Phishing bedreigt ook jouw onderneming

Bedrijven kunnen zelden nog zonder computer technologie. E-mail, CRM of betalingssystemen, online boekhoudprogramma’s etc. Grote kans dat ook jouw bedrijf één of meerdere van deze ICT oplossingen gebruikt. Met vertrouwelijke en privacy gevoelige informatie op lokale servers of in the cloud, ben je automatisch een interessant doelwit van cybercriminelen. “Ik ben toch niet speciaal” of “wat hebben ze bij mij nu te halen…”, zijn veel gehoorde reacties van ondernemers. Veel cybercriminelen richten zich niet specifiek op een onderneming. De door hun gebruikte software stuurt er naar zoveel mogelijk bedrijven een phishing aanval uit in de hoop dat ze simpelweg ergens binnenkomen. Lees verder om in detail te leren hoe phishing een bedreiging vormt voor jouw bedrijf.

Wat is phishing?

Phishing in een vorm van internet criminaliteit waarmee cybercriminelen gegevens proberen te bemachtigen waarmee zij financieel voordeel kunnen behalen. Dit kan zijn doordat zij betalingsgegevens weten te bemachtigen van jouw bedrijf en/of jouw klanten. Of bijvoorbeeld door jouw data en systemen te gijzelen, zodat jouw bedrijfsvoering stil komt te liggen, in ruil voor losgeld. “Ik koop weleens producten online.

“Een van de bedrijven waar ik een keer iets heb gekocht en betaald met mijn creditcard is gehackt of slachtoffer geworden van phishing. Hierdoor hebben de cybercriminelen toegang gekregen tot mijn creditcardgegevens. Gelukkig was mijn bank alert en is er niet heel veel buitgemaakt, maar ze hebben wel diverse online aankopen kunnen doen op mijn kosten” vertelt Shanna Hillebrand, slachtoffer van cybercriminaliteit. Phishing vormt daarmee een bedreiging voor jou én jouw klanten.

Manieren van phishing

Cybercriminelen zijn ontzettend creatief en vinden steeds nieuwe manieren om bij jouw bedrijf binnen te komen. De meest bekende manier zijn de phishing e-mails zogenaamd uit naam van bekende instanties en bedrijven zoals de Kamer van Koophandel, PostNL, banken en bijvoorbeeld streamingdiensten. In deze e-mails wordt vervolgens gevraagd om het verifiëren van gegevens, het betalen een boete of het aanvragen van een nieuwe bankpas. Wanneer je op de button of link klikt in de e-mail is het proces in gang gezet en krijgen de criminelen toegang tot jouw netwerk, account of betalingsgegevens.

Spoofing
Minder bekend is Spoofing. Dit is een vorm van phishing waarbij e-mails vanuit jouw (bedrijfs)naam worden verzonden naar derden om bij hen data te verzamelen. Of binnen jouw eigen organisatie om toegang te krijgen tot jouw netwerk. Hierbij maken zij gebruik van jouw domeinnaam en lijkt de afzender volledig legitiem.

Malware
Bijlages bij e-mails zijn een andere manier om makkelijk en snel toegang te krijgen tot jouw netwerk. Bij het openen van de bijlage wordt er direct malware geïnstalleerd die de toegangsdeur naar jouw netwerk en data wagenwijd openzet.

Preventieve maatregelen

Het is onmogelijk om voor 100% te voorkomen dat jij of een medewerker phishing e-mails ontvangt. Je kunt het cybercriminelen wel moeilijker maken om binnen te komen door preventieve maatregelen te nemen. Het lijkt wellicht onwaarschijnlijk dat je slachtoffer zult worden van cybercriminaliteit, maar de kans dat ook jij en jouw bedrijf getroffen worden door internet criminelen wordt met de dag groter.

