Hoe ik zelf gephisht werd en met deze tips erger voorkwam

Met de billen bloot… Vanuit Ratho zijn wij voortdurend bezig met het voorkomen van phishing; we zetten Multi Factor Authenticatie (MFA) in en zetten meerdere beveiligingsvinkjes in Microsoft 365 aan. Daarnaast volgen we trainingen en schrijf ik er, vanuit mijn marketing en communicatie rol, zelfs websiteartikelen, blogs en whitepapers over. En dan toch… trap ik erin. Hoe kan dat?

Welke ingrediënten zijn er nodig om iemand te phishen?

Stel, je zit midden in een verhuizing, er worden je tientallen vragen gesteld, en je moet aan duizend en één dingen denken, dan klik je schijnbaar gewoon op een link die via een ‘sms van mijn bank’ wordt gestuurd. Hierin stond dat er de volgende dag een bedrag van € 673,79 zou worden geïncasseerd. Klopt dit niet, dan kan ik dit controleren. Ik dacht meteen: wie gaat in vredesnaam dit hoge bedrag incasseren, dat komt me nu helemáál niet uit en het is morgen al! Hectiek, drukte om je heen en een mate van urgentie, allemaal ingrediënten om eens goed gephisht te worden.

Alle alarmbellen hadden toen natuurlijk af moeten gaan; ik ben immers getraind. Welke dingen ik deed om erger te voorkomen, deel ik met je in mijn blog.

Hoe ging het phishen in zijn werk?

Vanuit de SMS op mijn telefoon klikte ik op een link waarbij er een webpagina opende en benoemd werd dat ik mijn bankauthenticator nodig zou hebben, die ik braaf gebruikte… Nog steeds gingen er geen alarmbellen af, ja alleen om de hoeveelheid geld die van mijn rekening zou verdwijnen. Eenmaal thuis vulde ik mijn gegevens in en bleek die authenticator helemaal niet nodig… En toen begon het te dagen, ik keek naar de link en die klopte niet! Er stond rabio in plaats van rabo. Maar het leed was al geleden…

Mijn awareness training kwam tóch van pas

Ik was met open ogen en een rugzak vol kennis en informatie in de val getrapt waarvoor ik mijn omgeving zo vaak waarschuw. En wat doe je dan?
Het bleek dat die trainingen en mijn bewustzijn hierover toch goed van pas kwamen want ik bleef kalm en ondernam actie door de bank binnen 30 seconden te bellen en uit te leggen wat er gebeurd was. Mijn rekeningen werden meteen bevroren en ik kreeg nieuwe passen. Ik legde uit hoe het gebeurd was en hoe ‘dom’ ik me voelde. Het enigszins verzachtende antwoord van de dame aan de telefoon was dat het zelfs haar manager weleens was overkomen…

Met welke tips kun jij phishing voorkomen of de juiste actie ondernemen?

Hoe goed je dus ook getraind bent en welke kennis je ook hebt, blijkbaar kan het iedereen overkomen als de hackers maar de juiste ingrediënten gebruiken en jij als gebruiker een ‘zwak moment’ hebt óf niet goed toegerust bent met de juiste oplossingen. Loop daarom altijd de 3 punten door (zie afbeelding) als je enigszins twijfelt over de echtheid van een bericht.
Dus:

1. Is er sprake van autoriteit (in dit geval de Rabobank);
2. Is het urgent (morgen wordt het bedrag al afgeschreven);
3. Triggert het bericht een emotie? (ik schoot in paniek, ik heb deze maand al zo veel kosten…).

Het is niet zozeer een kwestie dát het gebeurt, maar wanneer...

Wij zeggen hier ook vaak: het is niet een gegeven dát je wordt gehackt, maar wanneer. Feitje, 60% van het MKB is de afgelopen 5 jaar in aanraking gekomen met cyber crime en het percentage slachtoffers groeit elk jaar. En vergis je niet, er zit een hele geoliede professionele misdaadorganisatie achter, dat zie je in onderstaand filmpje dat ik zelf ook echt zeer de moeite waard vond om te kijken:

Wees voorbereid

Je kunt maar beter voorbereid zijn en weten wat je moet doen. Ik geef tips: 

Tips voor phishing via je mobiel:

• Bekijk van wie het bericht afkomt: is het een bekende organisatie? Heb je van deze afzender (e-mailadres/telefoonnummer) vaker berichten gekregen. Check altijd de link waar je naar toe gaat, zéker als het een hyperlink of QR-code betreft. Ben je in de mogelijkheid op de link te kopiëren? Ga dan naar https://checkphish.ai/ en plak hier de link. Deze site geeft je een preview van wat je zou zien als je er echt op zou klikken
• Bel de organisatie om te vragen of het bericht echt van hen afkomstig is. Gebruik hiervoor niet de contactgegevens in het bericht maar zoek deze gegevens zelf, bijvoorbeeld op de organisatiewebsite op
• Is het leed geleden? Wijzig dan meteen jouw wachtwoord(en) en bel de betreffende organisatie om jouw account te bevriezen.

Tips ter voorkoming van phishing via je desktop of laptop:

• Stel sowieso MFA in; dit is een redelijk simpele extra stap om je te authentiseren op jouw systeem;
• Is het leed geleden? Trek meteen de netwerkkabel eruit en zet je wifi uit (typ in je zoekbalk Wifi en zet het uit (of activeer vliegtuigstand) om erger te voorkomen, laat je device wél aanstaan;
• Bel meteen jouw IT-beheerder voor de juiste vervolg stappen.

Algemene tips

• Laat een Cyber security scan uitvoeren om te zien hoe goed jouw organisatie voldoet aan het beveiligen van informatie. 
• Volg samen met je medewerkers of collega’s een awareness training en overweeg dit herhaaldelijk te doen.
• Lees nog meer tips in de blog van mijn FG collega Thijs
• Maak gebruik van onze gratis en vrijblijvende phishing simulatie:

Met de billen bloot; hef het taboe op

Ik twijfelde heel erg of ik mijn 'misstap' moest delen met mijn collega’s, er rust een taboe op, ik voelde me dom en schaamde me. Juist ik, die wekelijks met dit thema bezig is, met al mijn kennis, trapte erin. Toch koos ik ervoor om het te delen. Ik besloot om zo het onderwerp meer bespreekbaar te maken en tegelijkertijd ook bij onze organisatie meer awareness te creëren. Met dit blog ga ik ook met de billen bloot naar onze relaties, maar het belang voor mij is om te laten zien dat het écht iedereen kan overkomen; slechts een kwestie van tijd. Ik kreeg gelukkig warme reacties en dat sterkte me tot het delen van deze blog.

Wil je meer hands-on achtergrond informatie? 

Hopelijk heb je iets aan mijn tips gehad. Wil je meer informatie neem dan contact op met mijn wijze teamgenoten via info@ratho.nl.  Je kunt ook bellen: 040 2370 426.