We hebben ze allemaal wel eens ontvangen: een e-mail, een WhatsApp, een sms of een telefoontje van een onbeduidende afzender die gegevens van u wil, zoals de inloggegevens van uw bank. En we denken ook allemaal: daar trap ik niet in. En toch gebeurt het steeds vaker. Ieder jaar zijn veel bedrijven en particulieren de dupe van online frauduleuze praktijken. Volgens de Nederlandse Vereniging van Banken (NVB) bedroeg de schade van fraude door phishing in het betalingsverkeer in 2022 bijna € 61 miljoen euro.
Oplichters gaan steeds vernuftiger te werk en ook zien de verstuurde berichten er steeds geloofwaardiger uit. Met als gevolg dat helaas wél veel mensen op een link klikken waarbij men doorgestuurd wordt naar een inlogpagina die sterk lijkt op bijvoorbeeld die van uw bank of van het koeriersbedrijf dat wel vaker een pakket bij u bezorgt. U logt in en… u heeft uw inloggegevens of creditcardgegevens cadeau gedaan aan een crimineel. Deze vorm van fraude door phishing is vaak lastig te herkennen.
Als zakelijke ondernemer is het daarom essentieel om op de hoogte te zijn van deze fraude bedreigingen. In dit artikel leggen we uit hoe misleidende e-mails (phishing), sms-berichten (Smishing), en telefoonfraude (Vishing) werken. En belangrijker nog: we geven tips om uw bedrijf te beschermen tegen deze verraderlijke aanvallen. Zo vergroot u niet alleen uw kennis van cyberveiligheid en fraude maar het helpt u ook om uw onderneming nog beter te beschermen tegen deze toenemende vormen van digitale oplichting.
Drie vormen van fraude: Hoe herkent u ze en wat te doen?
Er zijn verschillende vormen van fraude, wij geven hier de drie meest voorkomende.
1. Via e-mail: Phishing
Een bekende term voor het – letterlijk – hengelen naar persoonsgegevens is phishing. Hierbij sturen criminelen u een e-mail waarin zij proberen om gevoelige informatie te achterhalen. Denk daarbij aan uw inloggegevens, bankgegevens of BSN-nummer. Deze criminelen zorgen ervoor dat hun e-mail er zo betrouwbaar mogelijk uitziet. Daarom kiezen ze er vaak voor om de e-mail te versturen uit naam van een bekende organisatie, zoals een bank, een overheidsinstantie of een klantenservice van een groot bedrijf.
2. Via sms of WhatsApp: Smishing
Het kan ook zijn dat criminelen een verzoek om gegevens of geld versturen via sms of WhatsApp. Dan noemen we het smishing, een samentrekking van sms en phishing. U krijgt dan een bericht op uw telefoon. Deze berichten zijn over het algemeen wat dwingender van toon. U wordt vaak gevraagd snel actie te ondernemen, bijvoorbeeld: even opnieuw inloggen bij uw bank in verband met een veiligheidsprobleem, of snel een openstaande belastingschuld voldoen omdat u anders een boete krijgt.
Tips om Phishing en Smishing te herkennen en voorkomen:
Bedrijven vragen nooit om gevoelige informatie!
Een bank, een creditcardbedrijf, een overheidsinstantie of welk bedrijf dan ook zal nooit via e-mail of sms vragen om (inlog)gegevens. Gebeurt dat wel, dan is dat meteen reden om aan de bel te trekken.
En belangrijker nog: log nooit zomaar ergens in en geef nooit uw inloggegevens aan iemand.
Wees alert.
Kijk altijd kritisch naar berichten die van buiten de organisatie komen. Valt er iets op aan de opmaak van het bericht? Is de ondertekening anders? Een beetje gezonde argwaan mag hierbij best.
Controleer de afzender.
De naam van de afzender kan bekend voorkomen. Maar dat wil niet zeggen dat deze persoon ook daadwerkelijk de afzender is.
Bij email: kijk goed naar het e-mailadres. In geval van phishing is dit vaak een onbekend e-mailadres of een verbastering van een domeinnaam van een bekend bedrijf. Dus bijvoorbeeld @kpn.tvn in plaats van @kpn.com.
Bij sms of Whatsapp, controleer zelf via uw eigen browser de officiële website van de instantie of de contactgegevens kloppen.
Controleer de link.
Staat er een link in het bericht? Vooral bij dat laatste moeten de alarmbellen gaan rinkelen.
Bij email: door met de muis over de link te bewegen (nooit erop klikken!) komt de url in beeld. Dat geeft vaak al een goede indicatie of de link betrouwbaar is of niet.
Bij sms of Whatsapp: klik hier nooit op. Neem contact op met de instantie via de officiele contactgegevens.
Let op de bijlage.
De link naar een speciale inlogpagina kan ook in de bijlage staan, in de vorm van een htm of html bestand. Vertrouwt u de e-mail niet helemaal, open dan ook zeker de bijlage niet.
“Wees oplichters een stap voor en zorg voor bewustwording onder werknemers.”
3. Vishing
Er bestaat ook nog zoiets als vishing, ofwel voice phishing. Ook hier probeert een crimineel om gevoelige informatie te achterhalen of om u een betaling te laten doen. Alleen doen ze dat nu telefonisch. Dit gebeurt vaak onder een vals telefoonnummer.
Tips om Vishing te herkennen en voorkomen:
Bel terug.
Wordt u gebeld door iemand die claimt een hoge management functie te hebben? Wees ervan bewust dat tegenwoordig stemmen ook goed na te bootsen zijn.
Bel terug via het officieel bekende telefoonnummer van de beller ter controle.
Wees kritisch.
Is dit een normaal verzoek? Heeft u twijfels? Laat u niet onder druk zetten om mee te werken en geef ook nooit gegevens over de telefoon.
De gevolgen van fraude zijn vaak groot en kunnen op verschillende niveau’s impact hebben. Operationeel, financieel en menselijk. Van downtime van de digitale omgeving tot juridische kosten, herstelkosten, boetes op het vlak van privacywetgeving met betrekking tot persoonlijke gegevens, reputatieschade en aansprakelijkheid van klanten.
Om oplichters een stap voor te blijven is het, naast technische maatregelen, van groot belang voor bedrijven om meer bewustwording onder de medewerkers te creëren en praktische cybervaardigheden te ontwikkelen. Train daarom uw medewerkers om deze vormen van fraude te herkennen en hoe te handelen.
Onze partners kunnen u hiermee op verschillende manieren helpen, zowel via online- als via klassikale trainingen.
Voorbeelden van trainingen:
- Simulatie training: het versturen van nep phishingmails en observeren van hoe medewerkers daar op reageren. Als werknemers op een link klikken , krijgen zij tips om dit soort e-mails in te toekomst beter te herkennen.
- Security Awareness training: nulmeting om het gedrag en weerbaarheid van medewerkers in kaart te brengen en inzicht te krijgen in mogelijke beleidsmatige en technische verbeteringen.
- Online trainingen: inzicht in wachtwoorden en accounts, e-mail, internetgebruik, sociale netwerken, PC-beveiliging, mobiele apparaten, AVG en vertrouwelijke gegevens.
U en uw medewerkers krijgen inzicht in het eigen gedrag en kennis. De voordelen hiervan?
- Hogere cyberbewustzijn en weerbaarheid tegen cyberincidenten;
- Blijvende gedragsverandering;
- Minder security-incidenten.
Wij helpen u bewuste keuzes maken
De risico’s die u loopt door een cyberincident zijn aanzienlijk. Toch zijn veel organisaties hier zich vaak nog niet van bewust. Laat u door onze cyberspecialisten voorlichten zodat u zelf de juiste keuzes kan maken.
