Actueel

22 januari 2019

Phishing bij cybercriminelen onverminderd populair: wees voorbereid

Het was ook in de laatste maanden van 2018 onmogelijk om nieuwsberichten over phishing te vermijden in de media. Vrijwel dagelijks verschenen er items over deze vervelende vorm van cyberfraude en de vaak nare gevolgen. Het meest opvallende bericht was het incident bij Pathé – dat maar liefst 19 miljoen euro kostte –, maar ook consumenten worden voortdurend getroffen.

Phishing blijft daarmee voor organisaties en voor consumenten een risico om rekening mee te houden. Hackers weten dat de beste manier om informatie te verkrijgen is er simpelweg naar te vragen.

Leestijd: 3 minuten

CEO-fraude bij Pathé

Phishing is niet hetzelfde als hacking. Het is een vorm van internetfraude waarbij criminelen door middel van trucs en creatieve methodes – zoals telefoontjes, namaak e-mails en andere vormen van social engineering – proberen om je verleiden tot het prijsgeven van informatie of het uitvoeren van financiële transacties.

Dat laatste ondervond bioscoopketen Pathé, toen een serie e-mails met geldverzoeken het bedrijf ruim 19 miljoen euro kostte. Gedurende meerdere weken werden de algemeen directeur en de financieel directeur bestookt met verzoeken van een fraudeursbende die zich voordeed als de bestuurder van het Franse hoofdkantoor. Er moest steeds met de nodige urgentie geld overgeboekt worden voor ‘een geheime overname van een bedrijf in Dubai’. Eerst zo’n 8 ton om de onderhandelingen te bespoedigen, later grotere bedragen voor onder meer ‘Communication and development’. Uiteindelijk is er 19.244.304 euro overgeboekt voordat de directie in Frankrijk aan de bel trekt, maar dan is het geld al spoorloos.

Het is van groot belang dat iedere organisatie voldoende maatregelen neemt om zich tegen deze vorm van fraude te wapenen, want er zijn bedrijven die wekelijks benaderd worden met dergelijke pogingen. Een onmisbare fail-safe is het invoeren van vaste procedures en richtlijnen, waarbij er geen enkele betaling aan een nieuw rekeningnummer uitgevoerd wordt zonder dat er uitgebreide controles aan vooraf gaan. Zo zijn ook fraudes met zogenaamd gewijzigde facturen van leveranciers of veranderde rekeningnummers van medewerkers te ondervangen.

Financiële fraude bij consumenten

CEO-fraude zoals bij Pathé is slechts één variant, maar zo’n 80 tot 90 procent van alle cyberaanvallen op bedrijven begint nog altijd met phishing. Het aantal gevallen waarbij individuele consumenten worden benaderd, is na een aantal jaren van daling bovendien weer toegenomen, zo hebben de politie en de vier grote banken ING, ABN Amro, Rabobank en SNS, laten weten.

De Nederlandse Vereniging van Banken meldde eerder dat de schade door fraude met internetbankieren de eerste helft van dit jaar meer dan verdubbeld was, van 679.000 euro in de tweede helft van 2017 naar 1,56 miljoen euro in tot juli 2018. Onder meer door de opkomst van kant-en-klare phishing-toolkits is het nog gemakkelijk voor criminelen om phishing-mails uit te sturen. Ook zouden de oplichters steeds creatiever worden en bijvoorbeeld inspelen op de actualiteit.

In de voorbije periode maakte de Fraudehelpdesk melding van phishing e-mails vanuit de Rabobank (‘klik hier om een nieuwe betaalpas aan te vragen’) en de ING (‘de versleuteling van uw ING Mobiel zal komen te vervallen’), maar ook van bedrijven als Bol.com, KPN en Videoland.

Dat niemand veilig is voor deze vorm van misbruik van namen van bedrijven en organisaties, bewees de Autoriteit Persoonsgegevens door op de eigen website een waarschuwing te publiceren omdat oplichters uit naam van de AP valse brieven versturen. De officiële toezichthouder van onze privacy heeft namelijk te maken met profiteurs die kwalijke nepbrieven versturen aan ondernemers. In de brief doen zij voorkomen dat ze medewerkers van de toezichthouder zelf zijn en een bedrijfsbezoek willen plannen. Ook intimideren ze met mogelijk hoge boetes en bieden ze tegen veel geld een waardeloze AVG-scan aan.

Social engineering

Phishing via e-mail blijft favoriet, want we worden steeds vaker benaderd met fraudepogingen via de digitale post. Deze pogingen worden bovendien steeds geavanceerder, want de e-mails worden niet alleen in grote aantallen naar potentiële slachtoffers gestuurd, maar ook steeds vaker op maat gemaakt.

Hackers bestuderen bijvoorbeeld je social media om te achterhalen wat je bezighoudt, of waarmee ze je kunnen bereiken. Fraudeurs doen zich voor als een vertrouwde instantie, zoals je bank of LinkedIn, of als een bekende klant of relatie uit je netwerk, zoals in het geval van Pathé. Via een valse e-mail proberen ze op slinkse wijze je wachtwoord, creditcardgegevens of andere vertrouwelijke gegevens te achterhalen, of zelfs direct een financiële transactie in gang te zetten.

Phishing simulatie Awareways

Wil je beter inzicht in het klikgedrag van jouw medewerkers, maar ook een concrete aanpak om ze weerbaar te maken tegen de dreigingen van phishing? De aanpak van Awareways gaat veel verder dan monitoring alleen, want onze expertise is gedragsverandering, dus dat moment van wel of niet klikken is voor ons pas de start. We beschikken over eigen phishing simulatiesoftware die medewerkers doorlopend en proactief traint. Kijk op awareways.com/phishing en informeer naar onze mogelijkheden.

Wil je meer weten over onze visie of aanpak, of benieuwd naar andere informatie? Neem dan contact op met Arthur Timmerman.