Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Phishing (nog altijd) bedreiging voor financiële wereld

Maar minder met deze vier maatregelen

Dit artikel delen:

Channelweb Expert

dr. Alastair Paterson
CEO en Co-founder, Digital Shadows. Expert van Channelweb voor de topics Business Analytics, Security en Digital Innovation.

Criminelen die zich richten op organisaties in de financiële wereld gebruiken vaak hoogdravende social-engineering-tactieken – waarbij ze gedetailleerde persoonlijke kenmerken van slachtoffers misbruiken – om anderen geld afhandig te maken. In deze blog een blik op de phishing-technieken die worden ingezet om financiële organisaties op te lichten en hoe de aanvallen te pareren.

Voor de niet-ingewijden: phishing is een tactiek waarbij de aanvaller zich voordoet als een ander persoon of dienst om malware op apparaten van de gebruiker te installeren of om gevoelige informatie te stelen, zoals inlog- of betaalgegevens. Dit wordt meestal bereikt via een url die het slachtoffer doorverwijst naar een kwaadaardig domein of via een schadelijke bijlage in de mail. Hier wordt het slachtoffer vervolgens ‘vriendelijk verzocht’ gevoelige informatie te verstrekken of plug-ins te installeren. 

Bij de meeste phishing-campagnes worden e-mails breed verspreid, in de hoop dat een deel van de ontvangers de frauduleuze aard van de e-mail niet herkent. Spear phishing is een techniek gericht op een specifiek individu of specifieke organisatie. Vaak zijn deze e-mails afgestemd op de ontvanger om het geloofwaardiger te maken. Twee veel voorkomende spear phishing-technieken zijn: business email compromise (BEC) en whale phishing/whaling.

BEC kent veel verschillende versies. Bij één populaire methode doet de cybercrimineel zich voor als een leidinggevende door het e-mailadres van deze persoon na te bootsen. Door gebruik te maken van een bekende naam probeert de crimineel het vertrouwen van het slachtoffer te winnen, om vervolgens gevoelige informatie te achterhalen. 

Whaling is een vorm van BEC, alleen zijn hier specifieke leidinggevenden op hoog niveau het doelwit. Whale phishing draait net als BEC om het winnen van het vertrouwen van slachtoffers door het gebruiken van een autoritaire naam. Aanvallers gebruiken informatie over leidinggevenden die ze via openbare bronnen hebben gevonden, zoals naam, telefoonnummer of e-mailadres, voor het selecteren van hun doelwitten.

Maatregelen

"Geef personeel alleen toegang tot de infrastructuur en middelen die geschikt zijn voor diens positie en niveau"

Standaardmaatregelen zoals anti-spamfilters en anti-malwarebeveiligingen herkennen meestal een deel van de phishing-mails. Deze maatregelen zijn niet waterdicht. Vooral niet bij zeer gerichte aanvallen, zoals het geval is bij spear phishing. Organisaties moeten daarom op zoek naar een bredere aanpak. Deze aanpak kunnen de volgende maatregelen omvatten:

  • Opleiding van het team

Organisaties moeten investeren in het opleiden van hun personeel zodat zij phishing-aanvallen leren herkennen. Ontwikkel een security-awareness-training of werk de huidige inhoud bij door BEC-scenario’s toe te voegen. Zorg er daarnaast voor dat personeel alleen toegang heeft tot de infrastructuur en middelen die geschikt zijn voor diens positie en niveau. Op die manier is een aanvaller altijd beperkt tot een bepaald deel van het bedrijfsnetwerk. Twee-factor-authenticatie is daarnaast een slim onderdeel van het beveiligingsbeleid van het bedrijf. 

  • Introduceer continue monitoring

Voer doorlopend evaluaties uit van de digitale voetprint van leidinggevenden. Begin met het gebruik van Google Alerts om nieuwe web-inhoud die aan leidinggevenden gerelateerd is, bij te houden. Zo ontdek je het tijdig als de naam van een leidinggevende ergens onverwacht opduikt. 

  • Beveilig elektronische overboekingen

Werk samen met leveranciers van overboekingstoepassingen om autorisaties voor meerdere personen in te bouwen om belangrijke overboekingen goed te keuren en BEC-pogingen tegen de organisatie te voorkomen. 

  • Richt een operations security-programma op

Organisaties en werknemers delen vaak onbewust gedetailleerde persoonlijke informatie of informatie over systemen op sociale media en andere bronnen. Wanneer dit in de verkeerde handen valt, is deze informatie te misbruiken voor social-engineeringtactieken. 

Phishing-criminelen besteden veel tijd aan het onderzoeken van hun doel, zodat ze de e-mail zo persoonlijk mogelijk en daarmee zo overtuigend mogelijk kunnen maken. In de afgelopen jaren zien we dan ook een steeds hoger niveau van verfijning in aanvallen. Spelfouten en vaag taalgebruik zijn niet meer aan de orde – er is sprake van een nette mail die niet van echt te onderscheiden is. Des te belangrijker is goede security.

Voer bovenstaande vier maatregelen door en cybercriminelen visser achter het net.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-01-10T14:27:00.000Z Alastair Paterson
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.