Hoe kunnen u en uw werknemers e-mailfraude herkennen?

Werknemers opleiden om de gevaren van social engineering te herkennen is één van de belangrijkste manieren om vertrouwelijke bedrijfsinformatie te beschermen.

Phishing en Cyberspionage

Informatiedieven gebruiken vormen van social engineering zoals phishing en pretexting om mensen te misleiden zodat ze vertrouwelijke informatie geven en/of kwaadaardige software installeren.

• Soms wordt geprobeerd mensen op te lichten via de telefoon, maar het vaakst gebeurt het via valse e-mails.
• Heel wat gegevensinbreuken zijn vermoedelijk het gevolg van oplichting met behulp van social engineering.

Volgens een rapport dat in 2015 door Verizon werd gepubliceerd over gegevensinbreuken, speelden phishing-aanvallen een rol in meer dan twee derden van de gevallen van cyberspionage in de afgelopen drie jaar. Uit het onderzoek bleek dat meer dan 23% van de ontvangers phishing-mails opent en dat 11% zelfs de bijlagen opent.

Over de hele wereld worden nog altijd heel wat computers besmet met malware. De Anti-Phishing Working Group (APWG) berekende dat wereldwijd in 2015 op elk moment ongeveer 33% van de computers besmet was.

Beveiligingsprogramma voor uw bedrijfsinformatie

Om zichzelf te beschermen moeten bedrijven een uitgebreid informatiebeveiligingsprogramma hebben, gecombineerd met technologie die inkomende e-mails onderschept, zoals firewalls, antivirussoftware en content filtering. Voor financiële transacties kan een procedure worden ingevoerd zodat op meerdere niveaus een goedkeuring moet worden gegeven. Sommige bedrijven maken gebruik van phishing-tests met social engineering om zwaktes bij de werknemers te identificeren en met oplossingen te komen.

Even belangrijk als deze veiligheidsmaatregelen, is te zorgen dat werknemers op de hoogte zijn van social engineering zodat ze pogingen met deze vorm van oplichting kunnen verwijderen of negeren.

Geef werknemers tijdens veiligheidsopleidingen informatie over de risico's die verbonden zijn met het delen van persoonlijke gegevens en bedrijfsinformatie via het internet. Zorg ook voor geheugensteuntjes op het werk (posters, berichten in de nieuwsbrief, enz.) zodat iedereen phishing altijd op het netvlies heeft staan.

Enkele waarschuwingssignalen voor social engineering

• Afzender: het is een waarschuwingssignaal als de afzender een persoon of organisatie is die niet bekend is. Bedenk wel dat cybercriminelen steeds vaker sociale media gebruiken om aanvallen uit te voeren. Ze maken bijvoorbeeld valse LinkedIn-profielen aan om werknemers te bereiken die voor een specifiek bedrijf werken.
• Onderwerp: hoe relevant is de onderwerpregel? Het onderwerp moet logisch zijn of passen bij de inhoud. Als wordt verwezen naar een vraag die nooit werd gesteld door de ontvanger, dan is dat een waarschuwingssignaal.
• Andere ontvangers: een e-mail ontvangen die tegelijk ook naar andere mensen is gestuurd die u niet kent.
• Inhoud: spelfouten, ongebruikelijke zinnen, slechte grammatica en provocerende inhoud zijn allemaal waarschuwingssignalen. Een verzoek om antivirussoftware te installeren kan een kwaadaardig programma zijn.
• Bijlagen: in het geval van een oplichtingspoging via e-mail wordt de ontvanger soms gevraagd een bijlage te openen. Controleer of de bijlage werd verwacht en of de afzender normaal gezien dit soort bijlagen verstuurt.
• Hyperlinks: wanneer u als ontvanger wordt gevraagd een link aan te klikken, is dat een waarschuwingssignaal. Eén van de manieren om de link te controleren, is door er met de muiscursor over te zweven en na te gaan of het adres correct is.

Zorg dat u en uw werknemers op de hoogte zijn van de gevaren van social engineering.