Een psychologisch spel
Phishing is een bekende manier om informatie te ontfutselen van een onwetend slachtoffer. Door middel van deceptie wordt het slachtoffer ertoe bewogen informatie zoals inloggegevens in te vullen op een website die wordt beheerd door de aanvaller. De gegevens kunnen worden gebruikt om in te loggen op het account van het slachtoffer om vervolgens toegang te krijgen tot computersystemen, bestanden of accounts van andere gebruikers.
Methode
Tegenwoordig staat er van bijna iedereen wel publiekelijk beschikbare informatie op het internet, bijvoorbeeld je huidige werkgever op je LinkedIn profiel. Criminelen kunnen dit soort informatie gebruiken als input voor phishing mails. Bovendien kan deze informatie gebruikt worden om nieuwe medewerkers te identificeren door de lijst van medewerkers van een bedrijf in de gaten te houden. Het mailadres van een nieuwe medewerker achterhalen is niet moeilijk: de structuur (bijvoorbeeld voorletter.achternaam@domein.com) van emailadressen kan vaak achterhaald worden via de website van een bedrijf, bijvoorbeeld op de 'contact' pagina of bij blogposts.
Juist bij nieuwe medewerkers heeft het versturen van een phishing mail een grote kans van slagen. Het is logisch dat je als nieuwe medewerker voor het eerst moet inloggen bij allerlei services en je kent nog niet alle namen en functies van collega's. Dit maakt het makkelijker voor aanvallers om een mail op te stellen die legitiem lijkt. Door via openbare informatie en 'educated guessing' informatie te correleren, wordt een mail opgesteld die voor nieuwe medewerkers moeilijk te onderscheiden is van legitiem. Dat de contactpersoon uit de mail op een hele andere afdeling van het bedrijf werkt zal nieuwe medewerkers bijvoorbeeld snel ontgaan.
Maatregelen
Er bestaan verschillende maatregelen die het uitvoeren van phishing moeilijker maken:
- Specifiek voor nieuwe medewerkers is het belangrijk om cyber security awareness onderdeel te maken van de onboarding. Behandel daarbij vragen als: Hoe wordt er gecommuniceerd binnen het bedrijf? Met wie kan je contact opnemen wanneer je niet zeker bent of een bepaalde mail een phishing mail is? Wat moet je doen als je denkt dat je je gegevens in hebt gevuld op een site die niet te vertrouwen is? Wat zijn de maatregelen die het bedrijf in het leven heeft geroepen om cyber security incidenten tegen te gaan?
- Verder is het belangrijk om Multi-Factor Authenticatie (MFA) in te stellen voor alle gebruikers. Dit zorgt ervoor dat je naast een wachtwoord bijvoorbeeld ook een code van je telefoon nodig hebt om in te loggen. Dit maakt het voor kwaadwillenden veel lastiger om een account te hacken, omdat er naast het wachtwoord steeds een tweede stap vereist is.
- Maak gebruik van een password manager. Hierdoor is een extra stap vereist voor het invullen van inloggegevens op een malafide website, terwijl dit niet nodig is op de legitieme website.
- Technisch: toon gebruikers een waarschuwing bij elke mail die van buiten de organisatie is gestuurd. Voor Microsoft 365 gebruikers kan dit worden ingesteld via Microsoft Exchange. Combineer dit met een DMARC policy die ervoor zorgt dat kwaadwillenden niet uit naam van het bedrijf kunnen mailen.
Conclusie
Wees je bewust van wat voor informatie online te vinden is over personen, en waarvoor kwaadwillenden dit kunnen gebruiken. Zorg dat cyber security awareness onderdeel is van de onboarding van nieuwe werknemers en verzorg regelmatig trainingen en anti-phishing campagnes. Heb je vragen over dit onderwerp? Of assistentie nodig bij het op orde krijgen van de cyber security cultuur binnen jouw bedrijf? Mail ons dan gerust op info@eye.security.