door Evelien Callewaert
Of toch niet? Dit had kunnen staan in een mail van finance@vlt.be (in plaats van finance@vdl.be). En als u niet opgelet had, hadden al uw betalingen aan ons naar het banknummer van een fraudeur gegaan.
Het overkomt u niet? Deze zogenaamde phishing mails gebeuren vaker dan u denkt. Volgens een recent rapport van Europol's European Cybercrime Centre staat (spear)phishing voor bijna twee derde van alle cybersecurity incidenten.
Phishing is een vorm van online fraude waarin de oplichter een slachtoffer misleidt door middel van officieel uitziende e-mails en/of websites, die meestal “hengelen” naar logingegevens of betaalkaartgegevens. Interessant weetje is dat de term phishing een samenstelling is van fishing (hengelen) en phreak (phone+freak: hacker van telefooncentrales).
Figuur 1 - Vermelde cyberincidenten (Europol EC3)
Bij bank-phishing probeert een frauduleuze afzender u te misleiden om uw persoonlijke, financiële of beveiligingsinformatie te delen. Denk hierbij aan bankrekeningen, kaartnummers en pincodes. Door de logo's en lay-out van echte mails te kopiëren en het gebruik van dwingende taal en/of deadlines, trachten fraudeurs u te overtuigen een bijlage te downloaden of op een link te klikken. De bijlagen bevatten vaak malware terwijl de links vaak verwijzen naar een frauduleuze kopie van een officiële website (bv. e‑banking). Op beide manieren probeert de fraudeur uw logingegevens te stelen. Een voorbeeld vindt u hier
Bij Business Email Compromise (BEC), ook gekend als CEO-fraude wordt een medewerker die betalingen mag verrichten, misleid om een valse factuur te betalen. Of een valse mail van de CEO vraagt u van uw bedrijfsrekening over te schrijven naar de rekening van een fraudeur. Een voorbeeld vindt u hier.
Bij factuurfraude doet iemand zich voor als uw leverancier, dienstverlener of schuldeiser en stuurt ofwel een valse factuur op, of vraagt om de bankgegevens van een gekende begunstigde aan te passen waardoor betalingen voor toekomstige facturen arriveren op de rekening van de fraudeur. Een voorbeeld vindt u hier.
Bij smishing (SMS+phishing) sturen fraudeurs u een SMS met een link naar een valse website. Bij vishing (voice+phishing) bellen ze u zelfs op in een poging tot het achterhalen van persoonlijke, financiële of beveiligingsgegevens, of om hen geld over te schrijven. Een voorbeeld vindt u hier
Het bovenstaande bewijst nog maar eens dat de menselijke schakel een interessant doelwit blijft voor cybercriminelen. Security awareness training (weerbaarheidstraining) voor alle personeelsleden (inclusief management) blijft belangrijk, maar heeft een remake nodig die het geheel aantrekkelijker en duidelijker maakt dan de grijsgedraaide PowerPointpresentaties.
Voor weerbaarheidstrainingen inclusief testen rond phishing, meer info en verdere vragen rond phishing of cybersecurity in het algemeen, kan u altijd contact opnemen met Vandelanotte Security & Privacy via cyber@vdl.be. Samen met u bespreken we uw vragen of zorgen en stellen we een gepersonaliseerd dienstenaanbod voor.
Evelien Callewaert
Senior Advisor Legal evelien.callewaert@vdl.be
Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.
Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.