Hoe geld en persoonlijke gegevens op internet te beschermen

2024 Auteur: Malcolm Clapton | [email protected]. Laatst gewijzigd: 2023-12-17 04:06

Hoe beter u geïnformeerd bent, hoe moeilijker het is om u te misleiden. Hier vindt u alles wat u moet weten over phishing met Microsoft.

Vind nog meer tips over hoe u uzelf kunt beschermen tegen digitale bedreigingen.

Wat is phishing en hoe gevaarlijk is het?

Phishing is een veelvoorkomende vorm van cyberfraude met als doel het compromitteren en kapen van accounts, het stelen van creditcardgegevens of andere vertrouwelijke informatie.

Meestal gebruiken cybercriminelen e-mail: ze sturen bijvoorbeeld brieven namens een bekend bedrijf en lokken gebruikers naar zijn nepwebsite onder het voorwendsel van een winstgevende promotie. Het slachtoffer herkent de nep niet, voert de login en het wachtwoord van zijn account in en dus draagt de gebruiker zelf de gegevens over aan de oplichters.

Iedereen kan lijden. Geautomatiseerde phishing-e-mails zijn meestal gericht op een breed publiek (honderdduizenden of zelfs miljoenen adressen), maar er zijn ook aanvallen gericht op een specifiek doelwit. Meestal zijn deze doelen topmanagers of andere werknemers die bevoorrechte toegang hebben tot bedrijfsgegevens. Deze gepersonaliseerde phishing-strategie wordt walvisvangst genoemd, wat zich vertaalt als "walvissen vangen".

De gevolgen van phishing-aanvallen kunnen verwoestend zijn. Fraudeurs kunnen uw persoonlijke correspondentie lezen, phishingberichten sturen naar uw kring van contacten, geld opnemen van bankrekeningen en doorgaans in brede zin namens u optreden. Als u een bedrijf runt, is het risico nog groter. Phishers zijn in staat bedrijfsgeheimen te stelen, gevoelige bestanden te vernietigen of de gegevens van uw klanten te lekken, waardoor de reputatie van het bedrijf wordt beschadigd.

Volgens het Phishing Activity Trends Report van de Anti-Phishing Working Group ontdekten cyberbeveiligingsexperts alleen al in het laatste kwartaal van 2019 meer dan 162.000 frauduleuze websites en 132.000 e-mailcampagnes. Gedurende deze tijd zijn ongeveer duizend bedrijven van over de hele wereld het slachtoffer geworden van phishing. Het valt nog te bezien hoeveel aanvallen niet werden gedetecteerd.

Evolutie en soorten phishing

De term "phishing" komt van het Engelse woord "fishing". Dit soort zwendel lijkt echt op vissen: de aanvaller gooit het aas in de vorm van een nepbericht of link en wacht tot gebruikers bijten.

Maar in het Engels wordt phishing iets anders gespeld: phishing. De digraph ph wordt gebruikt in plaats van de letter f. Volgens één versie is dit een verwijzing naar het woord nep ("bedrieger", "oplichter"). Aan de andere kant - naar de subcultuur van vroege hackers, die phreakers ("phreakers") werden genoemd.

Er wordt aangenomen dat de term phishing voor het eerst publiekelijk werd gebruikt in het midden van de jaren negentig bij Usenet-nieuwsgroepen. Op dat moment lanceerden oplichters de eerste phishing-aanvallen op klanten van de Amerikaanse internetprovider AOL. De aanvallers stuurden berichten met het verzoek om hun referenties te bevestigen, waarbij ze zich voordeden als werknemers van het bedrijf.

Met de ontwikkeling van internet zijn er nieuwe soorten phishing-aanvallen verschenen. Fraudeurs begonnen hele websites te vervalsen en beheersten verschillende kanalen en communicatiediensten. Tegenwoordig zijn dergelijke vormen van phishing te onderscheiden.

