Vraag van de week:
Beste Cybercrimeinfo,
Wij hebben de laatste tijd steeds vaker te maken met phishing aanvallen binnen onze organisatie, ondanks dat we regelmatig trainingen aanbieden aan onze medewerkers. Waarom lijken deze aanvallen steeds succesvoller te worden, en wat kunnen we doen om ons beter te beschermen?
Met vriendelijke groet,
Een bezorgde IT-manager
De traditionele benadering: medewerkers als zwakke schakel
In veel organisaties wordt de medewerker gezien als de 'zwakste schakel' in de beveiligingsketen. Dit idee komt voort uit het feit dat medewerkers vaak het doelwit zijn van phishing aanvallen. Cybercriminelen maken gebruik van e-mails of andere communicatie die lijkt te komen van vertrouwde bronnen, om medewerkers te misleiden tot het verstrekken van gevoelige informatie of het klikken op schadelijke links. Het is dan ook niet verwonderlijk dat veel organisaties hun focus leggen op training en bewustwording als belangrijkste strategieën om phishing tegen te gaan.
Bewustwordingscampagnes zijn bedoeld om medewerkers te leren hoe ze verdachte e-mails kunnen herkennen en hoe ze veilig moeten omgaan met persoonlijke en bedrijfsgevoelige informatie. Deze campagnes bevatten vaak e-mailtrainingen, simulaties en richtlijnen voor het melden van verdachte berichten. Het idee is simpel, door medewerkers bewust te maken van de gevaren van phishing, zouden ze minder snel in de val moeten lopen.
Echter, ondanks de vele trainingsinspanningen blijkt dat de effectiviteit van deze campagnes vaak beperkt is. Medewerkers krijgen weliswaar de tools aangereikt om verdachte berichten te identificeren, maar dit leidt niet altijd tot een blijvende gedragsverandering. In de praktijk worden medewerkers blootgesteld aan duizenden e-mails en berichten per dag, waarvan een aanzienlijk aantal legitiem is. Het wordt daardoor steeds moeilijker om te onderscheiden welke berichten wel en niet te vertrouwen zijn. Hoewel bewustwording een belangrijke eerste stap is, blijkt dat phishing aanvallen vaak verder gaan dan de capaciteit van medewerkers om ze effectief te herkennen.
Een bredere kijk op phishing, volgens Cybercrimeinfo
Cybercrimeinfo biedt een andere kijk op de kwestie van phishing. De traditionele benadering van de ‘zwakste schakel’ richt zich voornamelijk op de medewerker, maar volgens Cybercrimeinfo is phishing een veel complexer probleem dat een bredere, holistische benadering vereist. De verantwoordelijkheid ligt niet alleen bij de medewerkers; er spelen verschillende factoren een rol die de effectiviteit van phishing aanvallen vergroten. De menselijke factor is slechts één onderdeel van het grotere geheel.
Phishing aanvallen maken vaak gebruik van geavanceerde sociale engineering technieken, waarbij aanvallers inspelen op menselijke emoties zoals nieuwsgierigheid, angst, of hebzucht. Deze psychologische manipulatie maakt het voor medewerkers veel moeilijker om verdachte berichten te herkennen, zelfs wanneer ze daarvoor zijn getraind. Phishing is dus niet alleen een kwestie van medewerkers die ‘fouten’ maken, maar ook van de technieken die cybercriminelen gebruiken om medewerkers te misleiden. Het is dan ook van cruciaal belang om de bredere context van de organisatie te begrijpen, waarbij zowel de technologische als psychologische factoren een rol spelen in de kwetsbaarheid van een bedrijf.
