Wegwijzer Cybersecurity

Bijna gehackt! Wat er gebeurde toen ik een phishingtest deed

Dikke kans dat je er laatst 1 hebt gekregen: een raar mailtje van een onbekende, of een sms over een levering terwijl je niks hebt besteld. Phishing hoort erbij. Maar herken je elk verdacht bericht? Ik deed een phishingtest en kwam erachter dat sommige phishingmails echt overtuigend zijn.

Soms vraag ik me af of iemand er ooit in trapt, in zo’n e-mail van ene ‘dr mike paul’. Vanuit Burkina Faso vraagt hij om persoonlijke gegevens. In ruil voor 10 miljoen dollar. Dacht het niet, vriend. Die mail gaat direct in de prullenbak. Maar ook al herken je sommige phishing makkelijk, het blijft een groot probleem. “Wereldwijd begint zo’n 90% van alle datalekken met een phishingbericht”, zegt security-expert Dim Gerssen. Tijd om eens te testen hoe cybercriminelen te werk gaan. Trap ik in een écht goede phishingmail?

Liesbeth Sparks
  • FocusVeilig zakendoen
  • DrijfveerHoe zit dat?
  • Kern specialismeHistoricus

Liesbeth Sparks

Content creator bij KVK

Wat er vroeger allemaal misging, weet ik als historicus heel goed. Maar ook in de 21ste eeuw zijn we onveilig. Ik onderzoek in deze serie risico’s van nu. Hoe beschermen we onze bedrijven tegen cybercrime? Daarover praat ik met experts.

Maart 2021 - Nep-phishing

“Dat is dan afgesproken”, zegt Gerssen aan de telefoon. Securitybedrijf Surelock zal mij en 2 van mijn collega’s de komende tijd phishingmails sturen. Of eigenlijk: nep-phishingmails. Het securitybedrijf traint ondernemers en hun medewerkers met zogenoemde phishingsimulaties. Als ik op een ‘verdachte’ link klik in zo’n nepmail, kom ik niet uit bij schadelijke software, maar bij de melding: ‘Je bent gephisht!’ Hopelijk trap ik er niet in …

April 2021 - Alles verdacht

Na het gesprek met Gerssen zie ik overal hackers. Ieder mailtje met een onbekende afzender bekijk ik 3 keer. Een paar mails gooi ik gelijk weg. Ik ben niet de enige van mijn team die niks meer vertrouwt. “Ik ben helemaal para”, lacht collega Hajar.

Maar het duurt wel lang, dit experiment. Als ik na een paar weken geen écht verdachte mails heb gekregen, let ik niet meer zo goed op.

“Dat is heel normaal”, zegt Gerssen. “Aan het begin van een simulatie ben je er constant mee bezig. Maar na verloop van tijd verslapt je aandacht. Duitse wetenschappers zagen een half jaar na een simulatie een verval in de scherpte bij proefpersonen.” En van even niet opletten profiteren cybercriminelen. Volgens de Nederlandse Vereniging van Banken (NVB) was de schade door phishing in Nederland in de eerste helft van 2021 6,1 miljoen euro.

September 2021 - De test

‘Ping’. Ik zit voor het eerst in maanden op kantoor, een bekertje koffie naast me. Hee, een mail van Hajar. Wat gek, ik verwacht geen nieuws over ons project. En is dat nou een linkje naar een pdf? Ik ga er met m’n muis naartoe, maar blijf toch even hangen. Dit klopt niet. “Hajar”, zeg ik. Handig dat ze tegenover me zit. “Heb jij me nou net een mailtje gestuurd?” Ze kijkt me vragend aan. “Huh? Nee.”

De schrik zit erin. Ik overleg met mijn teamgenoten. 2 anderen hebben de mail van ‘Hajar’ ook gekregen. We maken een melding bij IT. Ik pieker me suf: wie zit hierachter? Pas na een half uur bedenk ik: is dit niet die phishingtest? Ik veeg het zweet van m’n voorhoofd terwijl ik Gerssen bel. Intussen onderzoekt onze securityafdeling de mail. Op het scherm lezen ze: ‘Je bent gephisht!’ Dat was op het nippertje.

