Creatieve phishing-methoden. Blijf altijd alert op nieuwe dreigingen3 min gelezen
Phishing, de listige praktijken van cybercriminelen om mensen te verleiden vertrouwelijke informatie prijs te geven, is niet nieuw. We kennen allemaal de klassieke phishing-e-mails die ons vragen om op een dubieuze URL te klikken of verdachte bijlagen te openen. Maar de dagen van de overduidelijk malafide mails bomvol taalfouten, zijn voorbij. De wereld van phishing evolueert voortdurend, en cybercriminelen worden steeds inventiever. In deze blog gaan we dieper in op enkele minder bekende, maar verrassende phishing-methoden die je op je radar moet hebben.
QR-codes: een nieuw hulpmiddel voor phishing
Om detectie door anti-phishing-oplossingen te ontlopen, maken cybercriminelen steeds vaker gebruik van QR-codes in plaats van conventionele URL’s in hun e-mails. Deze QR-codes worden door beveiligingssoftware niet herkend als kwaadaardige links. Cybercriminelen gaan ervan uit dat mobiele – privé – telefoons minder goed worden beveiligd dan computers. Helaas blijkt dat vaak terecht. Als medewerkers zo’n QR-code scannen met hun telefoon, is de kans groot dat ze de mist in gaan. Daar zit je dan met je goed beveiligde computers…
Onze tip voor medewerkers: scan geen QR-codes van onbekende of verdachte bronnen. En voor beheerders: overweeg antivirusprogramma’s, zoals Microsoft Defender, voor telefoons om dit te voorkomen.
Microsoft Teams-berichten: phishing via een vertrouwd platform
In plaats van traditionele e-mails maken kwaadwillenden nu ook gebruik van platforms zoals Microsoft Teams om berichten te verzenden met links naar malafide sites. Ze presenteren zich bijvoorbeeld onder de naam van een collega of doen zich voor als een leverancier of andere bekende. Zo proberen ze je te verleiden om op links te klikken.
Onze tip voor medewerkers: wees extra waakzaam als je een bericht van externe bronnen krijgt en vertrouw niet zonder meer op de afzender. Is die zogenaamde collega wel echt een collega? Beheerders kunnen de optie Safe Links in Microsoft Teams inschakelen via Microsoft Defender voor Office.
Consent-phishing: misleidende toestemmingsverzoeken
Bij consent-phishing sturen aanvallers je een verzoek om toestemming te geven voor toegang tot bepaalde gegevens, zoals je contacten in Outlook of updates voor je Microsoft-account. Dit zijn echte toestemmingsverzoeken, met het doel dat jij toestemming geeft voor iets waar je geen toestemming voor moet geven.
Onze tip voor medewerkers: geef nooit toestemming aan applicaties die je niet kent, en lees de verzoeken zorgvuldig door. Beheerders kunnen instellen dat medewerkers eerst goedkeuring van een beheerder moeten krijgen voordat ze zelf toestemming kunnen geven.
Delen via cloudopslagdiensten: verborgen malware
Phishers kunnen ook malafide bestanden delen via cloudopslagdiensten zoals OneDrive, Google Drive en Dropbox. De links naar deze bestanden zijn legitiem. Immers, ook je buurman of collega kan een link delen naar een bestand op hun cloudopslagdienst. Eén verschilletje: als je – nietsvermoedend – de link naar het bestand van de hacker opent, wordt er malware geactiveerd.
Onze tip voor medewerkers: controleer zorgvuldig of de persoon die het bestand deelt echt de persoon is die je denkt, voordat je naar de gedeelde opslag gaat. Beheerders kunnen algemene beveiligingsmaatregelen implementeren om malware te herkennen en te stoppen.
Bewustwording is key
Het is lastig om je voortdurend tegen alle phishing-methoden te beschermen, omdat cybercriminelen steeds slimmer worden en anti-phishing-systemen steeds vaker weten te omzeilen. Daarom is bewustwording van je medewerkers cruciaal. Zorg dat je medewerkers op de hoogte zijn van phishing-methoden en leer ze geen risico’s te nemen als ze iets verdachts tegenkomen. Alleen zo kun je je als organisatie wapenen tegen deze voortdurend evoluerende cyberdreigingen.
Geïnspireerd?
Hoe stevig je je IT-omgeving ook beveiligt, als je medewerkers – onbedoeld – de virtuele deur openzetten, is al je moeite voor niets geweest. Wil je kwetsbaarheden voorkomen? Ons team kan je helpen met goed doordachte phishingtests of waardevolle gebruikersbewustzijnstrainingen. Dat kan in allerlei vormen, zoals video’s of interactieve inhoud. Maak vandaag nog een afspraak en ontdek hoe je jouw bedrijf veilig naar een hoger niveau tilt! Verder lezen? Download onze whitepaper.