Wat te doen bij phishing in uw bedrijf?

Phishing kan aardig wat schade aanrichten binnen een bedrijf. Bij deze vorm van cybercriminaliteit doet een hacker zich voor als een betrouwbare bron om zo gevoelige informatie van een slachtoffer te stelen. Cybercriminelen kunnen uw bedrijfsnaam ook gebruiken om anderen op te lichten. Welke vormen van phishing zijn er? Hoe gaat u als ondernemer om met phishing? Wie loopt het meeste risico? Lees in dit artikel wat te doen bij phishing.

Phishing, smishing, spear phishing: wat houdt het allemaal in? En, belangrijker: wat moet u doen als het u overkomt? Dit verhaal legt het uit. Lees meer over security en wat u kunt doen. Lees ook over ransomwarephishingDDoS-aanvallen en datalekken of over de nieuwste cybercrime trends en IT-beveiliging.

Voorbeelden van phishing

De term ‘phishing’ is een verzamelnaam voor alle methoden die cybercriminelen gebruiken om gegevens te stelen of toegang te krijgen tot een netwerk of apparaat. Uw bedrijf loopt niet alleen risico om slachtoffer te worden van phishing, het kan ook gebeuren dat een hacker uw (bedrijfs)naam gebruikt om anderen op te lichten. De meeste mensen denken bij phishing meteen aan een e-mail met een link naar een valse website, maar er zijn veel meer tactieken. Wij zetten de belangrijkste voorbeelden van phishing voor u op een rij.

De taktieken van de phishing-aanvallen

Phishing via e-mail - in de meeste gevallen bevat de nepmail een bijlage of een link naar een onveilige omgeving, waar hackers proberen (zakelijke) gegevens te stelen. Hackers kunnen uw bedrijfsnaam misbruiken voor zo’n phishing e-mail.

Sms of whatsapp phishing - dit wordt ook wel smishing genoemd. De aanvaller gebruikt dan een tekstbericht via sms of whatsapp met een link naar een valse website.

Phishing via telefoon - als iemand telefonisch probeert gevoelige gegevens los te peuteren dan spreken we van vishing. Dit staat voor voice-phishing.

Spear phishing - bij deze gespecialiseerde vorm van phishing richten hackers zich op één specifiek slachtoffer. De aanvaller is vaak goed voorbereid en doet zich voor als een collega of klant.

CEO-fraude - een specifiek voorbeeld van spear phishing waarbij cybercriminelen zich voordoen als leidinggevende om medewerkers te overtuigen dat ze direct actie moeten ondernemen. Dit is een vorm van zakelijke identiteitsfraude.

Whaling - een gespecialiseerde vorm van spear phishing waarbij de hacker zich richt op de grootste vissen binnen een organisatie.

Angler phishing - hackers doen zich voor als een servicemedewerker die de klant wil helpen, bijvoorbeeld via social media. Op die manier proberen ze gevoelige informatie los te krijgen.

Phishing

Welke gegevens worden gestolen bij phishing?

In de meeste gevallen zijn cybercriminelen uit op geld. Soms proberen ze dit direct af te troggelen, bijvoorbeeld door het slachtoffer te overtuigen dat een factuur zo snel mogelijk betaald moet worden. Bij zakelijke phishing maken hackers hierbij gebruik van CEO-fraude: vanuit de naam van een leidinggevende vragen ze een medewerker om zo snel mogelijk een factuur te betalen.

In andere gevallen zijn criminelen uit op gegevens. Denk hierbij aan wachtwoorden, pincodes, beveiligingscodes, rekeningnummers of persoonsgegevens. Via een nepmail en nepwebsite vragen ze om gegevens in te vullen of installeren ze stiekem kwaadaardige software op uw computer, tablet of smartphone waarmee ze informatie kunnen uitlezen. Voor een bedrijf staan dan niet alleen eigen gegevens op het spel, maar ook persoonsgegevens van medewerkers, samenwerkingspartners, leveranciers en klanten.

Streamer: “Zijn er wachtwoorden of andere inloggegevens gestolen? Wijzig deze gegevens dan direct. Let op! Worden bepaalde wachtwoorden op meerdere plekken gebruikt? Pas deze dan overal aan."

Zakelijke phishing voorkomen

Om phishing binnen uw bedrijf te voorkomen is het verstandig om medewerkers te informeren over de risico’s. De belangrijkste regel: klik nooit op een link en open nooit een bijlage die u niet verwacht of vertrouwt.

Wat te doen met phishing mail?

Allereerst is het belangrijk een nepmail te herkennen. Lees daarvoor ook het artikel: 'Hoe herkent u een zakelijke phishingmail?'
 
Heeft uw bedrijf een phishingmail ontvangen, volg dan de volgende stappen:

  1. Informeer medewerkers over de phishingmail en vraag ze de e-mail per direct ongeopend te verwijderen. Zo verkleint u de kans dat iemand per ongeluk op een link klikt.
  2. Maak een melding bij meldpunt phishing: de Fraudehelpdesk. Op de website vindt u ook een overzicht van actuele valse e-mails.
  3. Stuur de mail door naar de organisatie waarvan de identiteit is gebruikt, zodat zij ook op de hoogte zijn van de zakelijke identiteitsfraude. Zoek hiervoor een algemeen e-mailadres op via de website. 

Wat te doen bij whatsapp phishing of phishing via sms?

