Bescherm jezelf tegen phishing
"Slachtoffer worden van phishing? Dat overkomt mij niet!" Helaas is niets minder waar. In 2021 stuurden we als test 7 valse phishingmails rond in Ter Heide. Het resultaat? Heel wat medewerkers trapten in de val. Er is dus ook in Ter Heide nog werk aan de winkel. Slachtoffer worden van phishing kan iedereen overkomen, ook jou!
Spruitjes vs. frietjes
Je zag de affiches vast wel opduiken doorheen Ter Heide: Sander van ICT breed glimlachend naar een bord spruitjes. Hopelijk kwam hierbij een grote frons in je voorhoofd en een verwarde blik op je gezicht. Een frietenman als Sander met stinkende spruiten voor zijn neus? Dat klopt niet ... En gelijk heb je! Een tijdje geleden vroegen we aan Sander wat hij nooit van zijn leven zou doen. Het antwoord? "Spruitjes eten met een lach op mijn gezicht zal je mij nooit zien doen. Geef mij maar een goed bord frieten!" Wie Sander een beetje kent, heeft meteen door dat dit fake news is. Jou houden we niet zo snel voor de zot, toch? Maar wat doe je wanneer je een mail krijgt van 'Sander' die vraagt naar je wachtwoord of die je doorstuurt naar een website om een document voor je werk te downloaden?
Simpel! Net zoals Sander nooit ook maar één spruit in zijn mond zou steken, zou hij (en ICT) nooit naar jouw wachtwoord vragen. Sander die je vraagt om documenten te bekijken op een heel andere manier dan je gewoon bent? Ook daar zet je best de nodige vraagtekens bij. In 99,99 % procent van de gevallen gaat het om phising. Vaak volstaat het om je tijd te nemen om een mailtje goed te lezen en logisch te redeneren.
"Net zoals ik nooit één spruit in mijn mond zou steken, zal ICT nooit om jouw wachtwoord vragen. Pas altijd op met gekke vragen en mailtjes die er verdacht uitzien."
Wat is phishing?
Phishing is een vorm van hacking waarbij mails verstuurd worden die je proberen te overtuigen op een bepaalde URL te klikken die naar een frauduleuze website of landingspagina leidt. Via deze webpagina worden jouw persoonlijke gegevens verzameld. Zulke phishingmails worden vaak gelijktijdig uitgestuurd naar zo veel mogelijk personen en zijn niet gericht op jou als persoon.
​
Spear phishing is een fraudepoging via mail waarbij een specifiek bedrijf geviseerd wordt. Als werknemer wordt je hierbij meestal persoonlijk aangesproken. Vaak doet de hacker zich voor als een collega, leidinggevende of partner. Via deze tactiek probeert de hacker steeds gevoelige gegevens los te peuteren door jou te vragen op een link te klikken en je gegevens in te vullen of een bijlage te openen. Om deze mails geloofwaardig te maken, wordt vaak een vergelijkbaar mailadres gebruikt als de echte collega binnen de organisatie.
Phishingtest in Ter Heide
In februari 2021 verstuurde MME (Security Audits & Training)Â in samenwerking met Ter Heide 7 valse phishingmails rond om te zien hoe alert medewerkers omgaan met verdachte mails. Trapte je er zelf ook in? Ontdek het hier:
Gemist pakje
500 personen kregen de boodschap dat een pakje niet bij hen afgeleverd kon worden. Via document kon een nieuw tijdstip gekozen worden. 7,8 % van alle aangeschreven medewerkers klikten op de link om het verdachte document te downloaden. 2 % probeerde ook effectief (soms meermaals) om dit document te openen.
Test #2
In december 2021 verstuurde MME (Security Audits & Training) als tweede test 4 valse phishingmails rond naar 192 willekeurig geselecteerde personeelsleden. Ontving jij één van onderstaande mails?
De resultaten
Enkele valse mails deden het duidelijk beter dan de rest:
-
De mails in naam van Sander, Simonne en Kari kwamen het meest betrouwbaar over. Dit ondanks de verkeerde e-mailadressen die hierin gebruikt werden (sander.baerts@ter-heide.be, wetransfer@myservicealert.com, simonne.hulsmans@myservicealert.com).
-
Ook de wachtwoordtester was een groot succes. MME kon met bepaalde wachtwoorden gemakkelijk inloggen op de Ter Heide-accounts van medewerkers, LinkedIn-profielen en andere persoonlijke accounts (bv. Telenet etc.).
-
Het gemiste pakje hoort ook nog thuis in de top 3, ondanks dat pakjes bij het onthaal geleverd worden.​
Nog niet helemaal overtuigd? De resultaten van alle 11 mails samen spreken voor zich. Indien dit geen test was, maar een echte poging tot hacking, lag Ter Heide op dit moment plat.
-
Er werd 295 keer geklikt op verdachte links of bestanden. Anders gezegd: 32,5 % van alle medewerkers klikte zonder het te weten op een gevaarlijke link.
-
58 wachtwoorden werden blootgesteld. Deze medewerkers liepen hierdoor een mogelijk beveiligingsrisico op.​
-
Via verdachte bestanden liepen medewerkers 93 mogelijke
besmettingen op. Resultaat: 93 mogelijk geslaagde hackingpogingen.
​
Sanders tips​
Wil je nagaan of je mailadres ooit gehackt werd? Dat kan via deze site. Staat je mailadres in de lijst? Dan kan je best je wachtwoord veranderen. Hieronder vind je nog enkele tips van Sander om jezelf beter te beschermen tegen phishing:
Verdachte activiteit gezien of ben je zelf in een vals mailtje getrapt? Verwittig meteen ICT. Bij een poging tot hacking is geen tijd te verliezen en kunnen extra minuten veel gegevens redden.