1 mei 2020 3 min Auteur: Redactie

Phishing: betekenis, voorbeelden en tips voor het mkb

Wat is de betekenis van phishing en wat kan je hier als mkb-ondernemer tegen doen? Dat zijn vragen die bij veel ondernemers spelen. Ondanks alle waarschuwingen regent het slachtoffers van phishing. Dit artikel vertelt je waar je als ondernemer op bedacht moet zijn.

Voorbeelden van phishing

Het aantal zakelijke slachtoffers groeit

Nog altijd slagen criminelen erin om inloggegevens te bemachtigen en bankrekeningen te plunderen. Menig ondernemers is daar de dupe van geworden. Deze vorm van internetfraude blijft lucratief, zeker als zakelijke bankrekeningen worden geplunderd. Wereldwijd is het percentage zakelijke slachtoffers verdubbeld naar 31 procent, meldt Kaspersky (beveiligingssoftware).



Whitepaper: 'Basisbeveiliging'

Zo beperkt u het risico op cybercriminaliteit. Whitepaper voor ondernemers, directeuren en managers.

Download

Sms-phishing: nieuwe vorm

Recent wisten criminelen via sms-phishing 1 miljoen euro van een man in Noord-Nederland te stelen. Het bericht meldde dat zijn bankpas was verlopen. In goed vertrouwen stuurde hij zijn oude pasje op. Vervolgens vulde het slachtoffer via een phishing-site zijn gegevens in. Onlangs werden ook twee 22-jarige mannen uit Hilversum aangeklaagd voor het stelen van 450.000 euro via phishing.


Phishing: vooral mkb als doelwit

Phishing begint met het lokken van internetgebruikers naar een malafide website. Op het eerste gezicht ziet die er vertrouwd uit. De site lijkt bedrieglijk echt op de originele, onderscheid is er nauwelijks. De argeloze gebruiker wordt gevraagd inlog-, autorisatie- of andere codes in te vullen die hem zijn toegestuurd per sms of die hij zelf heeft aangemaakt. En vervolgens kan de fraudeur de bankrekening plunderen.

Met name mkb-ondernemers worden regelmatig de dupe van phishing. Omdat die vaak grotere bedragen via de zakelijke rekening overmaken valt het minder op als op een dag meerdere transacties worden gedaan. Volgens beveiligingsonderzoeker Rik van Duijn (KPN Security) hebben bedrijven het meeste last van twee soorten phishing. In het eerste geval wordt een werknemer gevraagd een actie uit te voeren die de aanvaller toegang verleent tot het systeem. 


Extra Veilig Internet

Met KPN EEN MKB Internet bent u altijd én overal veilig online dankzij Extra Veilig Internet. Hiermee bent u beschermd tegen malware, ransomware en virussen op onveilige websites. Benieuwd hoe KPN EEN MKB uw bedrijf kan helpen om altijd in business te blijven?

Vraag adviesgesprek aan


CEO-fraude

De tweede, zeker niet minder gevaarlijke vorm is de zogenoemde CEO-fraude, ook wel ‘whaling’ genoemd. Deze begint met een mail of sms’je van een manager of eigenaar aan de financiële afdeling. De crimineel die zich als ‘baas’ voordoet, geeft opdracht een forse betaling uit te voeren, bijvoorbeeld naar een klant die op zijn geld wacht. Pathé Nederland kreeg zogenaamd van het Franse hoofdkantoor bevel 19 miljoen euro over te maken voor een geheime overname. Twee directeuren van de Nederlandse vestigingen trapten erin met enorme schade tot gevolg. Heel sluwe fraudeurs proberen eerst uit te vissen hoe het er in een bedrijf aan toe gaat. Via LinkedIn kunnen ze daar een aardig beeld van krijgen. 

De meeste mensen weten inmiddels wel dat het onverstandig is zomaar op links in e-mails van onbekenden te klikken. Maar cybercriminelen verzinnen telkens weer nieuwe varianten. Momenteel worden veel phishingberichten verstuurd die van de fiscus lijken te komen. De belastingdienst waarschuwde daar onlangs voor. De fiscus vraagt nooit via de mail of sms om betalingen te doen. Het beste is om zulke berichten meteen weg te gooien.


