Phishing, hoe bescherm je je hiertegen?

4 maatregelen om schade te voorkomen

Eigenlijk in elke mailbox verschijnen regelmatig phishing-mails. Sommige pik je er zo uit, omdat je naam verkeerd gespeld is, er krom Engels wordt gebruikt of vreemde tekens in staan. Maar andere mails zijn heel slim opgezet en nauwelijks van echt te onderscheiden. Bijvoorbeeld een perfect geschreven e-mail van een medewerker aan de afdeling HR om de salarisrekening te wijzigen. En als het mailadres ook nog eens (bijna) perfect nagemaakt is, trap je er zo in. Phishing is helaas niet te voorkomen, maar je kunt wel degelijk maatregelen nemen om schade te voorkomen!

Hackers en internetcriminelen zijn geen domme jongens en meisjes. Ze weten precies hoe ze je om de tuin kunnen leiden. En ze snappen óók hoe AFAS werkt. Ze sturen je dus gerust een mail uit naam van een collega met het verzoek om in te loggen op InSite om je gegevens te controleren. Als je dan nietsvermoedend doorklikt, kom je uit op de ‘gewone’ AFAS-inlogpagina. Je deelt je gegevens dan wel op een externe server, en dat wil je niet. Gelukkig wordt dit vaak snel ontdekt. Als je de site uit de lucht haalt, duikt er helaas snel weer een nieuwe op. Het lijkt vechten tegen de bierkaai. Toch kun je er zeker wat tegen doen. 

Maatregel 1: Werk aan bewustwording

Zorg dat iedereen binnen je organisatie zich bewust is van de gevaren van phishing. Het is niet onschuldig. De schade van onoplettendheid kan enorm zijn, financieel en voor het imago van je bedrijf. Bespreek valkuilen, veel gebruikte trucs en laat mensen duidelijke voorbeelden zien. Op die manier snapt iedereen snapt hoe ingenieus en misleidend internetcriminelen werken en wat de risico’s. De kernboodschap is steeds: Klik nooit zo maar op links in mails en check de URL als je inlogt. 

Maatregel 2: Dubbelcheck altijd 

Geef je mensen de kennis om zich te wapenen tegen phishing. Informeer en train ze om alert te zijn en niet te reageren op onverwachte verzoeken of vragen buiten de workflow om. Ook niet als alles er betrouwbaar uitziet. En als je toch zo’n verdacht verzoek krijgt en je twijfelt: zoek als (HR-) medewerkers altijd persoonlijk contact zoeken met de betreffende collega. Doe dit via een betrouwbaar en bekend telefoonnummer en bel vooral niet naar het nummer onderaan de phishing-mail. 

Maatregel 3: Kies voor twee-factor-authenticatie

Single Sign-on (SSO) is supermakkelijk. Gewoon één keer inloggen en aan de slag met alle applicaties. Te vaak kiezen klanten echter voor SSO via federation. Hiermee gaan ze voor gemak en niet voor de veiligheid van twee-factor-authenticatie. In de praktijk is de SSO-oplossing dan ineens de zwakste schakel. Zo’n keuze maakt het voor hackers net weer een stap makkelijker om bij je data te komen. En dat wil je juist niet. Snij de bocht dus niet af, maar zet een extra stap met twee-factor-authenticatie. SSO is op zichzelf niet onveilig, maar vereist dus óók twee-factor-authenticatie. 

Maatregel 4: Stimuleer gebruik van een wachtwoordmanager (ook privé) 

Hoeveel wachtwoorden voer jij op een dag in? Als je zelf al deze wachtwoorden bedenkt en opslaat, val je al snel in herhaling. En die voorspelbaarheid is een risico. Een wachtwoordmanager voorkomt dat. Zo weet je zeker dat iedereen unieke sterke wachtwoorden gebruikt, waar mogelijk natuurlijk in combinatie met twee-factor-authenticatie! Stimuleer je mensen ook privé zo’n tool te gebruiken. Juist privé e-mailadressen worden vaak buitgemaakt en als deze aan bedrijf te linken zijn, is de kwetsbaarheid voor hackpogingen groot. Stimuleer dus het gebruik van een tool voor wachtwoordmanagement. Dat maakt jouw leven en dat van al je medewerkers veel makkelijker én vooral veiliger. 


Meer over dit onderwerp? Lees ook HR nog (te) vaak slachtoffer van 'phishing'

Phishingschade 
voorkomen

In dit artikel vind je 4 maatregelen waarmee je de schade van phishing kunt voorkomen. 

  1. Werk aan bewustwording
  2. Dubbelcheck altijd
  3. Kies voor twee-factor-authenticatie
  4. Stimuleer gebruik wachtwoordmanager