Naar aanleiding van nieuwsberichten dat phishing een steeds groter probleem wordt in de samenleving sprak V-ICT-OR met G DATA’s Eddy Willems. Al dertig jaar is Eddy bezig met cyber security. Hij is een auteur, analyst, veelgevraagd spreker en er is zelfs een internetwet naar hem genoemd, enfin, als iemand ons wegwijs kan maken in deze problematiek dan wel Eddy Willems.
V-ICT-OR: Is dit echt een groeiend probleem?
E.W: Internetcriminaliteit is bijna even oud als het internet zelf. Wat we wel zien is dat de criminele organisaties achter phishing veel professioneler geworden zijn dan een aantal jaar geleden. Tot een aantal jaar geleden waren de meeste phishingmails opgesteld in gebrekkig Nederlands. Dat is nu niet meer het geval. Heel veel phishingbendes zijn goed georganiseerd en werken met gespecialiseerde mensen. Iemand die websites maakt, iemand die programmeert, iemand die copy schrijft. De bendes zijn een stuk professioneler geworden.
V-ICT-OR: Hoe succesvol zijn phishing aanvallen eigenlijk?
E.W: In het algemeen wordt er vanuit gegaan dat phishing aanvallen in 20% van de gevallen succesvol zijn. Dat is een zeer hoog cijfer.
V-ICT-OR: Is dit een probleem voor de consument of ook voor organisaties en bedrijven?
E.W: Voor beiden. Het probleem voor de consument is uiteraard bekend en werd ook uitgelicht in de recente Pano reportage. Wat minder aan bod kwam is hoe dit ook een ernstig probleem is voor organisaties. De meeste diefstal van data of ransomware aanvallen kennen hun oorsprong in een link die geopend wordt of een bijlage die geopend wordt door iemand die onoplettend is.
Technisch kunnen organisaties heel veel doen om hun data en systemen te beschermen. Maar dat is niet voldoende, organisaties moeten hun mensen opleiden om op hun hoede te zijn. Internetfraude met een computer is altijd gekoppeld aan de mens. Het ene bestaat niet zonder het andere. Op dat vlak heerst er nog altijd veel naïviteit. Werkgevers dwalen als ze zeggen dat het hen niet zal overkomen. Zelfs de grootste IT-experten lopen in de val. We moeten dus inzetten op het herkennen van phishingmails. Organisaties doen er daarom verstandig aan om hun medewerkers te trainen op hun cyberbewustzijn. Op deze manier zetten ze in op het herkennen van phishingmails.
V-ICT-OR: Heb je daar tips voor?
E.W: Een aantal:
- Krijg je een email die je niet verwacht of vanuit een organisatie waarvan je geen e-mails verwacht, wees dan op je hoede. Vaak zijn deze e-mails nogal dwingend. Men vraagt je om nu iets te doen en snel. Het kan nooit kwaad om de email open te doen. Pas wel op met het openen van links en bijlages. Daar kunnen risico’s aan verbonden zijn.
- Vaak doen criminele organisaties zich voor als een bank of een organisatie waarmee je gelinkt bent. Bekijk de emailadressen waarmee je gecontacteerd wordt goed. Kloppen die emailadressen wel? Bekijk ook de links, waarnaar leiden die. Is dat wel de url van je bank?
- In phishingmails zal men je vragen naar informatie waar bv. je bank al over beschikt en waar ze nooit naar gaan vragen. Ik denk bv. aan log-in gegevens. Je bank heeft die data van jou en zal die nooit aan je vragen.
- Geef nooit je pincode en multi-factor geauthentiseerde codes (via een apart toestelletje) door via de telefoon. Dus als je opgebeld wordt door iemand die zich voordoet als je bank en die vraagt je om je bankkaart in je kaartlezer te steken en een aantal acties te ondernemen, dan weet je zeker dat er iets fout is.
V-ICT-OR: Wat kan je doen wanneer je een phishing e-mail krijgt?
E.W: Je kan de email melden bij de organisatie waarvan die email zou komen. Stuur hem door naar bv. je bank. Je kan hem ook doorsturen naar verdacht@safeonweb.be. Niet te vergeten, verwijder de e-mail nadien.
V-ICT-OR: Wat raad je organisaties aan?
E.W: Zorg voor technische beveiliging, maar vooral, zorg dat je medewerkers zich bewust zijn van het probleem. Train hen in het herkennen van phishingmails en wat ze ermee moeten doen. Dat is de beste manier om je te behoeden voor een ransomwareprobleem of datalek.