Aan het begin van deze zomer heeft McAfee de Phishing Quiz online gezet: een quiz waarin je als bezoeker tien e-mailberichten voorgeschoteld krijgt. De uitdaging is vervolgens om van ieder bericht aan te geven of je denkt dat het een echte, legitieme e-mail is, of een nepmail: een zogenaamde ‘phishing mail’. Van de zakelijke gebruikers die de phishing quiz hebben gedaan, heeft McAfee een score bijgehouden. En wat blijkt? 83 procent van de Nederlandse werknemers trapte in minstens één van de in totaal zeven phishing mails in de quiz. Vooral HR-medewerkers moeten echt beter opletten: alle deelnemers met een HR-functie waren van mening dat alle zeven phishing mails echt waren.
Als je daarover even nadenkt is dat best wel een zorgwekkende score. Want phishing is een van de meest toegepaste manieren waarmee cybercriminelen een organisatie proberen binnen te dringen of om gebruikersnamen of wachtwoorden te bemachtigen.
Voor wie de term ‘phishing’ nog niet kent: dat is een manier om mensen informatie af te troggelen met e-mails die afkomstig LIJKEN te zijn van legitieme organisaties, maar dat dus NIET zijn! Uit de quiz blijkt dat het voor de meeste gebruikers erg lastig is om te zien of er sprake is van phishing.
Natuurlijk worden we er al jaren op gewezen dat we niet zomaar op links moeten klikken in e-mails van iemand die je niet kent, of e-mails die er verdacht uitzien. Een prima advies. Maar wat als de e-mail er betrouwbaar uitziet? Cybercriminelen kennen dit advies ook en doen er alles aan om hun phishing-mails er zo echt mogelijk te laten uitzien, ze gebruiken het juiste logo, kopiëren de juiste layout, gebruiken gelikte hi-res afbeeldingen, maken geen taalfouten, enzovoorts. En dan?
Om te beginnen is het verstandig om op de hoogte te raken – en te blijven – van de manieren waarop cybercriminelen te werk gaan. Nieuwe kwalijke praktijken halen altijd wel de media en er wordt ook meestal verteld wat je ertegen kunt doen. Als je dit weet zal je ook niet zo snel in phishing-pogingen trappen. Een gewaarschuwd mens…
Verder kan een gezonde portie achterdocht helemaal geen kwaad. Hoe waarschijnlijk is het dat je bank meldt dat er een ‘reset’ van je rekening heeft plaatsgevonden en dat de bank nu je inloggegevens nodig heeft om alles weer te activeren. Jazeker, ook hiervoor is gewaarschuwd – ook door banken – maar de cybercriminelen blijven het proberen met steeds overtuigender verhalen.
Neem dit recente voorbeeld: Klanten worden door de bank opgeroepen om de beveiligingssoftware te activeren en zo ‘vervelende omstandigheden’ te voorkomen. Blijf alert en blijf je afvragen of wat je ziet wel in de haak is, je komt anders juist in ‘vervelende omstandigheden’ terecht!
En denk altijd even na voordat je op een link in een mail klikt. Want phishing mails bevatten links naar kwaadaardige websites, die de bezoekers proberen over te halen om allerlei persoonlijke informatie af te geven. Zo’n letterlijk misleidende link kun je herkennen: beweeg de muis over de link en kijk heel goed wat er staat. Kan het adres van een betrouwbare site zijn? Zijn er geen letters verwisseld of weggelaten? Klopt de extensie wel? Je kunt dus maar beter niet klikken op www.dtchcowbyos.kr …
Er ook hulp van buitenaf beschikbaar. De McAfee SiteAdvisor is een plugin voor je browser die aangeeft of je een link kunt vertrouwen of niet. Deze adviseur komt in actie voordat je daadwerkelijk naar de site gaat. Het oordeel is gebaseerd op tests van websites die McAfee voortdurend uitvoert. De SiteAdvisor is gratis en in een handomdraai te installeren.
Tot slot, als je twijfels hebt over een e-mail die afkomstig lijkt te zijn van je bank, dan kan je het beste even contact opnemen met de bank om te checken of die e-mail inderdaad van hen afkomstig is. Mocht dit niet het geval blijken te zijn, dan kan je de betreffende e-mail vaak doorsturen naar een speciale afdeling van de bank, die er dan verder naar kijkt en zonodig actie onderneemt. Ook bij ‘twijfelachtige’ e-mails van andere organisaties of personen is het raadzaam om even contact op te nemen met de afzender om dit te verifiëren.
Je hoeft geen computerexpert te zijn om phishing-valkuilen te vermijden. Gebruik je gezond verstand, maak gebruik van de beveiligingshulpmiddelen die er zijn en vooral: blijf opletten!
Dit blog is geschreven door René Pieëte, Senior SE Manager Northern & Eastern Europe bij McAfee