beschermen tegen phishing in vier stappen

Uit de vele onderzoeken blijkt dat het aantal slachtoffers van phishing aan het dalen is. Toch zien we dat het aantal slachtoffers in Nederland nog steeds bij de top staat. Hierdoor zijn de risico’s voor bedrijven nog steeds aanzienlijk. Criminelen hebben immers maar een succes nodig, om voor grote gevolgen te zorgen. Hoe kun je dan de kans zo klein mogelijk maken? We leggen uit hoe je je bedrijf kunt beschermen tegen phishing in vier logische stappen.

  1. Maak het ze moeilijk

De eerste stap is ervoor te zorgen om het voor deze cybercriminelen zo moeilijk mogelijk te maken. Dit kan je al doen door de beschikbare onlineinformatie op je website en sociale media, die beschikbaar zijn voor criminelen, te analyseren. Cybercriminelen kunnen vaak (te) veel informatie van je onlinepresentatie halen. Niet alleen e-mailadressen, maar ook hoe deze adressen zijn opgebouwd.

Implementeert anti-spoofing om misbruik van je e-mailadressen te stoppen. Spoofing is het aannemen van een andere identiteit. Dit kan worden gedaan met een e-mailadres, website of IP-adres. Met e-mail spoofing lijkt het dat mail afkomstig is van een bepaalde afzender. Dit vervalsen van een e-mailadres is mogelijk doordat het e-mailprotocol niet standaard controleert of degene die de e-mail verzendt, dat wel namens dit domein mag doen. Om toch een controle in te bouwen, kunt u SPF-records gebruiken. Sender Policy Framework (afgekort SPF) is een protocol dat als doel heeft spam helpen te verminderen. Spam wordt verminderd door vast te stellen of de verzender van een mailbericht gerechtigd is om een bericht te verzenden namens de afzender/domein van het bericht.

Hiernaast kun je nog een paar protocollen te implementeren zoals DNSSEC, DKIM en DMARC. DNSSEC is een uitbreiding voor het DNS-protocol en staat voor ‘DNS Security Extensions’. Deze uitbreiding op het DNS-protocol maakt het gebruik van domeinnamen veiliger. DomainKeys Identified Mail (DKIM) is een techniek waarbij een organisatie verantwoordelijkheid kan nemen voor een bericht dat per e-mail wordt verzonden. DKIM zelf is geen technologie tegen spam, maar biedt een basis voor authenticatie, waarmee bijvoorbeeld reputatie services opgezet kunnen worden. Ten slotte kun je met DMARC aangeven aan de ontvangende mailbox provider aan dat je SPF en/of DKIM gebruikt. Maar wat DMARC krachtig maakt, is het feit dat het aangeeft wat de ontvanger moet doen met e-mail die niet door de SPF of DKIM-test komt.

Spamfilters of e-mail gateways kunnen vervolgens helpen om phishing e-mails te filteren en te blokkeren. Een spamfilter is software dat spam en computervirussen probeert te herkennen en te verwijderen uit e-mails. Normaal gezien leest een spamfilter de e-mail in, besluit het of er sprake van spam is en onderneemt het op basis daarvan eventueel actie. Het kiezen van de juiste e-mailprovider kan ook uitkomst bieden. Office 365 en Google G suite hebben zeer veel maatregelen ingebouwd die je wijzen op mogelijke phishing. Bijvoorbeeld met het bericht: “Let op, je hebt nog niet eerder met dit email adres gecommuniceerd.”

  1. Zorg dat medewerkers phishing kunnen identificeren

Na alle genomen maatregelen kan het toch nog mogelijk zijn dat er een phishingmail doorheen komt. De tweede stap moet ervoor zorgen dat medewerkers phishing kunnen identificeren en rapporteren. Dit lijkt eenvoudig, maar dat is het niet. Criminelen gebruiken steeds nieuwere technieken waar medewerkers op getraind moeten worden. Daarnaast is het nodig om regelmatig te oefenen om nepmailtjes te kunnen onderscheiden van echte. Een phishing training bestaat doorgaans uit twee delen. Het ene deel is de bekende phishing simulatie. Op regelmatige basis worden nepmailtjes verstuurd naar de medewerkers. Waarna gemeten wordt hoeveel medewerkers in de nepmail trappen en hoeveel er melding van maken. Het tweede deel van de training is om medewerkers te trainen de phishing mailtjes te herkennen.

