Wat is phishing?
Doelgroep:
Dit artikel is bedoeld voor iedere organisatie, want iedere organisatie heeft te maken met phishing. Hoe weerbaar je digitaal ook bent, uitsluiten dat medewerkers in jouw organisatie met phishing geconfronteerd worden, is bijzonder lastig. Gelukkig kun je er met een scala aan maatregelen wel voor zorgen dat de consequenties ervan minimaal zijn.
Phishing via e-mail komt het meeste voor. Het slachtoffer ontvangt een e-mail die legitiem overkomt, bijvoorbeeld omdat de e-mail gestuurd lijkt te zijn door een vertrouwd contact of een organisatie. In zulke e-mails wordt in sommige gevallen gevraagd om gegevens te sturen of achter te laten op een ogenschijnlijk legitieme website. Zo'n website is vaak niet van de echte website te onderscheiden. Een kenmerk van een geslaagde phishingmail is de betrouwbare en verleidelijke uitstraling. De ontvanger is geneigd het bericht te vertrouwen en voelt zich geroepen om erop in te gaan. De e-mail bevat een call-to-action en vaak wordt een beroep gedaan op urgentie.
Hoewel een kwaadwillende phishingmails vaak in bulk verstuurt, worden slachtoffers soms ook met grote zorgvuldigheid gekozen en met een doelgerichte phishingmail tot handelen verleidt. Deze vorm heet spearphishing.
Hoe werkt phishing?
Een geslaagde phishingaanval kan grote gevolgen hebben. Niet alleen omdat de kwaadwillende onbedoeld toegang heeft gekregen tot een individuele bankrekening of creditcard. Binnen organisaties kan phishing tot een sneeuwbaleffect leiden met toegang tot kritische systemen of zelfs toegang tot de gehele IT-infrastructuur van de organisatie met alle gevolgen van dien.
Vaak is phishing de eerste stap in een keten van stappen om een (gerichte) aanval op een individu of organisatie uit te voeren. Het slachtoffer wordt eerst verleid om op een link te klikken, gegevens achter te laten of een bestand te openen met toegang voor de aanvaller tot gevolg.
Na phishing volgt vaak
- het verkennen van het netwerk
- het verkrijgen van toegang tot systemen
- het verkrijgen van privileges / rechten
- het verzamelen van gegevens
- en uiteindelijk het exfiltreren van deze gegevens naar de aanvaller.
Medewerkers tot terughoudendheid manen in klikgedrag is daarom in het belang van de gehele organisatie, maar dat is niet het enige wat je als organisatie kunt doen.
Kwaadwillenden maken veelvuldig gebruik van de actualiteit om het slachtoffer te verleiden om het aanvalspad te volgen. Er zijn vele voorbeelden waarbij het slachtoffer verleid wordt om op een link te klikken om “een prijs te winnen”, “een boete te voorkomen” of in aanmerking te komen voor “een mooie kans”. Ook evenementen in de fysieke wereld worden aangegrepen om slachtoffers te verleiden mee te werken met de phishingaanval. Zo werd ook de NAVO-bijeenkomst in 2023 in Vilnius gebruikt.
In het verleden werd er in bewustwordingscampagnes en trainingen vaak aandacht geschonken aan het herkennen van phishingmails. Het herkennen ervan is echter veel lastiger geworden. Door large language models (Chatgpt bijvoorbeeld) in te zetten voor zo’n e-mail zijn spelling- of grammaticafouten zeldzamer geworden.
De inhoud daarentegen geeft je vaak wel handvatten om de kwaadwillende bedoeling achter de e-mail te vermoeden, zoals een call-to-action en het beroep dat wordt gedaan op urgentie.
‘zie de vraag om snel te reageren of acteren als een rode vlag bij het lezen van e-mails.’
Meestal moet je snel reageren, vaak binnen enkele dagen, anders wachten je consequenties zoals het blokkeren van een rekening of creditcard. Door je op die manier bang te maken hopen de oplichters dat je snel klikt op de linkjes, de bijlage downloadt of op andere wijze de aanval doet slagen. Wees hier bewust van en zie de vraag om snel te reageren of acteren als een rode vlag bij het lezen van e-mails.
Triggering event (juli 2023)
Europese en Noord-Amerikaanse defensie- en overheidsinstellingen waren de afgelopen dagen het doelwit van een phishingaanval door Russische cybercriminelen. Dat meldt Microsoft.
De aanval maakt misbruik van een tot dusver onbekende kwetsbaarheid waarbij criminelen kwaadaardige code via Word-documenten kunnen injecteren. Gemanipuleerde documenten hadden betrekking op de Oekraïne-top tijdens de Navo-bijeenkomst in Vilnius.’
Wat kun je doen?
Phishing is een van de meest voorkomende aanvalstechnieken die kwaadwillenden gebruiken om toegang te verkrijgen tot systemen of gegevens. Het is vrijwel onmogelijk om te voorkomen dat organisaties phishingmails ontvangen. Het is wel mogelijk om zo goed mogelijk om te gaan met phishing nadat de organisatie phishingmails heeft ontvangen. Deze maatregelen zijn zowel technisch als menselijk van aard:
- Pas technische standaarden voor e-mailauthenticatie toe zoals SPF, DKIM, DMARC.
- Verbeter de herkenbaarheid van je eigen communicatie met BIMI.
- Beperk het aantal domeinen waarmee de eigen organisatie e-mail verzendt.
- Stimuleer veilig gedrag van medewerkers.
- Wijs hen in dat kader ook op terughoudend zijn met persoonlijke informatie op sociale media en openbare platformen.
- Faciliteer een goede meldstructuur en – cultuur voor medewerkers die een verdachte e-mail ontvangen hebben.
- Wees je bewust van rode vlaggen zoals het verzoek snel te reageren of te acteren.
Advies
Het NCSC raadt organisaties en medewerkers van organisaties aan om terughoudend te zijn in het delen van persoonlijke informatie op sociale media en publieke platformen. Wie bijvoorbeeld een voor de aanvaller interessante positie bij een financiële instelling heeft, kan onbedoeld doelwit worden, omdat persoonlijke informatie op hun zakelijke profiel (LinkedIn) is geplaatst.
Phishingcampagnes van kwaadwillenden maken vaak gebruik van bekende maildomeinen, waardoor het lastiger is een e-mail als phishingmail te herkennen. Op openbare platformen en sociale media laten mensen vaak gegevens achter, die hen tot doelwit kunnen maken. Kwaadwillenden gaan op zoek naar een e-mailadres via een naam en andere persoonlijke gegevens.
Het NCSC adviseert daarnaast om iedere domeinnaam van je organisatie te beschermen door e-mailauthenticatie met behulp van SPF(Sender Policy Framework), DKIM(Domain Keys Identified Mail) en DMARC(Domain-based Message Authentication, Reporting and Conformance). Voor overheden geldt een verplichte toepassing van SPF, DKIM en DMARC omdat deze zijn opgenomen in de ‘pas toe of leg uit’-lijst.
Voor alle overige organisaties geldt een dringend advies deze standaarden te implementeren. Daarnaast is het ook aan te raden om de communicatie van de eigen organisatie beter herkenbaar te maken als authentiek en legitiem. Brand Indictors of Message Identification (BIMI) kan daarbij toegepast worden.
Houd er rekening mee dat het niet mogelijk is om volledig te voorkomen dat phishingmails de klanten bereiken. Zorg er daarom voor dat je jouw klanten en partners goed uitlegt hoe je met hen communiceert en wat zij kunnen doen als zij toch phishingmail uit naam van jouw organisatie ontvangen. Een good practice is om het aantal domeinen waar de organisatie e-mail mee verzendt zo beperkt als mogelijk te houden.
Moedig daarnaast aan dat phishingincidenten die vanaf je domeinnamen komen, worden gemeld en zorg ervoor dat slachtoffers dit eenvoudig kunnen doen. Het snel acteren op een phishingaanval of een poging daartoe is immers van groot belang om verdere schade te voorkomen.
Draag bij aan een laagdrempelige meldcultuur door ervoor te zorgen dat medewerkers in jouw organisatie terecht kunnen om verdachte e-mail te laten controleren. Vraag ook commitment van de bestuurders om melden actief uit te dragen. Interne communicatie hierover draagt bij aan bewustwording van mensen om zichzelf tegen phishingmails te beschermen.
Voor digitaal veilig gedrag in jouw organisatie is meestal meer nodig dan een bewustwordingscampagne. Het NCSC heeft hierover een artikel geschreven met een zestal leidende principes of uitgangspunten waarmee je een programma op maat kunt bouwen voor veilig gedrag in jouw organisatie.