Phishing: Wat is het en hoe kun je het voorkomen?

Phishing is een vorm van cybercriminaliteit waarbij iemand zich voordoet als een legitieme instantie om je te verleiden om gevoelige informatie te geven, zoals persoonlijke gegevens, bank- en creditcardgegevens en wachtwoorden. Deze informatie wordt dan gebruikt om toegang te krijgen tot belangrijke accounts en kan leiden tot identiteitsdiefstal en financieel verlies.

E-mail phishing

Er zijn verschillende vormen van phishing, afhankelijk van de manier waarop de aanvaller contact met je opneemt. De meest voorkomende vorm is e-mail phishing, waarbij je een e-mail ontvangt die lijkt op een officiële e-mail van een bank, een webwinkel, een overheidsinstantie of een andere organisatie. De e-mail bevat meestal een link naar een nagemaakte website die er precies zo uitziet als de echte website. Als je op de link klikt en je gegevens invult, komen ze in handen van de aanvaller.

Vishing

Een andere vorm van phishing is vishing, of voice phishing. Dit is wanneer je wordt gebeld door iemand die zich voordoet als een medewerker van een bedrijf of een instantie en je probeert te overtuigen om informatie te geven of een betaling te doen. De beller kan bijvoorbeeld zeggen dat er een probleem is met je rekening, je abonnement of je bestelling en dat je het snel moet oplossen door je gegevens te bevestigen of een bedrag over te maken. In sommige gevallen kunnen criminelen zelfs vertrouwde stemmen klonen zodat het lijkt alsof een vertrouwd iemand je belt.

Smishing

Een derde vorm van phishing is smishing, of SMS phishing. Dit is wanneer je een sms-bericht ontvangt dat lijkt op een officieel bericht van een bank, een webwinkel, een overheidsinstantie of een andere organisatie. Het bericht bevat meestal een link naar een nagemaakte website of een telefoonnummer dat je moet bellen. Als je op de link klikt of het nummer belt, wordt je gevraagd om informatie te geven of een betaling te doen.

Hoe werkt phishing technisch?

Phishing maakt gebruik van technieken zoals bijvoorbeeld spoofing, waarbij de aanvaller de afzender of het adres van de e-mail, het telefoonnummer of de website kan vervalsen om het te laten lijken alsof het afkomstig is van een betrouwbare bron. Phishing maakt ook gebruik van malware, oftewel kwaadaardige software, die op je apparaat kan worden geïnstalleerd als je op een link klikt of een bijlage opent. Malware kan bijvoorbeeld je toetsaanslagen registreren, je scherm vastleggen of je bestanden versleutelen en losgeld eisen.

Hoe kun je jezelf en je bedrijf beschermen tegen phishing?

Er zijn verschillende maatregelen die je kunt nemen om phishing te voorkomen of de impact ervan te verminderen:

• Wees alert op verdachte e-mails, telefoontjes of sms-berichten. Let op zaken zoals spelfouten, ongebruikelijke afzenders, dringende verzoeken of te mooie aanbiedingen.
• Klik niet zomaar op links of bijlagen in e-mails of sms-berichten. Controleer eerst de echtheid van de afzender en de website door zelf het adres in te typen of te bellen naar het officiële nummer.
• Geef nooit zomaar informatie of geld aan iemand die contact met je opneemt via e-mail, telefoon of sms. Verifieer altijd de identiteit van de persoon en vraag om bewijs dat hij of zij namens de organisatie spreekt.
• Gebruik sterke en unieke wachtwoorden voor al je accounts. Gebruik ook tweestapsverificatie als dat mogelijk is om extra beveiliging toe te voegen.
• Installeer antivirussoftware en firewall op je apparaten en houd ze up-to-date. Scan regelmatig op malware en verwijder verdachte bestanden of programma’s.
• Train jezelf en je medewerkers over de gevaren en de kenmerken van phishing. Volg een training of een cursus om je kennis en vaardigheden te vergroten.

Complexere technische maatregelen

Je kan ook complexere, maar effectieve technische maatregelen nemen om de hoeveelheid phishing drastisch te verminderen. Dit kan bijvoorbeeld gedaan worden met de technische maatregelen DKIM, SPF en DMARC.

DKIM, SPF en DMARC zijn drie manieren om je e-mails veiliger te maken. Ze zorgen ervoor dat anderen niet kunnen doen alsof ze jou zijn en dat je e-mails niet worden veranderd. Dit is wat ze doen:

• DKIM zet een soort stempel op je e-mails die alleen jij kunt maken. De ontvanger kan deze stempel zien en weten dat de e-mail echt van jou is.
• SPF zegt welke computers e-mails mogen sturen met jouw naam. De ontvanger kan kijken of de computer die de e-mail heeft gestuurd op de lijst staat. Zo niet, dan is de e-mail misschien nep.
• DMARC zegt wat de ontvanger moet doen als de e-mail niet goed is volgens DKIM of SPF. Je kunt bijvoorbeeld zeggen dat de e-mail in de prullenbak moet of dat je een bericht wilt krijgen.

Om deze manieren te gebruiken, moet je iets veranderen in je domein. Dat is het stukje achter het @-teken in je e-mailadres. Je moet ook iets veranderen in je e-mailprogramma of -website. Er zijn hulpmiddelen op internet die je hierbij kunnen helpen of je kunt je ICT-beheerder of security expert vragen voor hulp.

Als je DKIM, SPF en DMARC gebruikt, zijn je e-mails en klanten beter beschermd en krijg je minder last van phishing. Benieuwd hoe jouw domein ervoor staat? Vul dan het stukje achter het @-teken in je e-mailadres in op de website internet.nl

Phishing is een ernstige bedreiging voor je persoonlijke en zakelijke veiligheid. Door alert te zijn, voorzichtig te zijn en jezelf te informeren, kun je phishing herkennen en voorkomen. Zo kun je jezelf en je bedrijf beschermen tegen de gevolgen van phishing.