In de loop der jaren is technologie op elk gebied assertiever geworden. Door de technologische vooruitgang hebben cybercriminelen ook innovatieve manieren ontdekt om informatie te stelen.
Meestal zijn grotere bedrijven met duizenden werknemers het doelwit. Dit betekent echter niet dat kleinere bedrijven buiten schot blijven. Door een gebrek aan goede cyberbeveiligingsmaatregelen is het voor de phishers makkelijker om de zwakste plek te vinden, meestal een nieuwe werknemer.
Er is vastgesteld dat een op de vier werknemers toegeeft te klikken op de links in phishing e-mails.
Daarom moeten organisaties strategieën bedenken en implementeren om phishingaanvallen te voorkomen. Grondige training van werknemers en bewustzijn van cybercriminaliteit zijn ook vereist. Dit artikel is bedoeld om u vertrouwd te maken met phishing-zwendel door werknemers, de soorten en manieren om deze aan te pakken.
Phishing begrijpen
Phishing is een type cyberaanval waarbij oplichters mensen verleiden om vitale informatie weg te geven via valse e-mails en links. De informatie varieert sterk afhankelijk van het doelwit van de phisher en is meestal gevoelig van aard.
De informatie bevat meestal inloggegevens, accountgegevens, wachtwoorden, bankgegevens, enz. Een succesvolle phishingaanval kan grote verliezen veroorzaken voor een bedrijf. Het maakt niet alleen inbreuk op gevoelige informatie, maar kan het bedrijf ook in diskrediet brengen door hun vertrouwelijke informatie te gebruiken.
4 veelvoorkomende phishingaanvallen gericht op nieuwe werknemers
De meeste phishingaanvallen op werknemers zijn gebaseerd op gepersonaliseerde berichten. De inhoud van het bericht wordt zo geformatteerd dat het voor de gebruiker herkenbaar lijkt, om achterdocht te voorkomen.
In de loop der tijd hebben aanvallers traditionele phishinggewoonten aangepast. Daarom is het bijwerken van de kennis van werknemers over de soorten phishingaanvallen verplicht. Zo kunnen ze een aanval meteen herkennen. Hieronder staan enkele veelvoorkomende phishingaanvallen die gericht zijn op werknemers.
1. Phishing e-mails van werknemers
Het is de meest voorkomende phishingaanval en de handigste manier om nieuwe werknemers op te lichten. Dit soort aanvallen wordt verspreid via e-mails. De aanvaller maakt een e-mail die zich voordoet als het moederbedrijf van de werknemer in een poging om gevoelige informatie te stelen.
AI heeft dergelijke phishingaanvallen drastisch beïnvloed door aanvallers te helpen bij het genereren van hoogwaardige phishingmails zonder herkenbare fouten.
2. Spear Phishing
Spear Phishing is een zeer gerichte vorm van phishingaanval. Ze hebben een specifiek doel om die werknemer te pakken. Na het verzamelen van achtergrondinformatie over die gebruiker, wordt een gepersonaliseerde e-mail opgesteld en verzonden. Deze e-mail doet zich voor als een legitieme bron die het slachtoffer direct herkent.
Bij spear phishing begint de kwaadaardige e-mail meestal met de naam van de ontvanger in plaats van een algemene begroeting. De aanvaller voegt meestal de werk- of accountgegevens van de werknemer toe en vraagt hem in te loggen op de account om actie te ondernemen.
3. Walvisvaart
Whaling Whaling gebeurt op dezelfde manier als phishing. In dit geval richten de aanvallers zich op hooggeplaatste werknemers zoals C-suite executives. Net als bij andere phishingaanvallen wordt ook hier gebruikgemaakt van een kwaadaardige e-mail of een bericht met een gevoel van urgentie.
Het gaat om de imitatie van deze hooggeplaatste leidinggevenden, waarbij slachtoffers meestal worden aangespoord om een bijlage te openen die is gekoppeld aan een schadelijke e-mail of om gevoelige gegevens te delen. Zodra de doelwitinformatie is verzameld, kan deze worden gebruikt om de gegevens van het bedrijf te exploiteren.
4. Angler Phishing-aanvallen
Dit is een relatief nieuw type phishingaanval. Hengel phishing gebruikt sociale media of een website om malware te verspreiden. Werknemers worden overgehaald om een specifieke URL of tweet te openen. De website kan nieuwe werknemers vragen om de inloggegevens in te voeren om de gewenste functie uit te voeren, wat resulteert in een datalek.
Daarnaast gebruiken phishers bij dit type ook de gegevens die werknemers op hun sociale media-accounts plaatsen om zeer gerichte aanvallen op te zetten.
Waarom zijn de nieuwe werknemers gemakkelijke doelwitten?
Hier zijn verschillende redenen waarom phishers nieuwe werknemers een makkelijk doelwit vinden.
Gebrek aan bekendheid met bedrijfsprocedures
Gewoonlijk houdt het inwerken van nieuwe werknemers in dat ze bekend moeten raken met het bedrijfsbeleid en de best practices op het gebied van beveiliging.
Ze moeten zich ook realiseren welke bedrijfsinformatie 100% vertrouwelijk is en onder geen beding openbaar mag worden gemaakt. Nieuwe werknemers hebben soms ook hulp nodig bij het herkennen van authentieke en valse e-mailadressen van het bedrijf.
