In het dynamische domein van B2B-interacties (Business-to-Business) vormen phishing-aanvallen een ernstige en constante bedreiging. Ze worden steeds geavanceerder en frequenter en beïnvloeden niet alleen bedrijven, maar ook individuen (klanten).
Volgens recente statistieken sturen cybercriminelen rond 3,4 miljard phishing-e-mails elke dag. Aanvullend, 83% van alle bedrijven over de hele wereld worden elk jaar het slachtoffer van een phishing-aanval. Dat is vrijwel elke vier op de vijf bedrijven die met de hitte te maken hebben.
De beste manier om deze aanvallen te bestrijden is door inzicht te krijgen in de tactieken en technieken die cybercriminelen gebruiken om ze uit te voeren. Dat is waar deze gids op zijn plaats komt.
Het duikt in de fijne kneepjes van phishing in het B2B-domein en biedt inzichten en strategieën om bedrijven in staat te stellen zich tegen deze cyberaanvallen te beschermen.
Definitie voor Google-fragment: Phishing is een cyberbeveiligingsaanval waarbij kwaadwillende online actoren social engineering-tactieken gebruiken om een valse identiteit aan te nemen. Ze zijn bedoeld om gevoelige informatie, zoals financiële gegevens en inloggegevens, te extraheren via e-mail, sms-berichten en/of sociale netwerken.
Wanneer individuen deze informatie nietsvermoedend delen, misbruiken cybercriminelen deze voor financieel gewin, identiteitsdiefstal of ongeoorloofde toegang tot bedrijfsnetwerken.
Typen en technieken van phishing-aanvallen
Cybercriminelen gebruiken meerdere soorten phishing-aanvallen, elk met hun eigen doelstellingen en tactieken, om gevoelige bedrijfsgegevens te stelen.
Misleidende phishing
Misleidende phishing, beter bekend als e-mailphishing, is een van de meest voorkomende vormen van phishing-aanvallen. 91% van alle cyberaanvallen. Bij deze tactiek nemen cybercriminelen de identiteit aan van een bekende afzender om gevoelige gegevens te extraheren.
Om uw bedrijf te beschermen tegen misleidende phishing, is het essentieel om uw team(s) op te leiden en hen te helpen de e-mail zelf te gebruiken als wapen tegen identiteitsfraude. Moedig hen aan om niet alleen de naam van de afzender te controleren, maar ook het e-mailadres.
Algemene begroetingen en voorbeelden van onprofessionele grammatica en spelling dienen als waarschuwingssignalen. U kunt ook een fraudepreventieservice van derden gebruiken die e-mailadressen beoordeelt op basis van deze belangrijke statistieken.
Speervissen
Een spearphishing-aanval is een zeer gerichte vorm van misleidende phishing. Organisaties krijgen gemiddeld vijf van dergelijke aanvallen per dag te verwerken. Om dit soort aanvallen te begrijpen, moeten we een scenario overwegen waarin een cybercrimineel zich richt op een hooggeplaatste leidinggevende binnen een bedrijf.
De aanvaller gebruikt openbare informatie om inzicht te krijgen in de rol van de leidinggevende, recente zakelijke activiteiten en zelfs aankomende projecten. Met behulp van deze kennis stellen ze een zeer gepersonaliseerde e-mail op, die afkomstig lijkt te zijn van een vertrouwde B2B-zakenpartner.
De e-mail, waarin de leidinggevende bij naam wordt aangesproken en naar specifieke projecten wordt verwezen, kan onder het mom van urgente samenwerking om gevoelige informatie vragen, zoals financiële rapporten of inloggegevens. Het kan de kans vergroten dat de leidinggevende onbewust vertrouwelijke informatie prijsgeeft.
CEO-fraude
CEO-fraude, ook wel BEC (Business Email Compromise) genoemd, vindt plaats wanneer een oplichter zich voordoet als de CEO van een bedrijf en zich richt op werknemers die doorgaans in financiële of boekhoudkundige teams werken. Het doel van deze identiteitsfraude is om de ontvanger te manipuleren om geld over te maken naar een frauduleuze rekening.
Deze phishing-scams richten zich vaak op werknemers op een lager niveau, waardoor de e-mails minder persoonlijk zijn en afkomstig zijn van valse e-mailadressen. De financiële gevolgen van CEO-fraude kunnen echter aanzienlijk zijn en bedrijven veel geld kosten.
