'Organisaties kunnen zélf ook veel doen om phishingmails te voorkomen' is een expertquote van Santosh Sharman, Kiwa,naar aanleiding van het bericht van de NOS: 'Vitale infrastructuur doet te weinig tegen namaakmailtjes'
Banken, nutsbedrijven, overheden en andere vitale organisaties doen te weinig om phishingmails tegen te gaan. Dat constateerde televisieprogramma Zembla onlangs. Volgens Zembla kunnen nog altijd veel te eenvoudig e-mails worden nagebootst die afkomstig lijken te zijn van de domeinen van deze bedrijven. Uit onderzoek dat Zembla uitvoerde met de Internet Cleanup Foundation bleek dat bijna de helft van de honderd onderzochte organisaties hun zaken niet goed op orde hadden. Maar hoe werkt phishing nou precies? En wat kunnen organisaties doen om te voorkomen dat klanten uit hún naam worden gespoofd?
De basis onder een phishing-aanval is doorgaans een door de aanvallers opgezette spoofing (nagemaakte) website die als twee druppels lijkt op de website van een legitiem bedrijf. Vervolgens wordt er een phishing mail (of spoof mail) naar gebruikers of klanten van dit bedrijf gestuurd. Deze mail ziet eruit alsof deze afkomstig is van het legitieme bedrijf. In de mail wordt meestal gevraagd om op een link te klikken die leidt naar de nagemaakte spoofing website. Doel hiervan is om gevoelige informatie van klanten of gebruikers van een bedrijf te bemachtigen. Denk daarbij aan credit card info, inloggegevens, etc.
Maar wat kunnen organisaties proactief doen om dit te voorkomen?
- E-mailspoofing zo moeilijk mogelijk maken. Dit kan bijvoorbeeld door gebruik te maken van verificatie- en authenticatieprotocollen als DMARC, SPF en DKIM die in de basis de legitimiteit van mails checken.
- Zelf actief op zoek gaan naar spoofing websites en ervoor zorgen dat die worden weggehaald. Phishing mails hebben weinig zin als ze niet kunnen ‘landen’ op een website.
- Informeer klanten als er een spoofing website wordt ontdekt. Waarschuw tegen phishing-gevaar en zorg ervoor dat klanten weten dat het bedrijf nooit via mail zal vragen om gevoelige informatie. Bied klanten ook de mogelijkheid om spoofing-aanvallen te melden!
- Overspoel zélf de spoofing websites met ‘dummy-info’. Als de aanvallers dan aan de slag gaan met de informatie weten ze niet wat welke gegevens afkomstig zijn van uw klanten en welke van uw eigen anti-phishing-team.
Phishing-aanvallen zijn een hardnekkig probleem, een continue strijd met steeds slimmere cybercriminelen waarbij standaarden, protocollen, periodieke checks én gezond verstand de wapens zijn. Concrete voorbeelden van deze wapens zijn audits volgens internationaal geaccepteerde standaarden, ketenbrede samenwerking met andere stakeholders en securitychecks als penetratietesten en vulnerability assessments.