• E-mail phishing. Fraudeurs registreren een postadres dat lijkt op het adres van een bekend bedrijf of een kennis van het geselecteerde slachtoffer en sturen daar brieven mee. Tegelijkertijd kan een nepbrief, door de naam van de afzender, het ontwerp en de inhoud, bijna identiek zijn aan het origineel. Alleen binnenin is er een link naar een nepsite, geïnfecteerde bijlagen of een direct verzoek om vertrouwelijke gegevens te verzenden.
• Sms-phishing (smishing). Dit schema is vergelijkbaar met het vorige, maar sms wordt gebruikt in plaats van e-mail. De abonnee ontvangt een bericht van een onbekend (meestal kort) nummer met een verzoek om vertrouwelijke gegevens of met een link naar een nepsite. Een aanvaller kan zich bijvoorbeeld voorstellen als bank en de verificatiecode opvragen die u eerder heeft ontvangen. Oplichters hebben de code zelfs nodig om uw bankrekening te hacken.
• Phishing op sociale media. Met de verspreiding van instant messengers en sociale media hebben ook deze kanalen phishing-aanvallen overspoeld. Aanvallers kunnen contact met u opnemen via valse of gecompromitteerde accounts van bekende organisaties of uw vrienden. Anders verschilt het principe van de aanval niet van de vorige.
• Telefoon phishing (vishing). Oplichters zijn niet beperkt tot sms-berichten en kunnen u bellen. Meestal wordt hiervoor internettelefonie (VoIP) gebruikt. De beller kan zich bijvoorbeeld voordoen als een medewerker van de ondersteuningsdienst van uw betalingssysteem en gegevens opvragen om toegang te krijgen tot de portemonnee - zogenaamd ter verificatie.
• Zoek phishing. U kunt phishing rechtstreeks in de zoekresultaten tegenkomen. Het volstaat om op de link te klikken die naar de nepsite leidt en er persoonlijke gegevens op achter te laten.
• Pop-up phishing. Aanvallers gebruiken vaak pop-ups. Als u een twijfelachtige bron bezoekt, ziet u mogelijk een banner die een of ander voordeel belooft - bijvoorbeeld kortingen of gratis producten - namens een bekend bedrijf. Door op deze link te klikken, wordt u naar een site geleid die wordt beheerd door cybercriminelen.
• Landbouw. Niet direct gerelateerd aan phishing, maar landbouw is ook een veel voorkomende aanval. In dit geval vervalst de aanvaller de DNS-gegevens door de gebruiker automatisch om te leiden in plaats van de originele sites naar de valse. Het slachtoffer ziet geen verdachte berichten en banners, wat de effectiviteit van de aanval vergroot.

Phishing blijft zich ontwikkelen. Microsoft sprak over nieuwe technieken die zijn anti-phishing-service Microsoft 365 Advanced Threat Protection ontdekte in 2019. Oplichters hebben bijvoorbeeld geleerd kwaadaardig materiaal beter te verbergen in zoekresultaten: legitieme links worden bovenaan weergegeven, die de gebruiker via meerdere omleidingen naar phishing-sites leiden.

Bovendien begonnen cybercriminelen automatisch phishing-links en exacte kopieën van e-mails te genereren op een kwalitatief nieuw niveau, waardoor ze gebruikers effectiever konden misleiden en beveiligingsmaatregelen konden omzeilen.

Microsoft heeft op zijn beurt geleerd nieuwe bedreigingen te identificeren en te blokkeren. Het bedrijf heeft al zijn kennis van cybersecurity gebruikt om het Microsoft 365-pakket te creëren. Het biedt de oplossingen die u nodig heeft voor uw bedrijf en zorgt er tegelijkertijd voor dat uw informatie effectief wordt beschermd, ook tegen phishing. Microsoft 365 Advanced Threat Protection blokkeert kwaadaardige bijlagen en mogelijk schadelijke koppelingen in e-mails, detecteert ransomware en andere bedreigingen.

Hoe u uzelf kunt beschermen tegen phishing

Verbeter uw technische geletterdheid. Zoals het gezegde luidt: wie gewaarschuwd is, is gewapend. Bestudeer zelf informatiebeveiliging of raadpleeg experts voor advies. Alleen al het hebben van een gedegen kennis van de basisprincipes van digitale hygiëne kan u veel problemen besparen.

Doe voorzichtig. Volg geen links of open bijlagen in brieven van onbekende gesprekspartners. Controleer zorgvuldig de contactgegevens van de afzenders en de adressen van de sites die u bezoekt. Reageer niet op verzoeken om persoonlijke informatie, zelfs niet als het bericht er geloofwaardig uitziet. Als een vertegenwoordiger van het bedrijf u om informatie vraagt, is het beter om hun callcenter te bellen en de situatie te melden. Klik niet op pop-ups.

