Een phishingmail met het verzoek om op een link te klikken of gegevens te delen. Daar trappen jouw medewerkers niet in. Toch? Veel mensen denken dat ze phishing e-mails eenvoudig herkennen. Helaas is niets minder waar: elk jaar worden duizenden mensen en bedrijven slachtoffer van scams. En nu meer medewerkers remote werken, is het gevaar alleen maar groter geworden. Hoe bescherm je thuiswerkers vanuit afstand? Wij geven 5 tips om je medewerkers veilig te houden.
Tijdens de wereldwijde pandemie - en het gevolg dat meer mensen thuiswerken - vond er een flinke toename van cybercrime plaats (rapport Europol). Naast dat aanvallers dankbaar gebruikmaakten van een nieuwe context (angst en onzekerheid omtrent corona), werden we ook afhankelijker van digitale oplossingen voor werk en verbinding. “Wanneer je remote werkt, dan zit je waarschijnlijk thuis met eigen regels en gewoonten voor het veilig omgaan met informatie", vertelt dr. Jan-Willem Bullée, assistant professor aan de Universiteit van Twente en research analyst bij Awareways. "Regels en richtlijnen vanuit de organisatie worden dan nog weleens uit het oog verloren."
"Daarnaast werken sommige mensen op privésystemen en -accounts die niet altijd op het gewenste beveiligingsniveau zijn. En het is maar de vraag of er een veilige omgeving voor het delen van bestanden is. Bovendien loop je niet zomaar naar een collega om te vragen of hij of zij denkt dat het mailtje legitiem is of van hem afkomstig is.”
De mens als zwakste schakel
Zelfs als veel e-mails worden tegengehouden door spamfilters en andere beveiligingsmaatregelen, kan er altijd een valse mail in je inbox verschijnen. Dan is de ontvanger aan zet. “De mens is de zwakste schakel als het gaat om cybercriminaliteit”, vertelt Jan-Willem. “Een van de redenen waarom phishing zo effectief, is dat de aanvaller gebruikmaakt van psychologische principes om slachtoffers mee te laten werken aan de aanval. Ook wel social engineering genoemd.” Bekijk bijvoorbeeld onderstaande e-mail die een collega binnen Appical op zijn persoonlijke mail ontving. Je ziet dat de zender gebruikmaakt van autoriteit door zichzelf voor te doen als de CEO van Appical. Daarnaast wordt de ontvanger onder druk gezet om zo snel mogelijk te reageren: schaarste van tijd dus.
Hoi Mark,
Ik hoop dat deze e-mail je op het juiste moment treft, want ik heb je nodig voor een belangrijke taak. Ik ben nu bereikbaar via e-mail en wacht op je snelle reactie.
Groet,
Hans van Rijnswoud,
CEO van Appical
“Aanvallers en criminelen ontwikkelen zich bovendien met de innovaties mee. Het blijft een kat en muis spel. Phishing e-mails worden steeds beter en verplaatsen zich ook naar andere veelgebruikte media, zoals Whatsapp." Je hoeft maar een moment niet op te letten, en de gevolgen kunnen groot zijn. Het openen van een e-mail of het klikken op een link kan een bedrijf veel schade opleveren, zoals hoge kosten, diefstal van gegevens of imagoschade. Het is dus belangrijk om een phishing pogingen te herkennen en hier juist mee om te gaan.
5 tips om jouw medewerkers te wapenen tegen scammers
1. Weet hoe je een phishingmail herkent
Waar vroeger phishingmails nog vol spelfouten en gebrekkig engels zaten, zijn valse mails tegenwoordig steeds moeilijker van echte e-mails te onderscheiden. Hoe herken je ze? “Check allereerst de afzender, waar de link naartoe gaat en of het te verwachten is dat je deze mail krijgt. Stel dat je op LinkedIn deelt dat je HR-adviseur bent, dan vind je een mail over innovaties op het gebied van schuurmachines wellicht verdacht. Maar met een mail die wel aansluit op jouw persoonlijke context, wordt het lastiger om een aanval te herkennen." Kennis is macht. Voor de aanvaller, maar ook voor jou. Haal allereerst de snelheid uit de aanval. Je kan prima even wachten met reageren en een collega vragen ter check. Organisaties hebben bovendien vaak een meldpunt voor IT-beveiliging, zij kunnen jou ook adviseren.”
2. Breng medewerkers op de hoogte van de meldingsprocedure
“Medewerkers zijn de oren en ogen van de organisatie. Zij zien, horen en maken dingen mee. Ook dingen die verdacht zijn. Een gek telefoontje met een vraag naar persoonlijke informatie, een e-mail met een link die naar een onbekende website verwijst. Wanneer medewerkers verdachte situaties melden, krijg je een beeld van wat er binnen de organisatie gebeurt, en hoe er geprobeerd wordt de medewerker te strikken. Communiceer hier ook over. Als medewerkers niks melden, dan denkt de security-afdeling dat het allemaal goed gaat. Maar als de organisatie updates geeft over cybersecurity incidenten, breng je het probleem in kaart en zien medewerkers dat ze niet de enige zijn die iets geks heeft meegemaakt.”
> Lees in deze blog hoe wij data en privacygevoelige gegevens beveiligen
3. Herhaal de boodschap
Je hebt aan je medewerkers duidelijk gemaakt hoe ze een phishingmail herkennen en waar ze cyberaanvallen kunnen melden. Klaar, toch? “Wanneer je kennis of vaardigheden niet vaak gebruikt, dan zakken ze weg. Herhaal je boodschap, dan blijft het top of mind. Door te blijven oefenen, word je beter in een vaardigheid. Denk aan schrijven, fietsen of autorijden; aan het begin kon je het een beetje en nu - een aantal jaar later - gaat het een stuk beter. Voor veilig omgaan met informatie is dat ook zo. Maak van trainingen en awareness daarom niet een eenmalige actie, maar een continu proces. Ook na de cyber security-maand dus."
4. Maak duidelijk dat het iedereen kan overkomen
"Phishing kan iedereen overkomen. Mensen zijn druk en zijn nu eenmaal niet altijd maximaal alert. Aanvallers weten dit ook en spelen hier op in. Daarnaast bestaat er een cognitieve denkfout die hier niet bij helpt. We denken vaak dat iemand anders meer kans heeft om doelwit te worden van een cyberaanval dan wijzelf. Door deze gedachte ben je minder alert, vind je security awareness materialen niet van toepassing op jou en besteed je er minder aandacht aan. Het gevaar? Als je toch een phishingmail ontvangt, herken je de aanval minder makkelijk en ga je er snel op in."
5. Zorg voor een open cultuur
Het is belangrijk dat je medewerkers het gevoel geeft dat zij phishing pogingen kunnen bespreken. “Door cyber security te bespreken met collega’s, kan je elkaar om hulp vragen en houd je elkaar op de hoogte. Twee mensen weten nu eenmaal meer dan één. Het kan je helpen om de urgentie (schaarste in tijd) uit een actie te halen. En er wordt met een extra paar ogen naar de mail gekeken. Check, check, dubbelcheck dus!