Phishing herkennen

Legio zijn de manieren om mensen naar valse sites te lokken. Behalve e-mail en sms worden hiervoor ook WhatsApp, sociale media, Google Alerts en zelfs WeTransfer ingezet. Het kan niet voldoende worden herhaald dat een bank nooit privégegevens via de mail, WhatsApp of telefoon aanvraagt, laat staan via Facebook of andere sociale media. Bel bij twijfel over de echtheid van een bericht altijd je bank. Pogingen tot fraude beginnen steeds vaker op handelsplatforms zoals Marktplaats of Speurders. Pas ook op voor hyperlinks in mobiele berichten.

Het ‘verhaal’ dat criminelen in hun mails vertellen, varieert ook telkens. Volgens Van Duijn hoef je voor het nabootsen van websites allerminst een genie te zijn. Op zwarte internetmarkten als het Dark Web zijn de inlogpagina’s van banken, ook wel panelen genaamd, gewoon te koop. 

Onlangs deden criminelen zich voor als bankmedewerkers. De slachtoffers werden gewaarschuwd voor verdachte transacties op hun rekening. Gevraagd werd geld over te maken naar een zogenaamd veilige rekening. Een man uit Apeldoorn werd zo voor 28.000 euro opgelicht. De trucjes worden steeds beter. Bovendien is soms geen verschil meer te zien tussen een ‘fake’ site en de echte. De neppagina’s van banken zijn nauwelijks van de originele te onderscheiden. Let dus altijd op vage of onduidelijke e-mailadressen en check bij de vraag om op een link te klikken of de url wel betrouwbaar is en met ‘https’ begint.

Denkt u dat uw bedrijf bestand is tegen internetgevaren?

Doe de test
Chatbot digitale assistent

Phishing voorkomen

Als ondernemer kan je heus wel maatregelen nemen die het risico verkleinen dat je bedrijf slachtoffer wordt van phishing. Het is belangrijk medewerkers bewust te maken van de gevaren. Maar volgens Van Duijn is dat niet voldoende. Want de aanvallers kunnen heel geraffineerd te werk gaan. Hun ‘social engineering’ kan zo knap in elkaar zitten dat werknemers gemakkelijk in de fout gaan. Daarom raadt de beveiligingsexpert van KPN aan om de nodige veiligheidsmaatregelen te nemen. De eerste stap is het instellen van een spamfilter. Wat buiten de deur blijft, is niet schadelijk. Mocht er toch nog malware doorkomen dan kan antivirussoftware bescherming bieden. Van Duijn waarschuwt dat die twee verdedigingslinies wel goed moeten worden geconfigureerd en op elkaar moeten worden afgestemd.

Ook de beveiliging van het netwerk moet in orde zijn. Je moet zicht hebben op wat daar gebeurt. Als een werknemer een keer niet oplet, mag dit niet direct verstrekkende gevolgen hebben voor de hele organisatie. De eerder genoemde CEO-fraude valt ook tegen te gaan. Van Duijn adviseert daar bij de configuratie van de mailserver rekening mee te houden. Als een e-mail van buiten de organisatie komt, kan je in de onderwerpregel automatisch een melding krijgen dat het een extern verzoek betreft. De ontvanger weet dan dat hij met een extern persoon aan het communiceren is.

Nog eenmaals de tips voor het voorkomen van phishing opgesomd:

●        Maakt medewerkers bewust van de gevaren (organiseer bijvoorbeeld een meeting)

●        Check altijd de afzender en/of website URL

●        Verstrek nooit bankgegevens via mail, WhatsApp, telefoon of social media

●        Klik niet zomaar op onbekende links in berichten

●        Installeer goede spamfilters

●        Beveilig je mailservers en laat externe mails automatisch labelen

Wil je meer weten? Lees ons artikel over phishing via WhatsApp en social media.

Extra Veilig Internet van KPN Zakelijk

De dienst Extra Veilig Internet, een nieuw onderdeel van het totaalpakket KPN EEN MKB, geeft extra bescherming tegen onder meer phishing. Ondernemers in het midden- en kleinbedrijf zijn zo verzekerd van meer veiligheid.

Bekijk de mogelijkheden van KPN EEN


Gerelateerde artikelen