Phishing is één van de aanvalsvormen van voorkeur bij cybercriminelen. Aanvallers in Oekraïne hebben het momenteel vooral gemunt op communicatie-infrastructuren.
Wat kan je doen om te voorkomen dat je slachtoffer wordt van een dergelijke aanval?
Stel jezelf bijvoorbeeld de volgende controlevragen bij het beantwoorden van e-mail:

1. Vertrouw ik de afzender en het onderwerp van de e-mail?  
2. Herken ik de link waar ik naartoe word geleid? 
3. Denk na voor je een bijlage opent. Verwacht of vertrouw je de bijlage niet? Open de bijlage dan niet en maak een melding bij de IT servicedesk of privacy officer.

Wees extra alert op bijlagen of linkjes in e-mails, zeker wanneer de afzender onbekend is. Open niets dat je verdacht vindt. Wil je meer weten? Lees dan onze 5 tips hieronder.

In de praktijk wordt er al veel onderschept, om te voorkomen dat je overspoeld wordt door foute e-mails. Phishing helemaal tegengaan is niet gemakkelijk, maar je kunt zeker een aantal stappen zetten om jezelf beter af te schermen.

Begin met de juiste instellingen van je spamfolder, zodat het leeuwendeel van de phishing-mails je inbox niet eens bereikt. En een goede virusscanner is ook een must. Maar zorg vooral dat je je e-mailadres niet zomaar overal achterlaat. Hoe vaker je je gegevens op willekeurige websites invult, hoe groter de kans dat ze in jouw inbox komen vissen.Maak daarom een gratis account aan, bijvoorbeeld in Gmail, speciaal voor alle websites waar je je ‘gewone’ email-adres niet wil achterlaten.

Een bank, verzekeraar of abonnementendienst zal nooit via e-mail (of telefonisch) vragen naar je burgerservicenummer of je pincode, bankrekening of creditcardnummer. Ook zullen je nooit met een hyperlink doorsturen naar een website waar je om beveiligingscodes wordt gevraagd, zeker niet via een SMS’je of social media.

Deel deze gegevens daarom nooit als er in een e-mail om gevraagd wordt. En neem bij twijfel altijd contact op met de betreffende partij alvorens ergens inhoudelijk op in te gaan – grote kans dat de boodschap niet van hen komt.

Phishing beperkt zich allang niet meer tot e-mailverkeer alleen, dus wees ook bij je andere online gewoontes op de hoede. Kwaadaardige URL’s en linkjes die je om de tuin willen leiden zijn net zo goed op websites te vinden (“Je bent onze 1.000.000ste bezoeker, klik & win!”) en worden bovendien steeds vaker ook via social media verspreid.

Op Facebook en zeker via SMS/WhatsApp zijn fraudeurs doorgaans zelfs effectiever, omdat internetgebruikers daar eerder geneigd zijn een link te volgen dan in een dubieuze e-mail van een onbekende afzender. Zeker wanneer dat bericht van een bekende lijkt te komen. Klik dus ook elders op internet niet zomaar op een linkje!

Lees ook: tweefactorverificatie voor WhatsApp

Je kent dat wel: het lijkt allemaal te kloppen, maar toch voelt er iets raar. De boodschap is niet helemaal relevant, de betreffende persoon of instantie zou iets nooit zodanig formuleren, de toon is niet in orde – et cetera. Als een mailtje niet ‘pluis’ voelt, dan is het waarschijnlijk ook niet pluis. Kortom: als je twijfelt, is dat vaak terecht.

Check vervolgens de zogenaamde ‘red flags’ waar je een phishing-mail aan kunt herkennen: een vreemd e-mailadres van de afzender, een overdreven (positieve) boodschap, een vorm van druk of dreiging, veel taalfouten of rare vertalingen, een merkwaardige URL onder een linkje of een afwijkende, onpersoonlijke aanhef. Onzeker? Ga gewoon rechtstreeks (niet via de e-mail) naar de website van de afzender om de waarheid te achterhalen. En onthoud: te mooi om waar te zijn is vaak te mooi om waar te zijn!

Natuurlijk kan het gebeuren dat je een keer op een linkje klikt, of een bijlage opent. Zo zien we in de praktijk dat werknemers rond de lunch (‘snel alles afmaken’) gevoeliger zijn voor phishing, en ook aan het einde van de werkdag minder bedacht zijn op de risico’s. Zorg in dat geval altijd dat je het direct meldt bij de helpdesk of anderzijds bij de juiste collega van de IT-afdeling.

Hoe sneller je handelt, hoe groter de kans dat de schade van bijvoorbeeld ransomware beperkt kan worden. En doe dat vooral ook als je niét geklikt hebt – het levert een waardevolle waarschuwing voor collega’s op.

Zorg als organisatie dat je digitale weerbaarheid op orde is. Het NCSC adviseert hiervoor in ieder geval deze basismaatregelen op te volgen. We zetten ze onderstaand ook op een rij.

Daarnaast biedt het NCSC hieronder aanvullende adviezen voor de korte termijn;

• met welke digitale aanvallen moet ik rekening houden?
• wat kan ik op korte termijn doen?
• hoe te handelen in geval van een incident?

Het NCSC blijft de situatie nauwgezet monitoren en zal relevante informatie en adviezen blijven delen. De tijdlijn en adviezen worden regelmatig geüpdatet.

Je vindt de volledige NCSC handreiking met basismaatregelen via deze link.