Het Ministerie voor Justitie en Veiligheid waarschuwt voor e-mails die zogenaamd door de Rijksoverheid zijn verstuurd. In deze valse e-mails wordt het slachtoffer verteld dat hij of zij "in aanmerking komt voor een terugbetaling op de jaarlijkse verzekeringskosten". In werkelijkheid gaat het om phishing-mails waarmee criminelen proberen geld te stelen. De timing van de e-mails is cruciaal, omdat veel mensen verwachten bericht te krijgen vanuit de overheid over hun jaarlijkse belastingaangifte.
Adenike Cosgrove, Cybersecurity Strategist EMEA, bij Proofpoint geeft haar visie over phishing, social engineering en het belang van cybersecurity-training.
"Cybercriminelen blijven zich met behulp van social engineering richten op mensen, in plaats van op infrastructuur. En volgens ons meest recente State of the Phish-rapport blijft e-mail de favoriete aanvalsmethode van cybercriminelen. 83% van de respondenten gaf aan dat hun organisatie in 2021 ten minste één succesvolle phishing-aanval via e-mail heeft meegemaakt, een stijging van 57% ten opzichte van 2020. Aanvallers spelen in op trends en wat er ook maar in het nieuws is, om zo de kans op succes te vergroten. In het geval van de valse e-mails van de Rijksoverheid in Nederland is dat niet anders. In dit geval ligt de nadruk op terugbetalingen van verzekeringen of belastingen, waar veel Nederlanders en bedrijven in deze tijd van het jaar al op zitten te wachten.
Cybercriminelen worden ook steeds geraffineerder in hun aanvallen en kopiëren logo's en taal van organisaties om de authenticiteit te verhogen. In dit geval is het logo van de Rijksoverheid prominent aanwezig in de e-mail en komt de stijl overeen met een typische brief van de Nederlandse overheid - met slechts een paar taalkundige inconsistenties. Aanvallers passen social engineering toe om mensen te overtuigen op een link te klikken of een bijlage te openen.
Dit onderstreept hoe belangrijk het is om gebruikers te leren schadelijke e-mail te herkennen en te melden. Gebruikers vormen een kritieke verdedigingslinie tegen phishing en voorlichting over beveiligingsbewustzijn biedt een basis om ervoor te zorgen dat iedereen een phishing-e-mail kan herkennen en gemakkelijk kan melden. Regelmatige training en gesimuleerde aanvallen kunnen veel aanvallen stoppen en helpen om mensen te identificeren die extra kwetsbaar zijn. De beste simulaties bootsen aanvalstechnieken uit de echte wereld na. Gebruikers en organisaties moeten waakzaam zijn via alle communicatiekanalen, niet alleen via e-mail of sms, maar ook via traditionele post, telefoongesprekken en interne systemen."