Wat te doen bij phishing in uw bedrijf?

De term ‘phishing’ is een verzamelnaam voor alle methoden die cybercriminelen gebruiken om gegevens te stelen of toegang te krijgen tot een netwerk of apparaat. Uw bedrijf loopt niet alleen risico om slachtoffer te worden van phishing, het kan ook gebeuren dat een hacker uw (bedrijfs)naam gebruikt om anderen op te lichten. De meeste mensen denken bij phishing meteen aan een e-mail met een link naar een valse website, maar er zijn veel meer tactieken. Wij zetten de belangrijkste voorbeelden van phishing voor u op een rij.

Phishing via e-mail - in de meeste gevallen bevat de nepmail een bijlage of een link naar een onveilige omgeving, waar hackers proberen (zakelijke) gegevens te stelen. Hackers kunnen uw bedrijfsnaam misbruiken voor zo’n phishing e-mail.

Sms of whatsapp phishing - dit wordt ook wel smishing genoemd. De aanvaller gebruikt dan een tekstbericht via sms of whatsapp met een link naar een valse website.

Phishing via telefoon - als iemand telefonisch probeert gevoelige gegevens los te peuteren dan spreken we van vishing. Dit staat voor voice-phishing.

Spear phishing - bij deze gespecialiseerde vorm van phishing richten hackers zich op één specifiek slachtoffer. De aanvaller is vaak goed voorbereid en doet zich voor als een collega of klant.

CEO-fraude - een specifiek voorbeeld van spear phishing waarbij cybercriminelen zich voordoen als leidinggevende om medewerkers te overtuigen dat ze direct actie moeten ondernemen. Dit is een vorm van zakelijke identiteitsfraude.

Whaling - een gespecialiseerde vorm van spear phishing waarbij de hacker zich richt op de grootste vissen binnen een organisatie.

Angler phishing - hackers doen zich voor als een servicemedewerker die de klant wil helpen, bijvoorbeeld via social media. Op die manier proberen ze gevoelige informatie los te krijgen.

In de meeste gevallen zijn cybercriminelen uit op geld. Soms proberen ze dit direct af te troggelen, bijvoorbeeld door het slachtoffer te overtuigen dat een factuur zo snel mogelijk betaald moet worden. Bij zakelijke phishing maken hackers hierbij gebruik van CEO-fraude: vanuit de naam van een leidinggevende vragen ze een medewerker om zo snel mogelijk een factuur te betalen.

In andere gevallen zijn criminelen uit op gegevens. Denk hierbij aan wachtwoorden, pincodes, beveiligingscodes, rekeningnummers of persoonsgegevens. Via een nepmail en nepwebsite vragen ze om gegevens in te vullen of installeren ze stiekem kwaadaardige software op uw computer, tablet of smartphone waarmee ze informatie kunnen uitlezen. Voor een bedrijf staan dan niet alleen eigen gegevens op het spel, maar ook persoonsgegevens van medewerkers, samenwerkingspartners, leveranciers en klanten.

Om phishing binnen uw bedrijf te voorkomen is het verstandig om medewerkers te informeren over de risico’s. De belangrijkste regel: klik nooit op een link en open nooit een bijlage die u niet verwacht of vertrouwt.

Allereerst is het belangrijk een nepmail te herkennen. Lees daarvoor ook het artikel: 'Hoe herkent u een zakelijke phishingmail?'
 
Heeft uw bedrijf een phishingmail ontvangen, volg dan de volgende stappen:

1. Informeer medewerkers over de phishingmail en vraag ze de e-mail per direct ongeopend te verwijderen. Zo verkleint u de kans dat iemand per ongeluk op een link klikt.
2. Maak een melding bij meldpunt phishing: de Fraudehelpdesk. Op de website vindt u ook een overzicht van actuele valse e-mails.
3. Stuur de mail door naar de organisatie waarvan de identiteit is gebruikt, zodat zij ook op de hoogte zijn van de zakelijke identiteitsfraude. Zoek hiervoor een algemeen e-mailadres op via de website. 
   

