hoe te configureren voor uw organisatie? Klik dan hier.
  • DomainKeys Identified Mail (DKIM)
    DKIM is een e-mail authenticatie techniek die de ontvanger toestaat om te verifiëren of de e-mail echt verstuurd is (en dus geautoriseerd) is door de eigenaar van het DKIM-domein. En of deze in oorspronkelijke staat aankomt. Voor meer info over DKIM en de configuratie ervan kunt u hier terecht.

Organisatorische maatregelen

Het gebruiken van SPF, DMARC en DKIM zorgt ervoor dat het veel moeilijker wordt voor hackers om u over te halen op dat “linkje” te klikken. Deze malafide mails worden namelijk uit uw postvak IN gefilterd en in het SPAM-postvak geplaatst, of zij komen helemaal niet meer aan in uw postvak. Uiteraard ligt de eindverantwoordelijkheid bij de gebruiker en deze dient bewust te zijn van de gevaren in de cyberwereld. Een simpele awareness-campagne kan ervoor zorgen dat de koffieautomaatgesprekken vaker over cybersecurity gaan in plaats van die nieuwe Netflix-film. Zo is de e-mailbeveiliging zowel technisch als organisatorisch beter afgedekt, want uiteindelijk komt het erop neer: “De mens is de zwakste schakel in de cyberchain”.

© ICTRecht

Bescherm jezelf en je omgeving tegen phishing

Phishing is de laatste tijd alomtegenwoordig: op je smartphone en computer is het gevaar om slachtoffer te worden van criminele praktijken steeds groter. Met phishing-mails, bijvoorbeeld, proberen malafide oplichters aan je bankgegevens of andere persoonlijke informatie te geraken. Vroeger zag je meteen dat zo’n mail bijzonder amateuristisch was opgesteld, maar nu zijn dergelijke mails bijna niet meer te onderscheiden van echte mails van legitieme bedrijven. Hoe loop je dan toch niet in de phishing-val?

Communicatie is key

Om het bewustzijn rond phishing te vergroten, moet er aandacht geschonken worden aan dit probleem en moeten we erover praten. Op televisie zie je al sensibiliseringscampagnes vanuit de overheid die burgers willen wijzen op het gevaar van phishing. Maar anti-phishing moet ook meer geïntegreerd worden op de werkvloer. Veel werknemers van alle soorten bedrijven laten zich immers vaak vangen door fake mails. Het bewustzijn van de digitale gevaren moet ook in de professionele wereld vergroot worden.

Leer de gevaren herkennen

Virussen die computers willen binnendringen bestaan al lang. En lange tijd konden we die virussen ook buiten houden door de installatie van firewalls en consoorten. Maar de technologie evolueert en zo ook virussen, die zich nu focussen op mensen en vooral de menselijke fouten die ze maken. Besmette hyperlinks klikken we – onbewust – nu eenmaal massaal aan. Een free phishing training is een goed idee om, bijvoorbeeld, werknemers te leren welke hyperlinks besmet zijn en ze dus zeker niet mogen aanklikken om virussen te vermijden. In zulke trainingen komen ze in contact met alle phishingvarianten – in een veilige en gecontroleerde omgeving weliswaar – om het gevaar ervan te leren herkennen. Door medewerkers op alle mogelijke gevaren voor te bereiden, leren ze de juiste reflexen aan en zullen ze minder snel op een besmette hyperlink klikken of op een louche mail ingaan. Als je zelf alerter bent voor deze gevaren, dan is je omgeving ook beter beschermd, inclusief je collega’s en werkgever. Misschien een goed idee om deze training voor te stellen aan je baas?

Help, ik ben in de val gelopen

Heb jij ook al eens met phishing te maken gekregen? Heb je ondanks sensibilisering van de overheid en misschien zelfs een doorgedreven training op je werk toch op een besmette link geklikt? Vul dan in geen geval persoonlijke gegevens zoals je wachtwoord of pincode in. Twijfel je? Raadpleeg dan de contactpagina en experts zullen je vertellen of de website in kwestie effectief een hyperlink gebruikt waar ze naar persoonlijke gegevens vragen. Op basis van het webadres kan je ook al veel afleiden. Zit de naam van de officiële organisatie niet in het domein of wordt het verkeerd geschreven? Dan is de kans groot dat deze website niet te vertrouwen is.

Heb je je gegevens tóch doorgegeven? Verander dan meteen je wachtwoord als je dat ook voor andere accounts gebruikt. Als je bankgegevens hebt doorgegeven, geef je dat best zo snel mogelijk aan bij Cardstop en je bank zodat zij je bankrekening kunnen blokkeren.

© Technieuws

Hoe bescherm je jouw klanten tegen phishing en ransomware?

Thuiswerken bracht de afgelopen periode een stroom van nieuwe toepassingen op gang. Teams, groot en klein, moesten sinds de lente van vorig jaar leren in Microsoft’s 365-omgeving te werken, maakten kennis met Teams, Zoomden erop los en creëerden zo allerlei kieren in hun digitale veiligheid. Cybercriminelen zien kleine en middelgrote bedrijven daarom óók als doelwit in hun aanvallen.

Ze zijn namelijk gemakkelijker te infiltreren dan grotere organisaties, en bieden soms óók toegang tot hun eigen klantenbestand. Een derde van de bedrijven was afgelopen jaar doelwit van een cyberaanval. Het aantal aanvallen stijgt gestaag: ransomware kost organisaties bijna zestig keer méér dan zes jaar geleden. Nogal logisch dus dat organisaties zich over hun digitale strategieën buigen: hoe voorkom je dat zulke aanvallen schade aanrichten aan je bedrijf? En hoe bescherm je jouw klanten voor alle ongemakken die bij zo’n aanval komen kijken?

E-mail als grootste boosdoener
Managed Service Providers (MSP’s) kunnen op verschillende manieren helpen je klanten digitaal te beveiligen. Het is slim om het grootste probleem als eerst te tackelen. Aangezien 94 procent van de malware via e-mail komt, is dat een goed startpunt. MSP’s moeten een beschermende schil rondom e-mailsoftware vormen die je klanten voor phishing en ransomware beschermt. Hoe? Door allereerst de kwetsbaarheden in kaart te brengen, te zien waar lekken zijn en dan te beslissen hoe die lekken gedicht kunnen worden.

Lees hier verder. © Managers Online

© MeT-Groep