Je kent ze wel, e-mailberichten met de mededeling: ‘Je hebt een iPhone gewonnen!’ of ‘Klik hier en win €500.000!’ Daar trappen we natuurlijk niet in. Het wordt al iets lastiger als je een e-mailbericht krijgt van je bank omdat er een groot geldbedrag is afgeschreven en of je dat even wilt checken. ‘Klik hier en log in om je gegevens te controleren’. Maar ook zo’n bericht hoort in de digitale prullenbak. Helaas worden we er bijna allemaal vrijwel dagelijks mee geconfronteerd. Maar hoe kun jij ervoor zorgen dat je legitieme e-mailberichten kunt onderscheiden van phishing?

Waar komt e-mail eigenlijk vandaan?

Eerst even een lesje geschiedenis; waar komt e-mail eigenlijk vandaan? We leven tegenwoordig in een digitale wereld, waar de ene digitale innovatie nog niet door het adoptieproces heen is of de volgende innovatie ligt al klaar om te implementeren. Toch is elk e-mailbericht dat verzonden wordt ouderwets. E-mail stamt namelijk uit de jaren ’60. Het eerste e-mailbericht werd in 1971, door Ray Tomlinson, verzonden over het internet dat toen nog ARPANET heette. Opmerkelijk detail: een e-mailbericht kon oorspronkelijk alleen op dezelfde computer van de ene naar de andere gebruiker worden verzonden. Daarna werd het mogelijk om berichten van de ene naar de andere computer in een netwerk te versturen.

Apenstaartje

Ray, die in 2016 op 74-jarige leeftijd overleed, was ook de ‘bedenker’ van het apenstaartje (‘@’). Hij had een symbool nodig om de naam van de persoon in mailadressen te scheiden van de naam van de computer waarop ze waren aangesloten. Na een blik op zijn toetsenbord koos hij voor het (toen nog) weinig gebruikte @-teken. E-mail is overigens niet gekoppeld aan een specifieke naam van een ontwikkelaar, maar is een innovatie die in 1962 is gestart met AUTODIN. In de kern ging e-mail alleen over digitale communicatie, waarbij nooit echt rekening werd gehouden met de veiligheid of privacy. Destijds waren dat nog vrij onbekende begrippen. Hoe anders is dat nu…

Phishing-mail in cijfers

Phishing is momenteel één van de grootste problemen op het internet. Waar het eerst een probleem voor consumenten betrof, hebben frauduleuze e-mailberichten al enige tijd ook hun weg naar zakelijke domeinen gevonden.
– In 2019 is phishing met 65% toegenomen;
– 90% van de e-mailadressen die door phishing worden belaagd is afkomstig uit datalekken;
– 76% van de bedrijven is slachtoffer van phishingaanvallen;
– 30% van de phishingmails wordt door de ontvanger geopend;
– 15% van de mensen die succesvol met een phishingmail zijn aangevallen, wordt binnen 12 maanden opnieuw slachtoffer van phishing;
– Er zijn ongeveer 1,5 miljoen nieuwe phishing websites, waar geprobeerd wordt om accountwachtwoorden of andere vertrouwelijke informatie te stelen door de bezoeker te laten geloven dat die zich op een legitieme website bevindt.

Anatomie van phishing

Ons Security Advisory Center krijgt dagelijks te maken met phishing. De vraag ‘Is dit e-mailbericht legitiem?’ wordt elke dag wel door medewerkers van onze klanten gesteld. Maar je kunt ook heel goed zelf bepalen of een e-mailbericht legitiem is of niet. Daarvoor moeten we de ‘anatomie’ van een phishing e-mailbericht nauwkeurig tegen het licht houden.

 

Een phishingbericht kan in veel gevallen worden ontmaskerd door goed te lezen. Bij elk e-mailbericht dat je krijgt, moet je dus alert zijn. ‘Wie slaapt, vangt geen vis’, maar als je niet wakker bent bij het scrollen door je e-mailberichten, loop je de kans dat je zelf aan de haak wordt geslagen. Om jou te helpen, heb ik hieronder voor jou op een rijtje gezet hoe je een phishingbericht in 6 stappen kunt herkennen.

 

1. Controleer het e-mailadres van de afzender
Als het lijkt alsof het e-mailbericht afkomstig is van PayPal, maar het afzendadres is paypal@gmail.com; is het e-mailbericht dan wel legitiem? Waarom zou een bekend bedrijf als PayPal e-mailberichten versturen via Gmail in plaats van het eigen domein? Dat is om te beginnen al verdacht.