LinkedIn

Als ik Gerssen aan de lijn krijg, heb ik wel een paar vragen. Hoe wist hij bijvoorbeeld dat Hajar en ik veel samenwerken? “Via LinkedIn”, vertelt hij. Inderdaad, wij reageren vaak op elkaars berichten. Had ik dit kunnen voorkomen? “Nee, eigenlijk niet”, zegt Gerssen. “Er is altijd iets bekend over een bedrijf: via social media, nieuwspagina’s, of in dit geval medewerkers die berichten plaatsen bij anderen.” Je moet dus zeker voorzichtig zijn met wat je deelt, maar nóg belangrijker is dat je herkent dat er iets niet klopt als je een phishingmail ontvangt.

Onderbuik

Ik werk zoveel samen met mijn collega Hajar, dat ik haar mails als geen ander ken. Dit bericht ‘klonk’ niet als Hajar: daarom klikte ik niet op de link. “Dat onderbuikgevoel is de basis”, zegt Gerssen. “Ik kan wel zeggen: ‘controleer altijd het e-mailadres van de afzender’, maar daar let je waarschijnlijk niet direct op. Voel je dat er iets niet klopt? Dat is het moment om de mail grondig te controleren. Dus bij twijfel: niet klikken, maar stoppen.”

Wat je kunt doen:

  • Check de afzender. Is het een rare of onbekende afzender, of een gekke variant op een officieel mailadres, gooi de mail dan weg. Of laat ‘m controleren door je IT-beheerder.
  • Controleer het linkje of de bijlage. Als je de cursor boven het linkje houdt, kun je zien waar deze naartoe leidt. Of google de bedrijfsnaam in de link.
  • Bel of mail met de afzender. Antwoord niet op het mailtje dat je hebt gekregen, maar zoek contactgegevens op via een officiële website of je eigen contactenlijst.
  • Vergelijk de mail met de voorbeeldphishingmails van de Fraudeheldesk.

Moeite

‘Gaat een crimineel écht zoveel informatie verzamelen over mij voor 1 mailtje?’, vraag ik me af. “Bij een klein bedrijf met 10 medewerkers is dat risico inderdaad niet zo groot. Maar bij een groter bedrijf gebeurt dat zeker”, antwoordt Gerssen.

Criminelen vallen kleine bedrijven aan door te schieten met hagel. Ze kopen e-maillijsten op, bijvoorbeeld op het darkweb. Alle adressen op die lijsten sturen ze phishingmails. "Als jouw zakelijke e-mailadres op zo’n lijst staat, is de kans dus groot dat je een phishingmail krijgt.” En als het bij de eerste niet lukt, proberen ze het gewoon nog een keer. En nog een keer.

Oktober 2021 - Opletten

Het heeft indruk op me gemaakt, deze test. Ik dacht: kom maar op met die nep-phishingmail. Maar ik trapte er echt bijna in. Hoe zinvol zo’n simulatie is op de lange termijn, daar zijn experts het niet over eens. Het lijkt erop dat alleen een nepmail ontvangen niet genoeg is: ondernemers en medewerkers hebben meer kennis en informatie nodig om phishing te herkennen. Speciale trainingen zouden daarbij kunnen helpen. Hoe dan ook, ik ben de komende tijd in ieder geval extra voorzichtig.

Vragen over phishing? Sluit je aan bij Cybernetwerk Ondernemend Nederland: een besloten LinkedIn groep met ondernemers én securityspecialisten die je vragen beantwoorden.
Liesbeth Sparks

Hoe kun je je bedrijf beschermen tegen digitale bedreigingen? Daar houd ik me voor KVK mee bezig. Ik volg het laatste nieuws rond cybersecurity en spreek met experts en wetenschappers. Wat ik te weten kom deel ik graag met ondernemers!

InspiratiePage
Veilig zakendoen