Gebruik wachtwoorden verstandig. Gebruik voor elk account een uniek en sterk wachtwoord. Abonneer u op services die gebruikers waarschuwen als wachtwoorden voor hun accounts op het web verschijnen en verander onmiddellijk de toegangscode als deze gecompromitteerd blijkt te zijn.

Stel multi-factor authenticatie in. Deze functie beveiligt bovendien het account, bijvoorbeeld met eenmalige wachtwoorden. In dit geval moet u elke keer dat u zich aanmeldt bij uw account vanaf een nieuw apparaat, naast het wachtwoord, een code van vier of zes tekens invoeren die u via sms is toegestuurd of in een speciale applicatie is gegenereerd. Het lijkt misschien niet erg handig, maar deze aanpak beschermt je tegen 99% van de veelvoorkomende aanvallen. Immers, als fraudeurs het wachtwoord stelen, kunnen ze nog steeds niet binnen zonder verificatiecode.

Gebruik wachtwoordloze inlogfaciliteiten. In die diensten moet u, waar mogelijk, het gebruik van wachtwoorden volledig afschaffen en vervangen door hardwarebeveiligingssleutels of authenticatie via een applicatie op een smartphone.

Gebruik antivirussoftware. Een up-to-date antivirusprogramma helpt je computer gedeeltelijk te beschermen tegen malware die omleidt naar phishingsites of die logins en wachtwoorden steelt. Maar onthoud dat uw belangrijkste bescherming nog steeds de naleving van de digitale hygiëneregels en de naleving van aanbevelingen voor cyberbeveiliging is.

Als u een bedrijf runt

De volgende tips zijn ook nuttig voor bedrijfseigenaren en bedrijfsleiders.

Train medewerkers. Leg aan ondergeschikten uit welke berichten ze moeten vermijden en welke informatie niet via e-mail en andere communicatiekanalen moet worden verzonden. Werknemers verbieden zakelijke post voor persoonlijke doeleinden te gebruiken. Instrueer ze hoe ze met wachtwoorden moeten werken. Denk ook aan een bewaarbeleid voor berichten: om veiligheidsredenen kun je berichten die ouder zijn dan een bepaalde periode verwijderen.

Training phishing-aanvallen uitvoeren. Als u de reactie van uw medewerkers op phishing wilt testen, kunt u een aanval faken. Registreer bijvoorbeeld een postadres dat vergelijkbaar is met het uwe, en stuur vanaf dat adres brieven naar ondergeschikten met het verzoek u vertrouwelijke gegevens te verstrekken.

Kies voor een betrouwbare postdienst. Gratis e-mailproviders zijn te kwetsbaar voor zakelijke communicatie. Bedrijven moeten alleen veilige zakelijke diensten kiezen. Zo hebben gebruikers van de Microsoft Exchange-mailservice, die deel uitmaakt van de Microsoft 365-suite, uitgebreide bescherming tegen phishing en andere bedreigingen. Om fraudeurs tegen te gaan, analyseert Microsoft elke maand honderden miljarden e-mails.

Huur een cybersecurity-expert in. Als uw budget het toelaat, zoek dan een gekwalificeerde professional die permanente bescherming biedt tegen phishing en andere cyberbedreigingen.

Wat te doen als u het slachtoffer bent van phishing?

Als er reden is om aan te nemen dat uw gegevens in verkeerde handen zijn gevallen, handel dan direct. Controleer uw apparaten op virussen en wijzig accountwachtwoorden. Informeer de bankmedewerkers dat uw betalingsgegevens mogelijk zijn gestolen. Informeer zo nodig klanten over het mogelijke lek.

Om te voorkomen dat dergelijke situaties zich herhalen, kiest u voor betrouwbare en moderne samenwerkingsdiensten. Producten met ingebouwde beveiligingsmechanismen zijn het meest geschikt: het werkt zo gemakkelijk mogelijk en u hoeft geen risico te lopen op digitale veiligheid.

Microsoft 365 bevat bijvoorbeeld een reeks slimme beveiligingsfuncties, waaronder het beschermen van accounts en aanmeldingen tegen compromissen met een ingebouwd risicobeoordelingsmodel, wachtwoordloze of multi-factor authenticatie waarvoor geen extra licenties nodig zijn.

Daarnaast biedt de dienst dynamische toegangscontrole met risicobeoordeling en rekening houdend met een breed scala aan voorwaarden. Microsoft 365 bevat ook ingebouwde automatisering en gegevensanalyse, en stelt u ook in staat om apparaten te bedienen en informatie te beschermen tegen lekkage.