 

2. Controleer de aanhef
Als een e-mailbericht een algemene aanhef heeft, zoals: ‘Beste,’ of ‘Beste meneer/mevrouw’, wees dan waakzaam. Bedrijven waarmee je een relatie hebt, zullen jou niet op die manier aanspreken. Zij hebben jouw persoonlijke gegevens, weten wie je bent, kennen jouw voornaam en weten of je een meneer of een mevrouw bent. Een onpersoonlijke aanhef is dus ook een reden om het bericht niet zomaar te openen.

3. Controleer het taalgebruik
Hoe is het gesteld met het taalgebruik van het e-mailbericht? Uitgaande zakelijke e-mailberichten worden vrijwel altijd op correct taalgebruik gecheckt door communicatieafdelingen die de grammaticale- en spellingsregels van de Nederlandse taal beheersen. Als het e-mailbericht vol zit met taalfouten, vreemde zinsconstructies, rare interpuncties of niet consequent hoofdlettergebruik, zijn dat signalen dat je te maken kunt hebben met een phishingbericht.

4. Verzoek om geld of persoonlijke informatie
Als in een e-mailbericht wordt gevraagd om geld of het invullen van persoonlijke gegevens, moeten alle alarmbellen afgaan. Een bedrijf waar je klant van bent, heeft jouw gegevens al en zal dat nooit per e-mail aan je vragen. E-mailberichten met valse facturen of van de CEO van jouw bedrijf met het verzoek om een betaling met veel nullen te doen, zijn trouwens erg populair. Krijg je per e-mail een betalingsverzoek van jouw CEO of een andere bekende? Altijd telefonisch verifiëren of het klopt.

5. Spoort het e-mailbericht aan tot directe actie?
Komt een e-mailbericht dreigend over en word je zo goed als gedwongen om direct actie te ondernemen? Blijf vooral rustig en doe er niets mee. Bij alarmerende teksten als ‘Activeer uw account nu, anders verwijderen wij uw account’ gaat het in vrijwel alle gevallen over een phishingmail. Als je er echt mee in je maag zit, neem je telefonisch contact op met de organisatie waarvan het bericht ogenschijnlijk afkomstig is. Maar 99 van de 100 keer weten ze echt niet waar je het over hebt. Klik hoe dan ook niet op de eventuele link in het bericht.

 

6. Controleer sowieso altijd de linkjes
In veel gevallen is het doel van een phishingmail dat je op een link klikt. Alleen wordt daardoor bijna altijd een kwaadaardig programma op jouw device gedownload en geïnstalleerd. Klik daarom nooit op linkjes in een e-mailbericht dat je niet 100% vertrouwt en controleer een link voordat je erop klikt. Dat doe je door de muisaanwijzer op de link te plaatsen (en dan dus niet door te klikken). Wanneer je dat doet, wordt de URL zichtbaar. Daaruit kun je afleiden of de link thuishoort bij de organisatie waarvan je in eerste instantie denkt dat die het bericht heeft verstuurd.

Ik heb een phishing mail ontvangen, wat nu?

Niet meteen in de stress schieten, rustig blijven ademhalen, je bent er nog. Niets aan de hand, alles werkt gewoon. Volg ons 6-stappenplan en als het e-mailbericht een bijlage bevat, open die bijlage dan absoluut niet. En ik zeg het nog maar eens: klik nooit zomaar op linkjes! Verwijder het e-mailbericht direct uit je mailbox en maak dan ook meteen de map ‘Verwijderde items’ leeg. Dat doe je eenvoudig door die map met je rechtermuisknop aan te klikken en met je linkermuisknop te kiezen voor ‘Map leegmaken’. En wil je in een goed blaadje komen bij de IT-afdeling? Dan maak je eerst een screenshot van het phishingbericht dat je naar de IT-afdeling doormailt voordat je het bericht verwijdert. Succes ermee!

Download het redpaper Veilig Thuiswerken

Veilig thuiswerken is onlosmakelijk verbonden met veiligheidsbewustzijn, zowel van directie en management als van thuiswerkers. De ideale situatie is dat iedereen zich bewust is van de digitale gevaren, maar de praktijk wijst helaas vaak anders uit.

En thuiswerkers kunnen (in het beste geval) nog zo goed bezig zijn; wanneer de IT-omgeving waarop thuiswerkers inloggen niet voldoende beschermd is, zijn de rapen gaar. In ons redpaper gaan we daar dieper op in en vertellen we wat je zelf kunt doen (en wat wij voor jou kunnen betekenen).


    Martien van Dijk

    Digitale veiligheid is vooral een mensenkwestie

    x

    JOBS 20

    JOBS 20