De complexiteit van phishing, factoren die bijdragen aan kwetsbaarheid
Phishing is niet alleen een kwestie van een menselijke fout, er spelen meerdere factoren mee die de kwetsbaarheid van een organisatie vergroten. Een van de belangrijkste factoren is de technologie die binnen de organisatie wordt gebruikt. Veel bedrijven werken met verouderde software en systemen die onvoldoende beveiligd zijn tegen moderne cyberdreigingen. Wanneer deze systemen niet goed worden onderhouden, bieden ze aanvallers een makkelijke toegangspoort om hun aanvallen te lanceren.
Daarnaast wordt phishing vaak ondersteund door geavanceerde technieken die gericht zijn op het omzeilen van traditionele beveiligingssystemen. Cybercriminelen maken gebruik van valse domeinen of ‘spoofing’ om hun e-mails te laten lijken alsof ze afkomstig zijn van een vertrouwde bron, zoals een collega of een leidinggevende. Deze techniek maakt het voor medewerkers nog moeilijker om te bepalen of een e-mail legitiem is. Het wordt voor de gemiddelde medewerker bijna onmogelijk om dit soort aanvallen met zekerheid te herkennen.
Psychologische factoren spelen eveneens een grote rol. Sociale engineering is een techniek waarbij aanvallers inspelen op cognitieve biases en emoties van medewerkers. Phishing-aanvallen maken vaak gebruik van urgentie of autoriteit om medewerkers over te halen snel te handelen, bijvoorbeeld door op links te klikken of vertrouwelijke informatie te verstrekken. Dit maakt het gemakkelijker voor aanvallers om in de val te trappen, zelfs als medewerkers gewend zijn om verdachte e-mails te melden.
Ten slotte draagt de organisatorische cultuur bij aan de kwetsbaarheid van een organisatie voor phishing aanvallen. In veel gevallen ontbreken er duidelijke protocollen voor het melden van verdachte e-mails, of voelen medewerkers zich niet ondersteund in hun acties. Als er geen cultuur van veiligheid en transparantie is, zullen medewerkers minder snel verdachte e-mails melden, waardoor het risico op een succesvolle aanval groter wordt.
Effectieve strategieën tegen phishing, meer dan alleen training
Om phishing effectief te bestrijden, moeten organisaties verder gaan dan alleen het trainen van hun medewerkers. Het is belangrijk om een bredere benadering te hanteren die zowel technische als organisatorische maatregelen omvat. Een van de eerste stappen is het implementeren van robuuste technische maatregelen, zoals MindYourPass en multifactor authenticatie (MFA). Deze extra laag beveiliging helpt te voorkomen dat aanvallers toegang krijgen tot systemen, zelfs als ze erin slagen om inloggegevens te verkrijgen via phishing.
Daarnaast kunnen e-mailbeveiligingssystemen zoals DMARC (Domain-based Message Authentication, Reporting & Conformance) helpen om de betrouwbaarheid van e-mails te verifiëren en voorkomen dat aanvallers valse e-mails versturen. Het instellen van goede spamfilters en het regelmatig updaten van systemen kan ook bijdragen aan het verminderen van de kans op een succesvolle phishing-aanval.
Naast technische maatregelen is het essentieel om een cultuur van veiligheid binnen de organisatie te bevorderen. Medewerkers moeten niet alleen leren hoe ze verdachte e-mails kunnen herkennen, maar ook aangemoedigd worden om altijd voorzichtig te zijn met het delen van vertrouwelijke informatie, zelfs wanneer deze afkomstig lijkt te zijn van een vertrouwde bron. Het melden van verdachte e-mails moet eenvoudig zijn en zonder angst voor negatieve gevolgen plaatsvinden.
Tot slot moeten organisaties regelmatig hun beveiligingsmaatregelen evalueren en bijwerken. Phishing aanvallen evolueren voortdurend, en het is belangrijk dat bedrijven zich blijven aanpassen aan nieuwe dreigingen. Dit betekent dat het cybersecuritybeleid van een organisatie voortdurend moet worden vernieuwd om effectief te blijven tegen de steeds veranderende technieken van cybercriminelen.