Het kan zelfs zo zijn dat je al getroffen bent door een phishing aanval zonder dat je het weet. Enge gedachten niet waar? Gelukkig kun je met speciale software tools achterhalen of er phishing mails zijn geopend binnen jouw organisatie en door wie. Als jouw netwerk nog niet gecompromitteerd is, kun je nog een andere belangrijke preventieve stap nemen om de continuïteit van jouw bedrijf te waarborgen. Er bestaat namelijk software die automatisch een back-up maakt van alle data zodra er malware wordt gedetecteerd. Dit werkt echter alleen wanneer er nog geen malware is geïnstalleerd op jouw netwerk. Het is dus cruciaal dat je deze preventieve maatregelen neemt voordat je het slachtoffer bent geworden van een phishing aanval.

Een volgende belangrijke stap in de preventie tegen phishing zijn kennis en bewustwording. Weten jouw medewerkers waar ze op moeten letten om te kunnen bepalen of een e-mail te vertrouwen is? En hoe ze moeten handelen wanneer ze een phishing e-mail hebben geïdentificeerd of een e-mail niet vertrouwen?

Door het geven van gerichte trainingen aan jouw medewerkers is een grote stap genomen in het voorkomen van de bedreiging en dure gevolgen van phishing e-mails.

Wat weet jij van phishing? Test hier je kennis.

Tweestapsverificatie

Aanvullend op de bewustwording en voorzorgsmaatregelen kun je het internetcriminelen nog lastiger maken om schade aan te kunnen brengen. Dit doe je door tweestapsverificatie in te stellen voor zowel jouw medewerkers als klanten. Wanneer de inloggegevens van systemen worden gestolen, dan zijn deze grotendeels onbruikbaar omdat de tweestapsverificatie niet kan worden toegepast door de hackers. Ze hebben dan onbruikbare informatie gestolen, waardoor verdere (financiële) schade wordt voorkomen.

Incident Response Plan

Zoals eerder gezegd kun je nooit 100% voorkomen dat je slachtoffer wordt van cybercriminaliteit. Daarom raden wij aan om van het ergste uit te gaan en voorbereid te zijn om het moment dat het zover is. Een incident response plan is een document waarin stap voor stap staat omschreven welke handelingen moeten worden uitgevoerd om bedreigingen te detecteren. Hoe er vervolgens gehandeld moet worden en wat er gedaan kan worden om de schade verder te beperken en te herstellen (indien mogelijk). Een belangrijk protocol om direct adequaat te kunnen handelen, zodra het nodig is.

Redden wat er te redden valt

Wanneer je slachtoffer bent van internetcriminaliteit kom je hier pas achter wanneer het te laat is. Vaak omdat er geld afhandig is gemaakt van jouw bedrijf of omdat systemen zijn gegijzeld. Ook kan het zijn dat een bank contact met je opneemt omdat jij als bron bent geïdentificeerd in een bankfraude onderzoek.

Het eerste wat je dan te doen staat is het activeren van het incident response plan. In dit plan is onder andere opgenomen welke expert ingeschakeld moet worden om te achterhalen hoe de criminelen zijn binnengekomen, waar ze hebben rondgeneusd en welke data is buitgemaakt. Wanneer blijkt dat er gegevens zijn gestolen van klanten of werknemers dan volgt een aangifte bij AVG in verband met de privacy schending die heeft plaatsgevonden.

Naast de imago schade die jij als bedrijf oploopt en de schade die jouw klanten of werknemers ondervonden hebben door de lek, ondervind je ook financieel grote gevolgen van de aanval. Is er tijdens de aanval zelf niet al geld weggesluisd, dan kost het opsporen en herstellen van de schade je al snel duizenden euros.

Techtitan

Wil jij weten hoe jouw netwerk erbij staat? En welke preventieve maatregelen jij nog moet nemen of de kans op en schade door een phishing aanval te reduceren? Laat dan een gedetailleerde netwerkscan uitvoeren door een van onze netwerk- en cybersecurity experts. Je ontvangt dan een rapport met advies hoe jij jouw netwerk en daarmee jouw medewerkers, klanten en de continuïteit van jouw bedrijf beter kunt beschermen.

Wacht niet tot het te laat is en plan vandaag nog een scan afspraak in.