Strategieën voor IT voor kleine bedrijven
Phishing is de grootste bedreiging voor kleine bedrijven. De hacker probeert doelwitten te misleiden om hun persoonlijke gegevens te verstrekken of kwaadaardige software te installeren. Het Amerikaanse ministerie van Justitie is van mening dat er elk jaar $ 5 miljard aan financiële schade wordt toegeschreven aan dergelijke oplichting.
De dramatisering van cybercriminaliteit in de media doet ons geloven dat bij de meeste inbreuken een geavanceerde hacker betrokken is, die woedend op zijn laptop in een donkere kamer typt om door het netwerk van een bedrijf te breken. Ten eerste zijn er maar weinig hackers die zo goed zijn; ten tweede, waarom misleid je niet gewoon een mens om de deur te openen?
Tegenstanders die phishing-technieken effectief gebruiken, zijn over het algemeen erg overtuigend en hebben een meer sociaal dan technisch inzicht. Ze zijn erg goed in het overtuigen van werknemers om gewoon de ‘sleutels’ over te dragen. Ze begrijpen helaas ook dat werknemers van kleine bedrijven doorgaans veel kwetsbaarder zijn dan hun zakelijke tegenhangers die zijn opgeleid om dergelijke valstrikken te omzeilen.
Wat zijn de methoden voor phishing?
De meest voorkomende vorm van phishing waaraan bedrijven worden blootgesteld, zijn ‘spray and Pray’-campagnes. Het is de minst geavanceerde techniek waarbij een algemeen bericht naar miljoenen gebruikers wordt gemaild met het verzoek om informatie te verstrekken of op een link te klikken waarmee vervolgens schadelijke software wordt gedownload. Deze methode is gemakkelijk te herkennen, maar een gedupeerde werknemer kan ernstige gevolgen hebben voor een klein bedrijf. Die enkele klik zou ransomware kunnen installeren, waardoor bedrijfssystemen worden afgesloten tenzij er een forse betaling wordt gedaan.
E-mail is niet het enige platform waarop werknemers van kleine bedrijven kwetsbaar zijn voor phishing-pogingen. Tegenstanders proberen ook een band met slachtoffers tot stand te brengen via websites, sms-berichten en sociale media. In feite worden er 1,3 miljoen nepwebpagina’s per maand gemaakt met als enig doel gebruikers te misleiden om hun persoonlijke gegevens in te voeren. Deze nep-inlogportalen zijn behoorlijk goed gedaan, en zelfs het meest veeleisende oog kan tijdens een drukke dag voor de gek gehouden worden.
De meest effectieve manier van phishing is “spear phishing”, waarbij de tegenstander een bepaald individu aanspreekt om vertrouwen te ontwikkelen en hun vermogen te maximaliseren om hen te laten doen wat ze willen. Vaak houdt dit in dat je je voordoet als iemand binnen de organisatie, meestal iemand in de leiding, en vaker wel dan niet, de CEO. De crimineel verzamelt vooraf voldoende informatie over het beoogde bedrijf, de afdeling en de persoon om authentiek over te komen. Gewoonlijk hoef je alleen maar snel door sociale media te kammen om een idee te krijgen van de interesses en hobby’s van het doelwit om vertrouwen op te bouwen.
Spearphishing kan een zeer effectieve manier zijn om een medewerker toegang te geven aan onbevoegde gebruikers. Het uiteindelijke doel is om het netwerk van de werkgever te doorbreken en toegang te krijgen tot geld of intellectueel eigendom in plaats van de beoogde gebruiker zelf uit te buiten. Een van de meest voorkomende tactieken die deze criminelen gebruiken, zijn kwaadaardige “ladingen” die verborgen zijn in doorgestuurde documenten. Zodra de medewerker de documenten opent, wordt hem gevraagd macro’s te downloaden om het bestand correct te bekijken. Deze macro’s blijken vervolgens malware of ransomware te zijn.
Verdedigen tegen phishing? Hier onder enkele tips
Dus wat is de beste verdediging tegen phishing? Hier zijn 4 strategische stappen die kleine en middelgrote bedrijven zouden moeten implementeren.
-
Train medewerkers om phishing-pogingen te detecteren
De eerste stap is om medewerkers bewust te maken van de dreiging. Beveiligingsrichtlijnen moeten worden opgesteld en gehandhaafd – wees niet bang om streng te zijn en consequenties vast te stellen voor niet-naleving.
Vervolgens is het van cruciaal belang dat alle medewerkers worden getraind om onderscheid te maken tussen echte correspondentie en phishing. Ze moeten ook de basistrends kennen. Massale phishing-pogingen hebben vaak grammaticale fouten, aanvallers gebruiken vaak spraakmakende gebeurtenissen als lokmiddel, en laaggeplaatste werknemers op financiële en personeelsafdelingen zijn meestal het meest het doelwit.
-
Houd alle software en systemen up-to-date
Phishing-aanvallen proberen, net als de meeste andere vormen van cybercriminaliteit, verouderde software te exploiteren. In een perfecte wereld zouden werknemers phishing detecteren voordat ze er het slachtoffer van worden, en malware zou niet eens worden gedownload. Maar door ervoor te zorgen dat alle software wordt gepatcht en bijgewerkt, neemt je kans op exploits als gevolg van succesvolle phishing drastisch af.
-
Mailbox beveiliging
Intelligente gebruikers zijn de beste verdedigingslinie tegen phishing-pogingen, maar software kan ook helpen. Antispam- en antimalwareproducten, zoals BitDefender GravityZone Security for Exchange, kunnen verdachte correspondentie markeren. Krachtige beveiligingsproducten bieden meerlaagse bescherming tegen spam en phishing zonder e-mailservers te overbelasten met beveiligingsprocessen.
-
Antivirus software
De bovenstaande stappen, indien volledig gevolgd, zouden een klein bedrijf moeten beschermen. Het is echter nog steeds nodig om plannen te maken om de schade te beperken als een phishing-aanval het netwerk van een bedrijf binnendringt. Alle kleine bedrijven moeten gebruik maken van beproefde antivirussoftware, zoals de bitdefender-productlijn. Neem gerust en vrijblijvend contact met ons op voor meer informatie.