Phishing via WhatsApp, oftewel het versturen van berichtjes om geld of informatie buit te maken, is een hot topic. Uit dit artikel blijkt dat er in een half jaar tijd al dubbel zoveel meldingen zijn als in heel 2019. Vooral de afgelopen weken gaat het hard. Deze manier van phishing richt zich vooral op het individu. Het zakelijke equivalent neemt verschillende vormen aan. Van spear phishing waarbij jouw organisatie het beoogde target is, tot lazy phishing: pakken wat ze pakken kunnen. In dit artikel schenk ik aandacht aan de lazy phishing-methode en hoe je kunt voorkomen dat jouw organisatie ten prooi valt aan dit type aanval.
Lazy phishing is als vissen met dynamiet, oftewel schieten met hagel. Deze vorm van phishing maakt gebruik van applicaties waar medewerkers dagelijks mee te maken hebben. Momenteel gebruiken veel organisaties Microsoft 365. Voor phishers op dit moment dan ook de meest populaire applicatie om gegevens buit te maken. Zo weten kwaadwillenden dat Microsoft regelmatig vraagt opnieuw je gegevens in te voeren. Zij sturen daarom vergelijkbare e-mails waarmee je zelfs uitkomt op een ogenschijnlijk authentieke Microsoft-inlogpagina. De meeste van deze aanvallen gooien geen hoge ogen. Het zijn erg luie aanvallen vanuit vreemde e-mailadressen waarbij bij de meeste gebruikers de alarmbellen direct gaan rinkelen. Maar ze bestaan ook in geavanceerdere vorm, waarbij de e-mail, de afzender en pagina er heel betrouwbaar uit zien. Linksom of rechtsom; deze manier van aanvallen levert kwaadwillenden nog altijd veel geld en informatie op. Maar hoe herken je het? En vooral hoe voorkom je dat je slachtoffer wordt? De volgende drie tips gaan je helpen:
1. Trainen van awareness
Veel werknemers denken dat ze in staat zijn om een phishing e-mail te herkennen en ook niet vallen voor een foutieve pagina van Microsoft. Zo eenvoudig is het helaas niet. Gelukkig bieden de meeste organisaties hun medewerkers al een training aan om ze zo goed mogelijk voor te bereiden. In 2017 zorgde een dergelijke test van ABN Amro nog voor veel aandacht, omdat veel medewerkers zich verheugd hadden op het in de phishing e-mail beloofde kerstcadeau. Veel medewerkers trapten in deze test. Kwaadwillenden gebruiken deze technieken ook en weten goed in te spelen op onoplettendheid en nieuwsgierigheid. Belangrijk is om goed naar de afzender van de e-mail en naar de URL te kijken. Laat daarnaast medewerkers oefenen met simulaties.
2. Gebruik een company page
Controleer je zelf eigenlijk wel eens de URL van een pagina? De kans dat medewerkers dit continu doen, is ook niet zo groot. Je kunt het risico dat kwaadwillenden inloggegevens buitmaken, beperken door gebruik te maken van een company branded page. Je zorgt er dus voor dat als er om inloggegevens gevraagd wordt, dit altijd op een pagina met jullie eigen logo en een eigen afbeelding gebeurt. Heel herkenbaar voor medewerkers en moeilijk te kopiëren voor een kwaadwillende. De lazy phisher is dan gezien, de poging tot gegevensdiefstal wordt veel sneller doorzien.
3. Weg met de wachtwoorden
De ultieme manier om van de lazy phisher af te komen is door gebruik te maken van een oplossing zonder wachtwoorden. Je leest het goed, weg met de wachtwoorden en toch veilig zijn! Je tackelt dan niet alleen de lazy phishing-uitdaging, maar ook die van wachtwoordmoeheid. Weg met de geeltjes op computers en het risico van medewerkers die (makkelijke) wachtwoorden (her)gebruiken. Bij wachtwoordvrije authenticatie wordt de identiteit van gebruikers gevalideerd met methoden die een stuk betrouwbaarder zijn. Denk aan one time password (OTP), hardware tokens en/of biometrische gegevens. Door het combineren van deze methoden kan het niveau van beveiliging nog verder opgeschroefd worden.
Met deze drie tips maak jij phishing met dynamiet voor jouw organisatie onschadelijk.
Door: Guido Gerrits
Regional Sales Director Identity & Access Management Benelux en Nordics bij Thales
