Het is ontzettend belangrijk om jezelf aan te leren hoe je phishing herkent. Niet alleen zodat je er zelf niet intrapt, maar ook zodat je jouw collega’s en eindgebruikers kunt helpen met het herkennen van de tekenen van misleidende berichten.
Heb je het eerste deel van dit artikel al gelezen?
8 vormen van Phishing die je als IV-professional moet kennen
1. De afzender
Misschien wel één van de meest bekende manieren om phishing tegen te gaan is het controleren van de afzender. Vaak lijkt het door middel van spoofing alsof de afzender een bekende of vertrouwde afzender is, terwijl het daadwerkelijke e-mailadres of telefoonnummer juist compleet anders is. Controleer daarom altijd even snel het e-mailadres van de afzender. Dit kost een paar seconden maar bespaart een hoop ellende.
2. Tekst & taalgebruik
Bij veel tekstuele vormen van phishing, zoals e-mails & SMS’jes, kan het helpen om scherp te zijn op het taalgebruik. Soms zitten er gigantisch veel spelfouten in en soms klinkt het taalgebruik onnatuurlijk omdat het letterlijk uit het Engels is vertaald. Verder kan het zijn dat de e-mail onder hoge prioriteit wordt verstuurd of dat er wordt gemaand om ‘snel te handelen’; dit alles om de druk bij de ontvanger op te voeren.
3. Context
Het klinkt misschien enigszins als een open deur intrappen, maar de context van een bericht is altijd gigantisch belangrijk. Stel dat jouw directeur je een e-mail stuurt met het verzoek om even snel een openstaande factuur te betalen, dan kan dit nogal vreemd zijn als je als tester werkt. Aan de andere kant is een dergelijke e-mail weer geloofwaardiger wanneer deze wordt verstuurd aan een inkoper of collega van de financiële afdeling. In het eerste scenario is gezond verstand in combinatie met een ietwat kritische houding dus van essentieel belang om dit soort vreemde berichten te signaleren. In het tweede scenario is de organisatie erbij gebaat om robuuste procedures in te stellen, waardoor een verzoek op deze manier eigenlijk nooit gedaan kan worden.
4. Hyperlinks
Hyperlinks kunnen je in de val lokken. Het is dan ook slim om altijd hyperlinks te controleren wanneer deze in een e-mail of tekstbericht worden verstuurd. Zelfs als er een bepaald webadres in de tekst staat vermeld, kan de link erachter naar een andere -potentieel schadelijke- website leiden. Het kan daarom van onschatbare waarde zijn om jezelf aan te leren altijd even de link te controleren, bijvoorbeeld door op de PC met de muis over de koppeling te bewegen (zonder erop te klikken!), zodat je kunt zien waar de link naartoe leidt. Controleer bijvoorbeeld of de domeinnaam overeenkomt met die van de veronderstelde afzender. Een andere methode is om de link te kopiëren naar een tool die controleert of de website achter de URL veilig is. Een voorbeeld is Google Transparancy Report.
Zulke handelingen kosten enkele seconden maar vormt een cruciale gewoonte om oplichting te herkennen (en vermijden).
5. Onverwachte of ongewone bijlagen
Het kan voorkomen dat een e-mail geen hyperlinks naar schadelijke websites bevat, maar juist bijlagen die schadelijke software of virussen bevatten. Om dit te vermijden, is het altijd aan te raden om kritisch te kijken naar de bijlagen van een e-mail. Klopt één van de bijlagen niet met de inhoud van het e-mailbericht? Of heeft het bestand een extensie die je niet bekend voorkomt? Dat kan ervoor zorgen dat je een foute bijlage herkent. Dan is het altijd goed om te dubbelchecken voordat je de bijlagen downloadt of opent.
6. Verificatie
Misschien wel de belangrijkste tip die we kunnen meegeven, met name om phishing door voice cloning te herkennen en voorkomen, is om een verificatievraag te stellen of codewoord af te spreken. Een persoonlijke verificatievraag kan bijvoorbeeld gaan over iets wat in het echt heeft plaatsgevonden tussen de zender en ontvanger, terwijl een codewoord procedureel iets meer solide is. Het is wel écht van vitaal belang dat noch het antwoord op de persoonlijke vraag noch het codewoord ook maar ergens online staat. Als dit namelijk wordt achterhaald, vervalt het hele nut ervan. Wanneer het codewoord niet genoemd kan worden kan het dus zijn dat degene aan de andere kant van de lijn niet de beste bedoelingen heeft.
Nu je weet hoe je phishing kan herkennen (inclusief al wat kleine tips) is het voor jou natuurlijk ook belangrijk om te weten wat jij hier als IV-professional mee kan. Hoe kan jij jouw eindgebruikers nou bewust maken van phishing en hoe kan je ervoor zorgen dat zij phishing ook gaan herkennen? En als ze dan zo'n foute e-mail binnen krijgen wat moeten ze er dan mee (behalve niet klikken)? In deel 3 lees je hoe jij hen hierin kan helpen.
Gepubliceerd in