Belangrijke notitie: Whaling is een andere versie van CEO-fraude, waarbij cybercriminelen zich richten op senior executives, zoals CFO’s, CEO’s en COO’s, in plaats van op werknemers op een lager niveau.
Oplichting met valse facturen
Financiële transacties zijn belangrijke doelwitten van cybercriminelen op het gebied van B2B-interacties. Een veelgebruikte tactiek om klanten te misleiden is het gebruik van valse facturen.
Bij dit systeem sturen hackers misleidende facturen die zich voordoen als betrouwbare partners of leveranciers, met als doel geld naar hun eigen rekeningen te sturen.
Deze misleidende facturen zijn zorgvuldig vervaardigd om er echt uit te zien, met nauwkeurige details zoals bedrijfsnamen, logo’s en inkoopordernummers.
Vising
Bij Vishing, een afkorting van ‘voice phishing’, proberen cybercriminelen via de telefoon te phishing. Bij deze zwendel belt de hacker de telefoon van het doelwit, meestal klanten, om hen te misleiden om persoonlijke of financiële informatie te delen.
Om betrouwbaar over te komen, passen oplichters zelfs hun telefoonnummers aan, zodat het lijkt alsof ze bellen vanuit een gerenommeerd bedrijf, wat het lastig maakt om ze te melden.
Deze oplichting is gebaseerd op social engineering-tactieken om een vals gevoel van urgentie of angst te creëren en doelen te manipuleren om gevoelige informatie te onthullen.
Pharming
Pharming is een geavanceerde vorm van phishing-aanval waarbij oplichters hun doelwitten doorverwijzen naar een nepsite. Dit wordt doorgaans bereikt met behulp van cachevergiftiging door zich te richten op het DNS (Domain Name System), dat verantwoordelijk is voor het converteren van websitenamen naar IP-adressen.
De oplichters veranderen het IP-adres dat aan de naam van een website is gekoppeld, waardoor het slachtoffer doorgestuurd wordt naar een kwaadaardige website. Alle informatie die op die site wordt gedeeld, is dan kwetsbaar voor ongeoorloofde toegang en mogelijke diefstal en misbruik.
Phishing door vissers
Angler-phishing is een recente variant van traditionele phishing-aanvallen. Bij deze methode identificeren oplichters doelwitten op sociale media, vooral degenen die publiekelijk klagen over een gerenommeerd B2B-bedrijf.
De aanvaller doet zich vervolgens voor als een klantenserviceaccount van dat bedrijf en probeert de klager te misleiden zodat hij toegang krijgt tot persoonlijke gegevens of accountgegevens.
HTTPS-phishing
Bij dit soort phishing-aanvallen richten oplichters zich op bedrijven met e-mails die veilig lijken omdat er ‘HTTPS’ in de URL staat. Ondanks deze schijn van veiligheid leiden deze links naar kwaadaardige/nepwebsites.
Een financiële medewerker van een bedrijf krijgt bijvoorbeeld een dringende e-mail die afkomstig lijkt te zijn van een vertrouwde partner met daarin een link naar een beveiligde website voor een factuur.
De druk om snel te betalen kan ertoe leiden dat ze op de link klikken en gevoelige betalingsgegevens invoeren op wat een veilige site lijkt. Als ze dit wel doen, worden ze het slachtoffer van een HTTPS-phishing-aanval.
Schokkend genoeg meer dan 50% van de phishingwebsites gebruik zowel HTTPS als het hangslotpictogram. Het toont de noodzaak aan om extra voorzichtig te zijn in B2B-communicatie om deze misleidende tactieken te vermijden.
Herkennen van misleidende phishing-aanvallen
Het herkennen van misleidende phishing-aanvallen is een cruciale vaardigheid bij het beschermen tegen evoluerende cyberdreigingen.
Hier vindt u een lijst met belangrijke indicatoren die u kunnen helpen potentiële phishing-pogingen te identificeren en te voorkomen.
- Verdachte afzender: Phishing-aanvallers gebruiken e-mailadressen die lijken op legitieme domeinen, maar die meestal kleine variaties of verkeerd gespelde tekens bevatten. Wees dus voorzichtig met e-mails van onbekende afzenders of adressen die afwijken van officiële domeinen.
- Slechte grammatica/spelling: E-mails van cybercriminelen kunnen ook taalfouten bevatten, waaronder grammatica- en spelfouten. Legitieme organisaties onderhouden communicatie van hoge kwaliteit, dus het opmerken van deze fouten kan u helpen potentiële phishing-pogingen te identificeren.