Nu de medewerkers doorlopend getraind zijn in het herkennen van een phishing e-mail, dien je ervoor te zorgen dat medewerkers gemakkelijk hulp kunnen vragen en kunnen rapporteren. Dit kun je doen door een procedure te publiceren op het intranet. Hierin leg je uit wat medewerkers moeten doen als ze vermoeden een phishingmail te hebben gekregen. Een mooi hulpmiddel is om een extra knop te installeren in het e-mailprogramma. Als medewerkers dan een phishing mail krijgen, dan drukken ze op die knop en dan wordt er direct een melding gedaan bij de security afdeling. Zij hebben dan de mogelijkheid om dit te onderzoeken. Als het inderdaad een phishingmail blijkt, dan kunnen ze de spamfilters aanpassen, zodat deze steeds beter in staat is phishing mails tegen te houden.

Binnen ieder bedrijf zijn er processen die gevoelig zijn om frauduleuze aanvragen te doen. Analyseer deze en bedenk welke maatregelen je kunt nemen om het risico te verkleinen. Dit kan een hoop vervelende vervolgen voorkomen.

  1. Verklein de effecten van een phishing e-mail

Stel dat na alle maatregelen er toch nog een phishingmail doorheen komt en dat deze succesvol is, omdat een medewerker toch op de bijlage of link heeft geklikt. De derde stap is dan ook ervoor zorgen dat de impact van de phishingmail minimaal is. Phishing aanvallen hebben in de basis maar een paar doelen. Ze willen dat je een malafide software downloadt en installeert of ze willen accountgegevens van je ontfutselen. Met anti malware programma’s kun je de apparaten beschermen tegen malafide software ook wel malware genoemd. Antimalware is een brede term die verwijst naar de programma’s gebruikt om virussen, spyware, Trojaanse paarden en andere bedreigingen van de computers te verwijderen.

Soms zit deze malware in de bijlage van een e-mail, soms vraagt de phishing mail je deze te downloaden van een website. Om ervoor te zorgen dat medewerkers niet op criminele websites kunnen komen, moet je er ten eerste voor zorgen dat de internetbrowser voorzien is van de laatste updates. Veel criminelen maken gebruik van programmeerfouten in browsers om hun software op je telefoon, tablet of computer te krijgen. Ten tweede kan je er nog voor zorgen dat medewerkers geen toegang hebben tot malafide websites. Dit kan bereikt worden door een proxy of secure web gateway te installeren.

Een maatregel die zeer effectief is, is het implementeren van twee-staps-verificatie. Naast een wachtwoord en gebruikersnaam heb je ook een code nodig. Iedereen kent het wel, wanneer je via je bankrekening een overboeking wilt doen, moet je ook een code invullen. Dit is een twee-staps-verificatie, ook wel multi factor verificatie genoemd. Dit heeft als resultaat dat, wanneer een gebruikersnaam en wachtwoord in de verkeerde handen valt, deze waardeloos is. Een andere maatregel is om overal een ander (sterk) wachtwoord te gebruiken. Sterke wachtwoorden zijn wachtwoorden die moeilijk te kraken zijn. Natuurlijk is het onmogelijk om meerdere wachtwoorden te onthouden. Ook is het best lastig om steeds weer unieke en sterke wachtwoorden te bedenken. Hiervoor zijn programma’s, zogenaamde wachtwoord managers of digitale kluizen beschikbaar. Hier kun je wachtwoorden en pincodes in opslaan en maken, zo hoef je ze niet te onthouden.

  1. Snel reageren bij incidenten

Wanneer alle voorgaande maatregelen gefaald hebben, zorg er dan voor dat je zo snel mogelijk actie kan nemen om toch de schade te beperken. De vierde en laatste stap is dan ook om ervoor te zorgen dat je snel kunt reageren. De meeste bedrijven hebben een calamiteitenplan en continu├»teitsplan. Hier staan scenario’s in die zich zouden kunnen voordoen. Bijvoorbeeld een DDOS- en phishing aanval zouden ook scenario’s hierin kunnen zijn. Net als bij een calamiteitenplan moet je deze scenario’s oefenen, zodat je weet wat je moet doen als je echt in actie moet komen.

Voordat je in actie kunt komen zal je eerst de calamiteit op tijd moeten kunnen ontdekken. Je kunt hiervoor natuurlijk allerlei middelen voor inzetten en een security operations center inrichten. Het meest voor de hand liggend is om de medewerkers te motiveren snel incidenten te melden. Ook dit lijkt gemakkelijk, maar er is vaak een soort schaamte om te melden dat je op een phishing e-mail geklikt hebt of malware hebt gedownload. Zorg ervoor dat er een cultuur is waar medewerkers zich veilig voelen om incidenten te melden.

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *