Cybercrime bestrijding: is phishing te voorkomen?

Phishing kent vele verschijningsvormen en wordt op creatieve manieren door cybercriminelen toegepast. Soms worden lukraak mensen benaderd en soms gebeurt het via een gewiekste, langdurige campagne bestaande uit meerdere ontfutselpogingen over een langere periode. De ene keer is de phishingtactiek een onschuldig lijkende sms die alleen maar even met een ja of nee beantwoord hoeft te worden. De andere keer een appje waarin gevraagd wordt om een wachtwoord te bevestigen en de andere keer een plausibel betaalverzoek. Het is niet altijd even eenvoudig deze pogingen tot het verkrijgen van al dan niet waardevolle informatie te herkennen en daarmee af te stoppen. Omdat cybercriminelen steeds slimmer worden in hun methoden, is afstoppen geen eenvoudige klus.

Toch is het wel degelijk goed mogelijk voor een groot deel korte metten te maken met phishing. Een goed werkende oplossing bestaat uit een combinatie van harde technologische maatregelen en slimme softe acties, gericht op de mens.

Softwarematige opsporing en blokkade

Om met het eerste te beginnen, zorg voor goede antivirussoftware die voorkomt dat eenvoudig malware wordt geïnstalleerd als op een foute link wordt geklikt. Goede securitysoftware scant links en bijlagen voordat ze door de gebruiker geopend kunnen worden of opent ze eventueel in een zogenaamde ‘sandbox’ om te kijken wat de bestanden eenmaal geopend daadwerkelijk doen. Ook biedt bijvoorbeeld Office 365 ingebouwde phishing-filters om beruchte malafide afzenders op voorhand te blokkeren.

Naast software komt het vooral aan op de mens. Laat gebruikers inzien dat ze niet zomaar op links moeten klikken, ook al lijken de berichten die daartoe uitnodigen afkomstig van vrienden en collega’s. Phishing kan gericht worden toegepast – dat heet dan spearphishing – en gebruikmaken van gehackte of goed nagemaakte (gespoofte) accounts van diezelfde bekenden.

Zwakke plekken in de psyche kwetsbaar

Elke vorm van phishing wil een actie van de gebruiker: een klik of informatie. Daarbij wordt misbruik gemaakt van emoties. De ene keer speelt de phishing scam in op angst door te dreigen met het verlopen van een wachtwoord of een boete. De andere keer staat het vizier afgesteld op blijdschap en wordt een reactie uitgelokt om zogenaamd een prijs te claimen of een onverwacht pakketje in ontvangst te nemen. Als je hiervan bewust bent, denk je wel twee keer na voordat je op een uitnodiging of verzoek ingaat.

Via training leer je gebruikers phishing berichten te herkennen. Zo kan het foute boel zijn als de afzender voor de eerste keer of sinds lange tijd contact opneemt. Ook fouten in spelling en grammatica zijn beruchte indicatoren van crimineel bedoeld gedrag. Daarnaast zijn kleine foutjes in gebruikte URL’s en bedrijfslogo’s of huisstijlen kenmerkend voor het gros van de phishing mails. Door je gebruikers af en toe binnen een veilige setting met bekende phishing trucs te confronteren, voorkom je een hoop ellende.

Nooit 100% bescherming, wel aanzienlijk minder ongelukken

Welke maatregelen je ook kiest en hoe goed je gebruikers ook traint, phishing maakt misbruik van de natuurlijke neiging van mensen om bekenden te vertrouwen. Als er geen onraad geroken wordt, wordt op de automatische piloot gekoerst. Dat maakt phishing een lastig te bestrijden en daarmee prevalent security-risico. Een lichtpunt is dat goede voorlichting en de juiste voorzorgsmaatregelen het leeuwendeel van de pogingen in de kiem doen smoren en daarmee calamiteiten kunnen voorkomen. Een goed voorbereid is een gewaarschuwd mens, en die telt voor twee!