ADVIES: Phishing voorkomen

Via internet zijn allerlei vertrouwelijke omgevingen benaderbaar. Voor burgers zijn dat bijvoorbeeld mailboxen, internetbankieren, Mijn Overheid, zorggegevens, etc.

Bij bedrijven is het alles van de financiële administratie tot de toegang op afstand tot het bedrijfsnetwerk (bijv. via VPN) en van het bewaken van productie-machines tot de bediening van sluizen en gemalen.

Veel van die gegevens zijn met enkel een username en password beveiligd. Het is logisch dat cybercriminelen proberen om die inloggegevens te bemachtigen. Vaak gebeurt dat via phishing: een bericht dat iemand probeert te verleiden om zijn inloggegevens in te vullen op een onveilige plek, zodat criminelen er gebruik van kunnen maken.

E-mail is een populair middel voor phishingpogingen. Bij burgers wordt er vaak gevraagd om snel in te loggen om dreigend onheil af te wenden. Denk aan mails van "ICS" om problemen met creditcards te voorkomen. De angst voor de dreigende negatieve gevolgen zorgt ervoor dan mensen minder alert zijn.

Naast de ongerichte variant van phishing, waarbij zo veel mogelijk e-mails worden verstuurd in de hoop dat er iemand bijt, is er ook een gerichtere variant: spearphishing. Bij deze techniek wordt er een op maat gemaakte, zeer geloofwaardige e-mail gestuurd naar een paar specifieke personen, om zo gericht belangrijke inloggegevens te krijgen. Die wordt vooral in bedrijfsomgevingen ingezet.

Grote schandalen zijn veroorzaakt door phishing. Denk aan de hack van de Democratische Partij in Amerika in 2016. Maar ook het Amerikaanse elektriciteitsnetwerk ligt al maanden onder vuur van Russische hackers, waarbij spearphishing één van de gebruikte technieken is.

Hoe herken je phishing?

  • Allereerst door het goed kijken naar het e-mailadres van de afzender. Klopt dat? Zo zal de Belastingdienst nooit mailen vanaf een e-mailadres dat niet eindigt op @belastingdienst.nl.
  • Vervolgens door het bekijken van de website waar men je naartoe probeert te sturen. Ga hiervoor op een computer met de muis boven het linkje hangen en kijk linksonder in het scherm. Daar staat vermeld waar je naartoe gestuurd wordt als je zou klikken.
    Bij telefoon of tablet kun je je vinger lang op de link houden. Dan komt er een pop-upmenu waarin de url van het linkje staat vermeld. Is dat een logische pagina?
  • Maar bij echt goede hackers zijn al deze zaken zeer geloofwaardig, waardoor het heel moeilijk is om de phishingpoging te ontmaskeren. Het veiligste is, om nooit in te loggen als je op een website bent gekomen via een link in een e-mail. Zet de belangrijkste websites in de favorieten en ga er via die weg heen.

Wat helpt tegen phishing?

Het belangrijkste wat een organisatie tegen ongeoorloofde toegang op een account door phishing kan doen, is het instellen van tweestapsverificatie. Daarmee is altijd nog een andere authenticatiemethode nodig, naast het invoeren van het password.

Tweestapsverificatie (ook wel twee factor authenticatie genoemd) kan met een app via de mobiele telefoon, zoals Google Authenticator of Duo. Maar er zijn ook externe apparaten beschikbaar, die als usb-stick of draadloos gebruikt kunnen worden, zoals de Yubikey of de Duo hardware token. Ten slotte is sms vaak een optie, waarbij de code via sms wordt opgestuurd. Echter, in de praktijk is het toesturen van een sms niet veilig genoeg.

De eigen apparatuur kan door middel van een cookie worden gezien als "vertrouwd", zodat alleen op vreemde computers alle codes moeten worden ingevoerd.

Voor burgers is het van belang tweestapsverificatie in te stellen bij in ieder geval: het standaard e-mailadres, de DigiD (bij voorkeur de app, niet de sms), eventuele cloudopslag en de wachtwoordbeheerder. Maar (afhankelijk van het belang van het account) ook Facebook, Twitter en andere social media.

Voor bedrijven geldt de noodzaak voor tweestapsverificatie nog meer. Door het op deze manier beveiligen van kwetsbare inlogopties, versterk je de veiligheid van de bedrijfsinfrastructuur.

Deel dit artikel: