Brother
  1. Home Brother
  2. Bedrijfsoplossingen
  3. Brother Resource Hub
  4. Blog
  5. Beveiliging
  6. 2024
  7. Hoe kunnen bedrijven phishing-aanvallen met kostbare gevolgen voorkomen
Business man surrounded by icons including cloud, wifi, padlock and fishing lines with hooks picking up documents

Hoe kunnen bedrijven phishing-aanvallen met kostbare gevolgen voorkomen

Phishing is een ernstig cyberrisico waar elk bedrijf en elke IT-afdeling mee te maken heeft. Aanvallen komen steeds vaker voor en worden geavanceerder. We onderzoeken de impact van phishing op bedrijven en kijken naar de nieuwste manieren waarop cybercriminelen deze vorm van oplichting inzetten. Daarnaast bieden we tips over hoe IT-managers en hun afdelingen de rest van het bedrijf kunnen beschermen tegen Phishing.

 

Phishing-fraude kost bedrijven jaarlijks miljarden euro's, omdat cybercriminelen zich steeds beter organiseren en geavanceerder werken. IT-teams besteden momenteel al een derde van hun werkweek aan de bedreiging van phishing. Naarmate IT-afdelingen meer kennis hebben en beter uitgerust zijn, worden hackers ook slimmer en vinden ze nieuwe manieren om werknemers van bedrijven te bestoken met valse berichten.

Russell Johnson, IT Business Partner bij Brother International Europe vertelt hierover: “Focussen op de gebruiker is van cruciaal belang. We hebben technische eindpuntbeveiligingssystemen die geweldig werken, maar als er een geavanceerde aanval doorkomt, is het aan de gebruiker om zichzelf en het bedrijf te beschermen.”

Door op de hoogte te zijn van de nieuwste phishing-trends en preventieve maatregelen besparen bedrijven tijd, middelen en geld.

Laatste phishing-trends

Er is in heel Europa sprake van een toename van het aantal Business Email Compromise (BEC)-aanvallen, waarbij criminelen zich vooral voordoen als de CEO van een bedrijf. Deze imitatie aanval verleidt werknemers om actie te ondernemen en blijkt een van de vormen van phishing te zijn die bedrijven het meeste geld kost.

Na onderzoek naar hun doelwit (meestal financiële managers) creëren cybercriminelen een overtuigend nep-e-mailadres waarin ze om een transactie verzoeken.

De Oostenrijkse fabrikant van lucht- en ruimtevaartonderdelen FACC verloor 42 miljoen euro bij een BEC-aanval nadat een nep-e-mail een werknemer vroeg om geld over te maken naar een rekening voor een vals acquisitieproject.

De Italiaanse voetbalclub Lazio heeft naar verluidt ook € 2 miljoen verloren door een soortgelijke phishing-zwendel. Het voetbal team uit de Serie A betaalde het geld voor een spelerstransfer nadat het een e-mail had ontvangen die afkomstig leek te zijn van de Nederlandse club Feyenoord.

 
A fake login screen collecting personal information for a phishing attack

Ook vervalste pagina's die gericht zijn op het verzamelen van bedrijfsgegevens zijn in opkomst.

Phishing-e-mails gebruikers leiden naar een valse inlogpagina voor een bedrijfsdienst zoals Microsoft Office 365 of Amazon Web Services (AWS). Dit kan rampzalig zijn voor organisaties, omdat hackers toegang krijgen tot privacygevoelige gegevens van klanten, die op het account zijn opgeslagen.

Zo hebben criminelen onlangs Amazon Web Services nagebootst met behulp van een geautomatiseerde e-mail. De hyperlinks zagen er geloofwaardig uit, maar leidde gebruikers naar een valse inlogpagina.

Cybersecurityconsultant Rob Mukherjee adviseert bedrijven om Computer Vision in te zetten. Dit is software waarmee computers het menselijke visuele systeem kunnen repliceren met behulp van algoritmen. Het is ook een onderdeel van kunstmatige intelligentie.

Rob vertelt: “De software kijkt naar elke afzonderlijke pixel en voorkomt dat e-mails in de inbox terechtkomen als er een afwijking wordt opgemerkt.”

 
A hacker ready to attack a laptop

Er is ook een enorme piek waarneembaar in het aantal phishing-e-mails waarbij LinkedIn wordt nagebootst. Onderzoekers zagen in 2022 een toename van 232% in het aantal e-mails die beweerden afkomstig te zijn van het social media netwerk.

Cybercriminelen maken gebruik van spoofing van weergavenamen en gestileerde HTML-sjablonen om Microsoft Outlook-gebruikers te misleiden, zodat ze op phishing-links klikken en vervolgens hun gegevens invoeren.

LinkedIn wordt ook gebruikt om potentiële spearphishing-doelen uit te zoeken. Hackers gebruikten  het netwerk om systeemingenieurs en netwerkbeheerders bij Sony Pictures Entertainment te identificeren. Gerichte phishing-e-mails resulteerden vervolgens in de diefstal van meer dan 100 terabytes aan bedrijfsgegevens en de aanval kostte Sony meer dan 100 miljoen dollar.

A fake LinkedIn login screen is a possible phishing attack

De werkelijke kosten van phishing

Phishing-aanvallen zijn duur en moeilijk te bestrijden. Volgens IBM was dit de vorm van cyber-aanval die bedrijven in 2022 het meeste geld kostte, namelijk gemiddeld 4,91 miljoen dollar per datalek.

Phishing blijft daardoor de meest voorkomende manier voor cyber-criminelen om toegang te krijgen tot bedrijven. In 2022 was bij 82% van de datalekken binnen Europa sprake van een menselijk element die ongewild toegang verleende tot informatie.

De voortdurende phishing-dreiging is niet alleen duur voor bedrijven, maar heeft ook een directe impact op IT-managers die er meer tijd en middelen aan moeten besteden. IT-afdelingen geven aan dat het gemiddeld 27,5 minuten duurt om één verdachte e-mail te onderzoeken en af te handelen.

Hoe kunnen bedrijven zich beschermen tegen phishing?

Een combinatie van IT-tools en gedragsverandering is de beste manier om een bedrijf te beschermen.

Dan Giannasi, hoofd Cyber en Innovatie bij het Cyber Resilience Center: “Bedrijven moeten stappen ondernemen om hun organisatie te beschermen door het voor aanvallers moeilijk te maken gebruikers te bereiken.”

“Dit omvat het implementeren van robuuste e-mailprotocollen die voorkomen dat bekende phishing-e-mails bij gebruikers terechtkomen en voorkomen dat criminelen hun e-maildomein nabootsen bij andere aanvallen.”

Door een op regels gebaseerd, zakelijk e-mailfilter te implementeren, worden vervalste domeinnamen en identiteiten gedetecteerd, die medewerkers gemakkelijk over het hoofd kunnen zien. Geavanceerde filters kunnen ook malware detecteren, zoals poortscanners en keyloggers.

 
Hand with a fishing rod phishing a laptop

Wat betreft gedragsverandering adviseert Joshua Ashton, directeur van Symposium IT, dat bedrijven elk verzoek om het geven van gevoelige informatie met de grootste voorzichtigheid behandelen. Het begint ermee om de authenticiteit van de bron te verifiëren voordat er daadwerkelijk informatie  wordt vrijgegeven.

Het is ook van cruciaal belang om medewerkers voor te lichten over de veelvoorkomende waarschuwingssignalen van phishing en om hun vaardigheden te testen, aangezien, zoals Russell Johnson opmerkt, 'de menselijke veerkracht altijd kan worden verbeterd'. Russell heeft speciaal voor Brother International Europe een intern cyberbeveiligingsprogramma opgezet, dat aan 1.500 medewerkers wordt aangeboden.

Met de nadruk op het creëren van een ‘menselijke firewall’ wordt de verplichte training ondersteund door corrigerende en optionele begeleiding en artikelen over de nieuwste trends. Elke gebruiker wordt één keer per maand getest met behulp van KnowBe4, een systeem dat kunstmatige intelligentie gebruikt om gebruikers te beoordelen op basis van vier verschillende risicocriteria. Het trainingsprogramma is goed ontvangen door het personeel en het bedrijf ligt nu op koers om de industrienorm te bereiken op het gebeid van phishing-prone.

Wil je meer inzicht?

Download ‘5 Tips van cyberspecialisten om phishing te bestrijden’ 

Meer van Beveiliging

Aanbevolen

Two professionals having a conversation and looking over a laptop

De bedreigingen voor de cyberveiligheid nemen toe. Waarom weten we hier zo weinig van?

Cyberveiligheidsdreigingen nemen toe, maar de kennis hierover blijft achter. In dit artikel, werpen we licht op de risico's, de behoefte aan betere training en de vraag naar strengere beveiligingsmaatregelen.
5 Minuten leestijd
Staff being trained on how to be cyber security aware

5 tips van cyberspecialisten om phishing te bestrijden

De vraag is wat IT-medewerkers kunnen doen om hun bedrijf te beschermen tegen een phishing-aanval? We hebben cyberspecialisten gevraagd om de belangrijkste tips en adviezen te delen, waarmee bedrijven phishing en de gevolgen hiervan kunnen voorkomen.

5 Minuten leestijd
B22093Banner

Vijf stappen naar een veerkrachtige IT-strategie

Als IT-manager moet je tegenwoordig op alles voorbereid zijn. Wordt jouw IT-team binnenkort verrast door een phishing-aanval, een grote hardwarestoring of een natuurramp? Het behoort allemaal tot de mogelijkheden. Het enige dat je kunt doen is de risico’s zo klein mogelijk maken.

4 Minuten leestijd
Terug naar boven