Zo bescherm je thuiswerkers tegen phishing

Werken op afstand is steeds gewoner geworden. Volgens een onderzoek van Pew Research Center doet ongeveer een derde (35%) van de medewerkers die op afstand kunnen werken dit nu fulltime, terwijl 41% hybride werkt.

Met meer mensen die thuis zijn gaan werken, nam ook de cybercriminaliteit toe (Europol). Omdat thuiswerken waarschijnlijk blijft, is het belangrijker dan ooit om aandacht te besteden aan beveiliging in externe werkomgevingen.

Ander beveiligingsniveau thuis

"Als je op afstand werkt, volg je waarschijnlijk je eigen regels en gewoonten voor het veilig omgaan met informatie," vertelt Jan-Willem Bullée, assistent-professor aan de Universiteit Twente en onderzoeksanalist bij Awareways. "Soms worden daardoor de regels en richtlijnen van de organisatie over het hoofd gezien."

"Mensen gebruiken vaak hun eigen apparaten en accounts, die misschien niet zo goed beveiligd zijn als de systemen op kantoor. Veilige manieren om bestanden te delen zijn ook niet altijd beschikbaar. Daarnaast is het lastiger om even een collega om hulp te vragen bij een verdachte e-mail als we op afstand werken."

De mens als zwakste schakel

Hoewel spamfilters en andere beveiligingsmaatregelen veel e-mails tegenhouden, is het nog steeds mogelijk dat een valse e-mail in je inbox terechtkomt. Als dit gebeurt, is het de verantwoordelijkheid van de ontvanger om actie te ondernemen. "Mensen zijn de zwakste schakel als het gaat om cybercriminaliteit", legt Jan-Willem uit. "Een van de redenen waarom phishing zo effectief is, is dat de aanvaller psychologische principes gebruikt om slachtoffers te laten meewerken aan de aanval. Ook wel social engineering genoemd."

Kijk bijvoorbeeld eens naar onderstaande e-mail die een collega binnen Appical ontving in zijn persoonlijke e-mail. Je kunt zien dat de afzender autoriteit gebruikt door zich voor te doen als de CEO van Appical. Daarnaast wordt de ontvanger onder druk gezet om zo snel mogelijk te reageren, waardoor een gevoel van tijdschaarste ontstaat.

Hoi Mark,

Ik hoop dat deze e-mail je op het juiste moment treft, want ik heb je nodig voor een belangrijke taak. Ik ben nu bereikbaar via e-mail en wacht op je snelle reactie.

Groet,
Hans van Rijnswoud
CEO van Appical

"Aanvallers en criminelen evolueren ook. Phishingmails worden steeds beter en verplaatsen zich ook naar andere veelgebruikte media, zoals Whatsapp", zegt Jan-Willem. Eén klein moment van afleiding en de gevolgen kunnen enorm zijn. Het openen van een e-mail of het klikken op een link kan een bedrijf veel schade berokkenen, zoals hoge kosten, gegevensdiefstal of schade aan de reputatie van de organisatie. Het is dus belangrijk om een phishingpoging te herkennen en er op de juiste manier mee om te gaan.

5 tips om jouw medewerkers te wapenen tegen scammers

1. Weet hoe je een phishing-e-mail herkent

Vroeger zaten phishingmails vol spelfouten en slecht Engels. Tegenwoordig zijn nepmails steeds moeilijker te onderscheiden van echte e-mails. Vooral nu aanvallers ook AI kunnen gebruiken om foutloze e-mails te maken.

Hoe kun je valse e-mails dan wel herkennen? "Controleer allereerst de afzender, de bestemming van de link en of je deze e-mail kunt verwachten", adviseert Jan-Willem. "Stel dat je een HR-consultant bent, dan vind je een e-mail over de nieuwste tuingereedschappen misschien verdacht. Maar als de e-mail over HR gaat, kan het veel moeilijker zijn om een potentiële aanval te herkennen."

"Kennis is macht. Voor de aanvaller, maar ook voor jou. Ten eerste, doe het rustig aan. Het is prima om te wachten met reageren en een collega te vragen om mee te kijken naar een e-mail. Vergeet niet dat veel organisaties een speciale hotline voor IT-beveiliging hebben. Zij kunnen je ook adviseren."

2. Breng medewerkers op de hoogte van de meldingsprocedure

“Medewerkers zijn de oren en ogen van de organisatie. Zij zien, horen en maken dingen mee. Ook dingen die verdacht zijn. Een gek telefoontje met een vraag naar persoonlijke informatie of een e-mail met een link die naar een onbekende website verwijst. Wanneer medewerkers verdachte situaties melden, krijg je een beeld van wat er binnen de organisatie gebeurt, en hoe er geprobeerd wordt de medewerkers te strikken.”

Communiceer hier ook over. Als medewerkers niets melden, kan de beveiligingsafdeling aannemen dat alles in orde is. Maar als de organisatie de medewerkers regelmatig informeert over cyberbeveiliging, brengt dat het probleem onder de aandacht. Dit laat bovendien aan je medewerkers zien dat ze niet de enige zijn die iets vreemds meemaken.

> In deze blog leggen we uit hoe we je gegevens beschermen

3. Herhaal de boodschap

Dus je hebt je medewerkers al voorgelicht over hoe je phishing-e-mails kunt herkennen en waar je cyberaanvallen kunt melden. Nu ben je klaar, toch? Niet helemaal.! "Als je kennis of vaardigheden niet vaak gebruikt, zal het afnemen", legt Jan-Willem uit. "Herhaal je de boodschap, dan blijft het top of mind."

"Door voortdurend te oefenen, krijg je een vaardigheid onder de knie. Denk maar aan schrijven, fietsen of autorijden. Weet je nog hoe uitdagend het was in het begin? Maar nu, na een paar jaar, ben je een stuk beter geworden. Hetzelfde principe geldt voor het veilig omgaan met informatie. Behandel training en bewustwording dus niet als iets eenmaligs, maar als een doorlopend proces. Besteed er dus ook aandacht aan buiten de maand van de cyberveiligheid."

4. Maak duidelijk dat het iedereen kan overkomen

"Phishing kan iedereen overkomen. Mensen zijn druk en zijn nu eenmaal niet altijd maximaal alert. Aanvallers weten dit ook en spelen hier op in. Daarnaast bestaat er een cognitieve denkfout die hier niet bij helpt. We denken vaak dat iemand anders meer kans heeft om doelwit te worden van een cyberaanval dan wijzelf."

"Hierdoor ben je minder alert, denk je dat security awareness-materiaal niet op jou van toepassing is en besteed je er minder aandacht aan. Het gevaar hiervan? Als je toch slachtoffer wordt van phishing, zul je de aanval minder snel herkennen en er niet snel op reageren."

5. Zorg voor een open cultuur

"Het is belangrijk om medewerkers het gevoel te geven dat ze phishingpogingen kunnen bespreken. "Door cybersecurity met collega's te bespreken, kun je elkaar om hulp vragen en elkaar op de hoogte houden. Twee mensen weten immers meer dan één en vier ogen zien meer dan twee! Navraag bij een collega kan helpen om de urgentie (schaarste in tijd) uit een actie te halen."

Dus check, check en dubbelcheck die mails!

Noot van de redactie: Dit bericht is oorspronkelijk gepubliceerd in oktober 2022 en is bijgewerkt met het oog op volledigheid.

‍