English Français Nederlands
Tools Downloads Jobs
nl
Over ons Ons aanbod Nieuws Contact

home

/

nieuws

/

phishing: laat u niet aan de haak slaan

GDPR & Cybersecurity
12 september 2019

Phishing: laat u niet aan de haak slaan

U hebt ze wellicht ook wel eens in uw mailbox ontvangen, valse mails die u vragen om op een onbekende link te klikken, gevolgd door de vraag om in te loggen met uw (bedrijfs)mailadres. E-mail phishing wordt het ook wel genoemd, of beter, e-mails die eruit zien alsof ze van een legitiem bedrijf afkomstig zijn, maar in werkelijkheid persoonlijke gegevens van de ontvanger willen stelen. Komt dit u ook bekend voor? En hoe vaak ontvangt u dergelijke mails van uw collega’s? Was de afzender van de mail u altijd bekend? Toch kunt u met een aantal praktische tips de kans op phishing aanzienlijk verkleinen. Zo laat u zich voortaan niet meer aan de haak slaan!

Phishing: laat u niet aan de haak slaan

Pas op met BEC-fraude

Business E-mail Compromise (kortweg BEC) zit momenteel in de lift. Kort samengevat gaat het om elke valse e-mail die u vraagt naar uw inloggegevens in ruil voor een zogenaamde factuur of andere bijlage. Dergelijke e-mails en de bijhorende websites hebben echter maar een doel: het ontfutselen van uw e-mailadres en wachtwoord. Met uw logingegevens kan uw e-mailadres namelijk misbruikt worden om het valse bericht verder te verspreiden, of er kan worden ingelogd op andere websites, denk maar aan online shopping of e-banking. Legitieme platformen zoals SharePoint of Dropbox worden vandaag bovendien steeds vaker gebruikt worden om phishing mails te verspreiden. De opmaak van deze (valse) loginpagina’s lijkt in dit geval verdacht veel op die van gekende websites zoals Outlook, maar zijn het in werkelijkheid niet. Het is dan ook niet altijd duidelijk dat het hier om effectief om phishing gaat.

Meer dan e-mails alleen

Met de komst van de cloud, maken we steeds meer gebruik van online diensten die gelinkt zijn aan ons e-mailadres. Zo staan onze contactenlijst, documenten en notities online opgeslagen op SharePoint, OneDrive of Office365. Inloggen met onze e-mailaccounts is voldoende om toegang te krijgen tot deze gegevens. En net dat zorgt ervoor dat internetcriminelen via uw logingegevens ook hiermee aan de slag kunnen. 

Het is belangrijk om zo snel mogelijk uw IT-verantwoordelijke te verwittigen. Hoe sneller ze op de hoogte zijn van wat er is gebeurd, hoe sneller ze actie kunnen ondernemen om verder misbruik te voorkomen.

En dan nu: aan de slag!

Ik heb geklikt / ik heb mijn logingegevens ingevuld: wat nu?

Het is belangrijk om zo snel mogelijk uw IT-verantwoordelijke te verwittigen. Hoe sneller ze op de hoogte zijn van wat er is gebeurd, hoe sneller ze actie kunnen ondernemen om verder misbruik te voorkomen. Volg nadien uw e-mailaccount van dichtbij op en meld vreemde gedragingen zo snel mogelijk bij uw IT-verantwoordelijke. Het kan altijd voorkomen dat bepaalde zaken bij het opruimen over het hoofd werden gezien.

De IT-verantwoordelijke kan volgende stappen ondernemen:

  • Het e-mailaccount wordt zo snel mogelijk vergrendeld. Toekomstige inlogpogingen worden op die manier verhinderd.
  • De logbestanden van het account worden gecontroleerd om na te gaan of er werd ingelogd op het account en welke acties werden uitgevoerd. Het is mogelijk dat er mails werden uitgestuurd, automatische antwoorden werden ingesteld of e-mailregels werden opgesteld. Die acties moeten zo snel mogelijk ongedaan gemaakt worden.
  • Alle mogelijke ontvangers van mails worden verwittigd om verdere verspreiding tegen te gaan.
  • Het wachtwoord van het e-mailaccount wordt gewijzigd. Indien de gebruiker hetzelfde wachtwoord op andere sites heeft gebruikt, is het aan te raden om ook op die sites het wachtwoord te wijzigen. Het gestolen wachtwoord wordt immers vaak toegevoegd aan een grotere lijst die door dezelfde of andere criminelen gebruikt kan worden.
  •  Als het account toegang heeft tot gevoelige informatie, denk maar aan boekhouding, personeelsdossiers, klantengegevens of patiëntengegevens, is het mogelijk dat deze gegevens mogelijks gestolen of gekopieerd werden.
  • Het incident (in dit geval het stelen van persoonsgegevens) wordt opgenomen in het incidentenregister en moet eventueel gemeld worden aan de toezichthoudende autoriteiten.

