Phishing vormt een van de grootste moderne beveiligingsrisico’s. Maar liefst 65% van de Amerikaanse organisaties was in 2019 het slachtoffer van een succesvolle phishingaanval.

Ondanks het toegenomen aantal aanvallen, trapt ongeveer een derde van de zakelijke gebruikers in de phishing val. Ieder bedrijf moet het phishing probleem daarom serieus nemen. Als Medewerkers van ons bedrijf verbinding hebben met internet, zijn zij een doelwit voor phishing. Dit geldt niet alleen voor werken op kantoor maar ook thuis of onderweg.

De verbinding op kantoor verloopt vaak via het interne netwerk. Dat staat onder controle van de eigen IT afdeling. Medewerkers thuis hebben meestal een verbinding via een publieke provider, wat hen een stuk kwetsbaarder maakt.

Hoe kunnen we phishing voorkomen?

De beste manier om ons bedrijf te beschermen tegen een phishingaanval, is door ons er op voor te bereiden. We kunnen ons er op trainen om ​​verdachte e-mail te herkennen voordat ze kwaad kunnen aanrichten. Bewustwording van medewerkers en het uitvoeren van oefeningen zijn daar een onderdeel van.

In dit artikel bespreken we hoe we phishing in de thuiswerkomgeving kunnen voorkomen door de volgende maatregelen:

1. Bewustwordingstraining van medewerkers.
2. Het uitvoeren van phishing-oefeningen.
3. Het nemen van technische maatregelen.

Het einddoel is dat medewerkers instaat zijn om gevaarlijke e-mails te herkennen en te verwijderen om het bedrijf zo te behoeden voor ernstige schade.

Wat is phishing?

Phishing is een soort cyberaanval waarbij de phisher probeert binnen te dringen of gevoelige informatie probeert te verkrijgen. Het installeren van malware of ransomware komt veel voor na een phising aanval.

De phisher doet zich meestal voor als een vertrouwde partij. Het bekendste voorbeeld van phishing is de Nigeriaanse prins die wil dat wij onze bankgegevens doorgeven, zodat hij ons zijn erfenis in bewaring kan geven. Waren alle phishing-pogingen maar zo duidelijk.

1. Bewustwording

Stel bijvoorbeeld dat de ING bank je een e-mail stuurt over een update van je online bankrekening. De e-mail lijkt belangrijk en ziet eruit als de e-mails die je normaal gesproken van ING ontvangt, dus je volgt de link en logt in op je account.

Echter, de link die je volgde was eigenlijk naar ing.co, niet naar ing.nl. Helaas, je bent het slachtoffer geworden van phishing, en je hebt zojuist al je bankgegevens aan een onbekende derde partij gegeven.

Op de thuiswerkplek kan een phishing-e-mail binnenkomen in de vorm van een e-mail van je teamleider, of van een collega die je schijnbaar een link sturen. Meestal wordt ons in de e-mail gevraagd om gevoelige informatie te verstrekken die de phisher vervolgens zal gebruiken om ons bedrijf te bestelen of op de een of andere manier schade toe te brengen.

We moeten ons er tevens van bewust zijn dat het niet alleen om e-mail gaat. Phishers maken ook gebruik van SMS, Facebook, LinkedIn, WhatsApp en Twitter berichten. Alles wat maar een link kan bevatten kan verdacht zijn.

Via een (Zoom) training kunnen we medewerkers hiervan bewust maken met behulp van praktijkvoorbeelden.

2. Phishing-oefeningen

Vooral als je de hele dag thuis zit kan het contact met het bedrijf minder worden. Op kantoor maak je wel eens een praatje bij de koffie-automaat, maar nu moet je bewust het contact zoeken om iets te weten te komen. Als er een phishing aanval plaatsvindt kom je daar op kantoor al snel via de tamtam achter. Om thuiswerkers echter op de hoogte te stellen is al snel meer sturing nodig.

Een goede manier om het phisinggevaar bij medewerkers tussen de oren te krijgen is door aanvallen te oefenen.

Om te beginnen moeten we op zoek gaan naar een phishing-tool waarmee we aanvallen kunnen oefenen. Er zijn er veel beschikbaar, waaronder gratis open source-versies zoals Gophish. Als alternatief kunnen we commerciële producten inzetten, zoals LUCY en Infosec IQ.

1. Als we eenmaal een tool hebben gekozen, moeten we de medewerkers inlichten over de oefening. Het doel is om iedereen kennis te laten maken met de gevaren van phishing en vervolgens hun alertheid te verbeteren. Als we de medewerkers van tevoren waarschuwen en trainen, vergroten we de kans dat de oefening aanslaat.
2. Vervolgens moeten de unitmanagers en teamleiders de parameters voor de oefening vaststellen. Veel phishers gebruiken social engineering-tactieken, zoals zich voordoen als een collega of manager. Op die manier vergroten ze hun kansen om ons te misleiden. Het is dus een goed idee om samen met teamleiders uit te zoeken hoe we de oefening het besten kunnen inrichten, namelijk net zoals een echte phisher dat zou doen.
3. Ten slotte is het belangrijk om duidelijk te maken hoe medewerkers een phishing aanval kunnen melden. Moeten ze de e-mail bijvoorbeeld doorsturen naar de service desk? Of het voorval melden aan hun manager? Medewerkers rapporteren een e-mail eerder als dit hun werk verder niet verstoort. Ons rapportageproces moet dus zo soepel mogelijk verlopen.