- Urgentie en bedreigingen: Het is gebruikelijk dat een lezer een gevoel van urgentie voelt bij phishing-e-mails, omdat deze onmiddellijke actie vereisen. Ze bevatten ook dreigingen met opschorting van accounts, financiële boetes of gegevensverlies om individuen te manipuleren om haastig te reageren. Authentieke communicatie zet gebruikers zelden op deze manier onder druk.
- Verzoeken om persoonlijke informatie: Phishingberichten en e-mails vragen ook om gevoelige informatie, zoals wachtwoorden, burgerservicenummers of creditcardgegevens. Legitieme organisaties vermijden de overdracht van dergelijke informatie via onbeveiligde kanalen zoals e-mail.
- Onverwachte bijlagen: Het is van cruciaal belang om voorzichtig te zijn bij het openen van bijlagen in e-mails, vooral bijlagen die zijn ontvangen van onbekende bronnen. Dat komt omdat cybercriminelen onverwachte e-mailbijlagen gebruiken om malware te verspreiden, wat tot gegevensdiefstal kan leiden.
- Algemene groeten: Phishing-e-mails gebruiken vaak algemene begroetingen, zoals ‘Beste klant’, in plaats van gepersonaliseerde begroetingen, inclusief volledige namen. Dit gebrek aan personalisatie is nog een andere rode vlag waarmee rekening moet worden gehouden.
Tips om phishing-aanvallen te voorkomen
Nu u de tactieken en technieken begrijpt die cybercriminelen gebruiken om phishing-aanvallen uit te voeren en de nuttige methoden om deze te herkennen, gaan we enkele bruikbare tips bespreken om phishing-aanvallen te voorkomen.
- Wees voorzichtig en waakzaam: Het is belangrijk om elke e-mail en elk bericht met een gezonde scepsis te benaderen, vooral als ze afkomstig zijn van onbekende bronnen. Denk twee keer na voordat u op links klikt of bijlagen downloadt, en deel geen gevoelige informatie zonder de legitimiteit van het verzoek nogmaals te controleren en te verifiëren.
- Gebruik MFA: MFA (Multi-Factor Authentication) is een van de beste manieren om phishing-aanvallen te voorkomen. Het is een extra verificatielaag, waarbij naast uw wachtwoord ook een unieke code naar uw mobiele apparaat (of e-mailadres) wordt verzonden, wat de complexiteit vergroot voor aanvallers die ongeautoriseerde toegang proberen te verkrijgen.
- Leid uzelf en uw team(s) op: De methoden en tactieken die door kwaadwillende online actoren bij phishing worden gebruikt, zijn voortdurend in ontwikkeling. Om proactief te blijven, is het van cruciaal belang om uzelf en uw team(s) op de hoogte te houden van de nieuwste phishing-technieken.
- Beveiligingshulpmiddelen installeren: Aanwenden fraudepreventie, antimalware-, firewall- en antivirusprogramma’s op bedrijfscomputers en overweeg browserextensies om bekende phishing-websites te identificeren en te blokkeren. Zorg ervoor dat u elk gereedschap zorgvuldig kiest, bijvoorbeeld één antivirussoftware kan goed zijn voor Windowsmaar Mac-gebruikers moeten mogelijk een andere kiezen.
- Verbeter e-mailbeveiliging: U moet ook investeren in e-mailspamfilterdiensten om verdachte e-mails/bijlagen te identificeren en in quarantaine te plaatsen. Het kan u ook helpen uw verdediging tegen phishing-aanvallen te versterken.
- Software up-to-date houden: Houd ten slotte uw beveiligingsmaatregelen relevant en effectief door uw webbrowsers, besturingssystemen en beveiligingssoftware voortdurend bij te werken, zodat u zeker weet dat u over de nieuwste beveiligingspatches beschikt.
Laatste woorden
Het landschap van cyberbeveiliging evolueert voortdurend en vereist een proactieve en geïnformeerde aanpak om uw bedrijf te beschermen tegen phishing-aanvallen.
Het herkennen van de misleidende tactieken en technieken die cybercriminelen gebruiken om phishing-aanvallen uit te voeren, is een cruciale stap bij het beveiligen van uw B2B-interactie.
Het kan u helpen een robuust verdedigingsmechanisme op te zetten en de algehele beveiligingspositie van uw bedrijf te verbeteren.