Technische tips

Het is aan te raden om de spamfilters van uw e-mailprovider te activeren. Deze filters vangen namelijk het  overgrote deel van de valse e-mails op, zodat die nooit in uw inbox terechtkomen. Daarnaast is het belangrijk om een ‘authenticatie in twee stappen’ in te stellen op uw e-mailaccount. Op deze manier moet u naast uw gebruikersnaam en wachtwoord een extra factor gebruiken om in te loggen op het e-mailaccount. Een crimineel die geen toegang heeft tot deze extra factor kan zo niet inloggen op uw account.

Creëer bewustzijn

Het blijft van belang om in uw organisatie het nodige bewustzijn te creëren én te onderhouden binnen. Hou daarom steeds volgende tips in het achterhoofd:

  • Wees voorzichtig met e-mails die u niet verwacht of die afwijken van de normale communicatie met de afzender. 
  • Let op met links in een e-mail, vooral wanneer de link niet overeenkomt met de tekst in de e-mail of met de vermelde organisatie. U kan de echte link vinden door uw muis boven de tekst of afbeelding te houden. 
  • Wanneer u de inhoud wil verifiëren, antwoord dan nooit op de e-mail. De kans bestaat dat criminelen een automatisch antwoord hebben ingesteld op de inbox van de afzender. Bel ook nooit naar telefoonnummers die in het bericht staan, maar maak gebruik van het nummer dat u kent. 
  • Let op met https://. De S slaat namelijk op de technische implementatie van uw verbinding met de website en niet op de inhoud ervan. Die kan dus nog steeds schadelijk zijn.

Wilt u zelf meer weten over phishing of wilt u bewustzijn creëren in uw organisatie? Neem dan contact op met een van onze specialisten via cyber@vdl.be.

GDPR & Cybersecurity Bedrijven Eenmanszaken Ondernemers Verenigingen en vzw's Vrije beroepen
Deel dit artikel

Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.

Nieuws en inzichten

Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.

Bekijk alle nieuwsberichten
GDPR & Cybersecurity
30 juli 2024

Hoe kan je je voorbereiden op de Digital Operational Resilience Act (DORA)?

Vanaf 17 januari 2025 treedt de Europese Digital Operational Resilience Act (DORA) in werking voor de financiële sector. Maar wat houdt DORA precies in en wat betekent dit voor jouw organisatie? En hoe verhoudt DORA zich tot de NIS2-wetgeving?
GDPR & Cybersecurity
21 mei 2024

WEBINAR NIS2/DORA: Faciliteer je compliance traject m.b.v. de juiste software

Voor zowel NIS2 als DORA is een matuur ICT-risicobeheer een basisvereiste. De introductie van NIS2 en DORA zijn dan ook een moment om de volwassenheid van jouw ICT-risicobeheerpraktijken opnieuw te beoordelen en de hiaten te identificeren om aan de nieuwe regelgeving te voldoen.
Eenmanszaken
18 april 2024

Werken als zelfstandige in het buitenland

In een geglobaliseerde wereld voelen meer en meer zelfstandigen de nood om internationaal te werken. Het is echter belangrijk om te begrijpen dat er complexe fiscale gevolgen zijn bij het werken als zelfstandige in het buitenland. We zoomen even in op de inkomstenbelasting, btw en sociale zekerheid.
Deze website gebruikt cookies.

Essentiële cookies kan u niet weigeren. Via de bijkomende cookies kan u uw webervaring verbeteren. Meer info vindt u in onze cookieverklaring.

Geef hier uw voorkeuren aan:
Enkel essentiële cookies aanvaarden