Beperkte kennis van best practices op het gebied van cyberbeveiliging
Nieuwe werknemers hebben meestal meer kennis nodig over cyberbedreigingen. Ze zijn zich niet bewust van kwetsbaarheden en losse eindjes, waardoor ze gemakkelijk kunnen worden opgelicht. Zelfs als ze op de hoogte zijn van phishing-aanvallen, kennen ze de mogelijke oplossingen en preventiestrategieën niet.
Grotere bereidheid om zichzelf te bewijzen
Nieuwe werknemers willen zich graag bewijzen op hun nieuwe werkplek. Ze reageren snel op instructies en volgen aanwijzingen blindelings op zonder verificatie. Ze proberen actief te blijven en reageren efficiënt op alle e-mails die door de bedrijfsfunctionarissen worden verstuurd. Phishers gebruiken dit gevoel van urgentie om ze te verleiden tot phishingaanvallen.
Hoe organisaties falen in de cyberbeveiliging van hun werknemers
Organisatorische inefficiënties spelen ook een belangrijke rol bij het oplichten van hun werknemers.
Onvoldoende trainingsprogramma's
Training en bewustwording op het gebied van cyberbeveiliging moeten worden aangeboden aan werknemers bij aanvang van hun functie. De organisatie moet dergelijke interne trainingen organiseren. Ze moeten het voltallige personeel bewust maken van potentiële bedreigingen en hun oplossingen. Het creëren van een cultuur van waardering door middel van beloningen en erkenning voor werknemers, zoals aanpasbare prijzen of op maat gemaakte erkenningsplaatjes, kan helpen bij het motiveren van werknemers om actief deel te nemen aan cyberbeveiligingstrainingen en waakzaam te blijven voor potentiële bedreigingen.
Vertrouwen op communicatie per e-mail
E-mail is al eeuwenlang de primaire bron van communicatie tussen werknemers. Omdat e-mail ook het grootste doelwit is van phishers, kunnen bedrijven overwegen om over te stappen op gepersonaliseerde teamcommunicatieplatforms zoals Discord, Slack of Microsoft Teams voor de dagelijkse communicatie tussen werknemers. E-mails kunnen worden gereserveerd voor specifieke scenario's en communicatie met klanten.
Gebrek aan e-mailbeveiliging
Organisaties zien vaak best practices voor e-mailbeveiliging over het hoofd, zoals verificatie met SPF, DKIMen DMARC. Hierdoor zijn hun domeinen kwetsbaar voor aanvallen van imitatie, phishing en spoofing. Dit maakt het ook makkelijk om valse e-mails te sturen naar nieuwe werknemers vanaf gespoofde bedrijfsdomeinen.
Gebrek aan handhaving
Alleen het configureren van e-mailverificatieprotocollen is niet genoeg! Als organisaties hun DMARC-beleid niet afdwingen, blijven hun domeinen kwetsbaar voor bedreigingen via e-mail.
Om veilig over te stappen van een no-action naar een afgedwongen DMARC-beleid, aanmelden bij PowerDMARC.
Het belang van bewustwording en training van werknemers
Bewustzijnstrainingen voor werknemers zijn meer dan een formaliteit. De gratis e-mailbeveiligingstraining cursussen hebben duizenden kandidaten, waaronder onze eigen werknemers, geholpen om waakzaam en bewust te blijven met betrekking tot e-mailbedreigingen.
Daarnaast kunnen nieuwe werknemers een aantal van de volgende tips en strategieën gebruiken tips en strategieën om phishing-aanvallen te voorkomen.
- Blijf op de hoogte van phishing-aanvallen, woon veiligheidstrainingen bij en leer over de nieuwste trends op het gebied van cyberbeveiliging, zoals AI en Kwantumverwerking.
- Let goed op de legitimiteit van e-mailaccounts en de bijgevoegde koppelingen. Vermijd e-mails waarin een gevoel van urgentie wordt gebruikt of waarin om dringende actie wordt gevraagd.
- Zorg ervoor dat alle software en beveiligingsprogramma's bijgewerkt zijn en dat systemen virusvrij zijn met antivirus-, antimalware- en firewallsoftware.
- Beweeg je cursor over de bijgevoegde link en lees de context zorgvuldig om verdachte e-mails te vermijden. Als je de echtheid van de e-mail vermoedt, neem dan contact op met de afzender en bevestig dit via een ander platform.
- Beveilig uw e-maildomeinen met geavanceerde e-mailverificatieprotocollen zoals SPF, DMARCen DKIM.
Het samenvatten
Voor elk bedrijf zijn werknemers een essentiële bron van verdediging tegen datalekken. Toch vinden schadelijke e-mails nog steeds hun weg naar de inbox van werknemers, zelfs na verschillende beveiligingsprotocollen.
Daarom is het enige dat kan voorkomen dat organisaties worden aangevallen het instellen van preventieve maatregelen en het kiezen van de juiste leveranciers van beveiligingsdiensten. PowerDMARC heeft organisaties van alle groottes geholpen hun domeinbeveiligingsbehoeften op elkaar af te stemmen en compliance te bereiken zonder negatieve gevolgen voor de bezorgbaarheid van e-mail. Om uw domeinbeveiliging te verbeteren, kunt u contact met ons opnemen vandaag nog!