Holistische benadering is noodzakelijk
Phishing is een veel complexer probleem dan de traditionele visie van de ‘zwakste schakel’ doet vermoeden. Het gaat niet alleen om de menselijke factor, maar ook om de technologische en organisatorische kwetsbaarheden die het mogelijk maken dat phishing-aanvallen succesvol zijn. Bewustwordingscampagnes zijn belangrijk, maar ze moeten gepaard gaan met robuuste technische maatregelen, een cultuur van veiligheid en duidelijke protocollen voor het melden van verdachte activiteiten. Alleen door deze holistische benadering kunnen organisaties hun verdediging tegen phishing versterken en de risico’s van cybercriminaliteit minimaliseren.
Wat is?
- Phishing
Phishing is een vorm van cybercriminaliteit waarbij criminelen proberen persoonlijke informatie, zoals wachtwoorden of bankgegevens, te verkrijgen door zich voor te doen als vertrouwde entiteiten, zoals een bank of een bedrijf. - Sociale engineering
Sociale engineering is een techniek waarbij cybercriminelen proberen in te spelen op de psychologie van mensen om ze te misleiden of te manipuleren. Dit kan bijvoorbeeld via e-mails die lijken te komen van vertrouwde bronnen, om zo gevoelige informatie te verkrijgen. - DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC is een technologie die helpt te verifiëren of een e-mail echt afkomstig is van de verwachte afzender, zodat je kunt voorkomen dat cybercriminelen valse e-mails sturen die lijken te komen van bijvoorbeeld een bank of collega. - Spoofing
Spoofing is het vervalsen van afzenderinformatie van een e-mail of bericht, zodat het lijkt alsof het afkomstig is van een betrouwbare bron, zoals een leidinggevende, terwijl het eigenlijk van een cybercrimineel komt. - Malware
Malware is schadelijke software die op een computer of netwerk wordt geïnstalleerd met het doel schade aan te richten, zoals het stelen van gegevens, het beschadigen van systemen of het verkrijgen van ongeautoriseerde toegang. - MindYourPass
MindYourPass is een Nederlandse, kluisloze wachtwoordmanager die gebruikers helpt bij het genereren en beheren van sterke en unieke wachtwoorden, zonder deze op te slaan. Hierdoor kunnen gebruikers veilig inloggen op al hun accounts, zonder dat hun wachtwoorden op een centrale server worden opgeslagen, wat extra bescherming biedt tegen datalekken. Het biedt een veilige manier om wachtwoorden te beheren zonder risico op verlies of diefstal.
Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.
Meer recente artikelen van Cybercrimeinfo
Supply chain aanvallen, Marimo gehackt en FBI leest Signal
Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.
NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays
Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.
ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel
Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.
Politie zoekt extra slachtoffers van verdachte Turpien
De politie roept slachtoffers van een man uit Spijkenisse op om zich te melden. De verdachte zou onder de naam Turpien op Snapchat tientallen meisjes hebben afgeperst. Inmiddels zit hij vast, maar door de hoeveelheid beeldmateriaal die bij hem werd aangetroffen, vermoedt de politie dat er nog meer slachtoffers zijn die nog niet bekend zijn.
APT28 kaapt routers, Kubernetes onder vuur en BKA ontmaskert REvil baas
Bron: Cybercrimeinfo, ondezoeksteam
Twee FortiClient zerodays, Noord-Korea's miljardenbusiness en LinkedIn als spion
Twee kritieke kwetsbaarheden in FortiClient EMS in één week, beide actief misbruikt als zeroday. Noord-Korea blijkt in 2025 voor meer dan twee miljard dollar aan crypto gestolen te hebben en hackt de populaire Axios library via een nep Teams update. Device code phishing neemt 37 keer toe door nieuwe phishing kits. En onderzoekers ontdekken dat LinkedIn meer dan 6.000 browserextensies scant van gebruikers.
Reactie plaatsen
Reacties