Krijgt u een onverwacht tekstbericht van een organisatie met een link erin? Klik nooit zomaar op zo’n link! Volg deze stappen:

  1. Probeer te achterhalen of het wel echt de organisatie is die contact zoekt. Zoek het telefoonnummer van de organisatie op via een andere bron (bijvoorbeeld het internet) en bel naar dit nummer om te vragen of het tekstbericht daadwerkelijk bij hen vandaan komt.
  2. Weet de organisatie van niets? Meld dan de zakelijke identiteitsfraude.
  3. Informeer medewerkers over het valse tekstbericht en waarschuw dat ze niet op de link moeten klikken.
  4. Maak een melding bij meldpunt phishing: de Fraudehelpdesk
Phishing

Waarschuwingsverplichting phishing

Bedrijven met een bijzondere zorgplicht (zoals banken) hebben een waarschuwingsverplichting als het aankomt op phishing. Niet alleen als hun bedrijfsnaam daadwerkelijk wordt misbruikt door hackers, maar ook in het algemeen wordt van hen verwacht dat ze klanten waarschuwen voor phishing. Luister voor meer informatie hierover ook de BNR-podcast “Wat doe je als jouw bedrijfsnaam wordt misbruikt voor phishing?”

CEO-fraude, whaling: waarom zijn leidinggevenden sneller slachtoffer?

Leidinggevenden hebben de meeste kans om in aanraking te komen met phishing. Hackers richten zich graag op de ‘grote vissen’ binnen een organisatie (whaling), omdat zij vaak toegang hebben tot vertrouwelijke gegevens. Ook kunnen hackers de naam van een leidinggevende gebruiken om bij gewone medewerkers iets gedaan te krijgen (CEO fraude). 

Ontvangt u een (spoed)mail van een leidinggevende met een heel andere toon dan je gewend bent? Benader je leidinggevende dan via een ander kanaal (bijvoorbeeld telefonisch) om er zeker van te zijn dat hij of zij de mail heeft gestuurd.

Bent u zelf leidinggevende en hebben cybercriminelen uw naam misbruikt? Informeer medewerkers en andere zakelijke contacten over het incident en vraag ze waakzaam te zijn. Kijk op de website van de Rijksoverheid voor de stappen die u moet zetten bij identiteitsfraude.

Geklikt op een valse link: wat te doen bij phishing?

Heeft een medewerker per ongeluk geklikt op een valse link of een schadelijke bijlage geopend? Na een phishing incident is het belangrijk om vast te stellen wat de schade is. Welke gegevens zijn gestolen? Zijn er betalingen gedaan? Maak een melding bij de ICT-afdeling en de financiële administratie, zodat zij kunnen vaststellen wat er precies aan de hand is. Hou hier rekening mee:

Wachtwoorden veranderen - Zijn er wachtwoorden of andere inloggegevens gestolen? Wijzig deze gegevens dan direct. Let op! Worden bepaalde wachtwoorden op meerdere plekken gebruikt? Pas deze dan overal aan.

Betalingen controleren en terugdraaienZijn er al ongewenste betalingen gedaan? Dan kunt u deze soms laten terugdraaien. Neem direct contact op met de bank of creditcardmaatschappij om de fraude te melden. Hou daarna het bankverkeer nauwlettend in de gaten.

Gevaarlijke software opsporen - Cybercriminelen maken vaak gebruik van malware. Deze gevaarlijke software kan uw apparaten beschadigen, dus laat uw ICT-afdeling controleren of er verdachte programma’s te vinden zijn op de computers en bedrijfssystemen. 

Persoonsgegevens controleren - Zijn er persoonsgegeven van klanten, leveranciers of medewerkers gestolen, gewijzigd of verwijderd? Dan is het sprake van een datalek. Een datalek moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. 

Informeer degene van wie de naam wordt gebruikt - Wanneer een cybercrimineel zich voordoet als een organisatie of een specifiek persoon binnen een organisatie, dan is het sprake van zakelijke identiteitsfraude. Informeer altijd degene waarvan de naam misbruik wordt. Het bedrijf krijgt zo de kans om medewerkers, partners en klanten extra alert te maken op mogelijk valse toenaderingen.

Meldpunt phishing

Heeft uw bedrijf nepmails of tekstberichten ontvangen, is uw bedrijf slachtoffer geworden van phishing of wordt jouw bedrijfsnaam misbruikt door cybercriminelen? Maak dan altijd een melding bij de Fraudehelpdesk

Aangifte doen bij de politie kan alleen op het politiebureau. Bel 0900 - 8844 om een afspraak te maken.

De Hackhelpdesk kan uw onderneming helpen als u (vermoedt dat u) gehackt bent.

Wat te doen bij phishing in uw bedrijf? Vodafone Business

Heeft u bedrijf alles in huis om u te beschermen tegen cyberaanvallen? Vodafone Business kan u helpen om alle schakels in uw bedrijf te beveiligen. 

Wat te doen bij phishing in uw bedrijf? Vodafone Business

Veilig Vooruit

Bescherm uw medewerkers, apparaten, locaties en verbindingen. 

BusinessScan

Advies over uw digitale oplossingen

Beter en veiliger samenwerken met uw medewerkers? Slimmer bereikbaar zijn? Doe de Business Scan en krijg binnen 5 minuten gratis en vrijblijvend ICT-advies voor uw bedrijf.

Onderwerpen