De oefening plannen

Als de basisafspraken zijn gemaakt, kunnen we doorgaan met het plannen van onze oefening:

1. Wanneer vindt de oefening plaats?
2. Hoe lang duurt de oefening?
3. Welke soorten phishing berichten we gaan oefenen?
4. Wat zijn de platformen die we daarvoor gebruiken?
5. Welke data hebben we nodig voor de gewenste statistieken?
6. Wie betrekken we straks bij de oefening?

Voordat we met de oefening beginnen, is het belangrijk om vast te stellen welke methoden we gaan gebruiken. Gaat we bijvoorbeeld onze pijlen richten op specifieke individuen? Of gaan we direct achter de CEO en andere leidinggevenden aan? Meestal gebruiken we verschillende methoden om te oefenen zodat onze medewerkers elk van hen zal herkennen.

Details van een phishing oefening

De meest effectieve phishingoefeningen duren enkele maanden of kwartalen en worden gedurende die tijd steeds complexer. We kunnen bijvoorbeeld één nep-phishing-e-mail per maand verzenden, te beginnen met overduidelijke phishing kenmerken. Vervolgens kunnen we de oefening via Social Media complexer maken. Bijvoorbeeld met berichten die eruitziet alsof deze van een collega afkomstig zijn. Door de oefening langzaam op te bouwen helpen we ​​medewerkers vertrouwd te raken met het fenomeen en niet zo snel ontmoedigd te raken omdat ze in het begin vaker falen.

Om te interpreteren wat er tijdens de oefening is gebeurd, moeten we vooraf afspreken welke statistieken we willen maken en daarvoor nauwkeurig metingen inplannen. Over het algemeen houden we deze drie statistieken bij:

• Het aantal medewerkers dat het slachtoffer wordt van een phishingpoging en daardoor data hebben gelekt.
• Het aantal medewerkers dat een phishingpoging met succes heeft herkend en gerapporteerd.
• De frequentie waarmee men de phishing links heeft aangeklikt.

Vergeet niet om ook senior managers, teamleiders en bestuursleden in de oefening te betrekken. De gebruikers met de meeste bevoegdheden zijn vaak de grootste phishing-doelen, dus ze moeten zeker op een aanval zijn voorbereid.

De oefening implementeren

Wanneer alle details van onze oefening zijn uitgewerkt, kunnen we hem starten. Het is belangrijk dat we de exacte planning geheim hpuden. Immers, als medewerkers de planning kennen, verwachten ze phishing-e-mails, waardoor onze metingen niet zullen kloppen.

Na de oefening

Na de oefening is het werk nog niet klaar. Wanneer de oefening is afgerond, is het tijd om de opgestelde statistieken door te nemen om te zien hoe ons bedrijf heeft gepresteerd.

Om te beginnen willen we zien of we de doelen hebben bereikt waar we hoopten:

• Zijn er in de loop van de tijd minder medewerkers gezwicht voor phishing?
• Is de klikfrequentie op phising links gedaald?
• Is het aantal medewerkers dat verdachte berichten meldde gestegen?

Als we de statistieken hebben bekeken, is het tijd om een ​​beslissing te nemen over hoe we verder zullen gaan. Over het algemeen is het een goed idee om de resultaten aan binnen het bedrijf te presenteren, zodat iedereen kan zien waar nog verbetering nodig is. Het is echter belangrijk om specifieke afdelingen of medewerkers niet publiekelijk te noemen.

Het is onvermijdelijk dat sommige medewerkers in de val lopen, dus het is belangrijk om ze met tact en begrip te benaderen. De oefening is namelijk bedoeld als een leerervaring. Daarna wil je ze extra training geven zodat ze zich kunnen verbeteren – de cyberbeveiliging van ons bedrijf is zo sterk als de zwakste schakel.

Technische maatregelen

Het uitvoeren van een phishingoefening is slechts één stukje van een grotere cyberbeveiligingspuzzel. Om ons bedrijf op de lange termijn veilig te houden, is het van cruciaal belang om cyberveiligheid scherp te houden. Maar niet alleen met periodieke trainingen en voortdurende oefeningen. Dat blijft immers mensenwerk.

VPN

Het is ook belangrijk om de beveiliging van ons bedrijf te upgraden door VPN-verbindingen te implementeren. Via een VPN verbinding maken thuismedewerkers feitelijk op afstand gebruik van het kantoornetwerk. Daardoor kunnen ze steunen op de centrale maatregelen van het bedrijf.

Wachtwoordmanager

Een andere krachtige technische maatregel tegen phishing is medewerkers verplichten om een wachtwoordmanager te gebruiken. Wachtwoordmanagers helpen medewerkers op eenvoudige en veilige manier om wachtwoorden te managen. Zo beschermen ze zichzelf en het bedrijf tegen veelvoorkomende pogingen om wachtwoorden te hacken. Bovendien beschermen ze direct tegen phishing-pogingen. Dat komt omdat ze alleen wachtwoorden waarbij het URL exact overeenkomt automatisch zullen invullen. De nep-URL van een phishing-poging valt zo direct door de mand.

Get 40% Off Keeper Unlimited and Keeper Family!

-- Printbare PDF-versie --