Krijgt u een onverwacht tekstbericht van een organisatie met een link erin? Klik nooit zomaar op zo’n link! Volg deze stappen:

1. Probeer te achterhalen of het wel echt de organisatie is die contact zoekt. Zoek het telefoonnummer van de organisatie op via een andere bron (bijvoorbeeld het internet) en bel naar dit nummer om te vragen of het tekstbericht daadwerkelijk bij hen vandaan komt.
2. Weet de organisatie van niets? Meld dan de zakelijke identiteitsfraude.
3. Informeer medewerkers over het valse tekstbericht en waarschuw dat ze niet op de link moeten klikken.
4. Maak een melding bij meldpunt phishing: de Fraudehelpdesk. 
   

Bedrijven met een bijzondere zorgplicht (zoals banken) hebben een waarschuwingsverplichting als het aankomt op phishing. Niet alleen als hun bedrijfsnaam daadwerkelijk wordt misbruikt door hackers, maar ook in het algemeen wordt van hen verwacht dat ze klanten waarschuwen voor phishing. Luister voor meer informatie hierover ook de BNR-podcast “Wat doe je als jouw bedrijfsnaam wordt misbruikt voor phishing?”

Leidinggevenden hebben de meeste kans om in aanraking te komen met phishing. Hackers richten zich graag op de ‘grote vissen’ binnen een organisatie (whaling), omdat zij vaak toegang hebben tot vertrouwelijke gegevens. Ook kunnen hackers de naam van een leidinggevende gebruiken om bij gewone medewerkers iets gedaan te krijgen (CEO fraude). 

Ontvangt u een (spoed)mail van een leidinggevende met een heel andere toon dan je gewend bent? Benader je leidinggevende dan via een ander kanaal (bijvoorbeeld telefonisch) om er zeker van te zijn dat hij of zij de mail heeft gestuurd.

Bent u zelf leidinggevende en hebben cybercriminelen uw naam misbruikt? Informeer medewerkers en andere zakelijke contacten over het incident en vraag ze waakzaam te zijn. Kijk op de website van de Rijksoverheid voor de stappen die u moet zetten bij identiteitsfraude.

Heeft een medewerker per ongeluk geklikt op een valse link of een schadelijke bijlage geopend? Na een phishing incident is het belangrijk om vast te stellen wat de schade is. Welke gegevens zijn gestolen? Zijn er betalingen gedaan? Maak een melding bij de ICT-afdeling en de financiële administratie, zodat zij kunnen vaststellen wat er precies aan de hand is. Hou hier rekening mee:

Wachtwoorden veranderen - Zijn er wachtwoorden of andere inloggegevens gestolen? Wijzig deze gegevens dan direct. Let op! Worden bepaalde wachtwoorden op meerdere plekken gebruikt? Pas deze dan overal aan.

Betalingen controleren en terugdraaien - Zijn er al ongewenste betalingen gedaan? Dan kunt u deze soms laten terugdraaien. Neem direct contact op met de bank of creditcardmaatschappij om de fraude te melden. Hou daarna het bankverkeer nauwlettend in de gaten.

Gevaarlijke software opsporen - Cybercriminelen maken vaak gebruik van malware. Deze gevaarlijke software kan uw apparaten beschadigen, dus laat uw ICT-afdeling controleren of er verdachte programma’s te vinden zijn op de computers en bedrijfssystemen. 

Persoonsgegevens controleren - Zijn er persoonsgegeven van klanten, leveranciers of medewerkers gestolen, gewijzigd of verwijderd? Dan is het sprake van een datalek. Een datalek moet u binnen 72 uur melden aan de Autoriteit Persoonsgegevens. 

Informeer degene van wie de naam wordt gebruikt - Wanneer een cybercrimineel zich voordoet als een organisatie of een specifiek persoon binnen een organisatie, dan is het sprake van zakelijke identiteitsfraude. Informeer altijd degene waarvan de naam misbruik wordt. Het bedrijf krijgt zo de kans om medewerkers, partners en klanten extra alert te maken op mogelijk valse toenaderingen.

Heeft uw bedrijf nepmails of tekstberichten ontvangen, is uw bedrijf slachtoffer geworden van phishing of wordt jouw bedrijfsnaam misbruikt door cybercriminelen? Maak dan altijd een melding bij de Fraudehelpdesk. 

Aangifte doen bij de politie kan alleen op het politiebureau. Bel 0900 - 8844 om een afspraak te maken.

De Hackhelpdesk kan uw onderneming helpen als u (vermoedt dat u) gehackt bent.