Phishing: blijf niet in het Net hangen!

(01-10-2019) Oktober is Cyber Security-maand. Veel ernstige cyberaanvallen beginnen met een enkele geslaagde phishing-actie. Wapen je tegen dergelijke acties.

Bij phishing (in de strikte betekenis) probeert een oplichter gevoelige informatie te verkrijgen om later te misbruiken, zoals een kredietkaartnummer of wachtwoord. Ga je in op een frauduleuze uitnodiging, dan kan dat verstrekkende gevolgen hebben. Wij helpen je alvast op weg om phishing te herkennen en er correct mee om te gaan.

 

Wat is phishing?

Phishing is een vorm van internetfraude. Gebruikers worden bijvoorbeeld via een frauduleuze e-mail naar een website gelokt. Deze website is echter een kopie van de echte site en heeft tot doel zoveel mogelijk gegevens te verzamelen waar cybercriminelen mee aan de slag kunnen.

Als je op een phishing e-mail ingaat, is één van onderstaande scenario’s mogelijk:

  • Verdwijnt overgeschreven geld naar de bankrekening van de hacker
  • Komen je accountgegevens in de verkeerde handen en wordt jouw account misbruikt om spam te versturen. Mogelijks worden je e-mails en data gedownload en te grabbel gegooid op het internet
  • Wordt jouw toestel geblokkeerd met ‘gijzelsoftware’ en kan jij of meerdere collega’s niet meer werken
  • Wordt jouw toestel geïnfecteerd met een keylogger om jouw wachtwoorden te kunnen stelen
  • Krijgt de hacker zonder jouw medeweten controle over jouw toestel

Hoe kan je phishing herkennen?

Anno 2019 maken gespecialiseerde hackers e-mails die er net echt uitzien en die van een afzender lijken te komen die betrouwbaar is. Enkele voorbeelden van de inhoud van dergelijke e-mails:

  • Jouw baas vraagt om dringend een betalingsopdracht uit te voeren
  • Je ontvangt een factuur van een gekende leverancier met de vraag om de betaling goed te keuren
  • Een helpdesk vraagt om je login-gegevens te verifiëren
  • Een collega of kennis bezorgt je een interessante weblink

Het herkennen van phishing e-mails is een kwestie van oplettendheid. Als stelregel geldt: werk niet te snel en durf je af en toe eens af te vragen ‘is dit wel veilig?’. Vaak staan er spelfouten in phishing e-mails, maar ook hackers worden steeds professioneler. Twijfel je? Neem dan het zekere voor het onzekere en ga er gewoon niet op in. Je kan ook steeds bij de (vermeende) afzender via een ander kanaal checken of het om een legitieme e-mail gaat.

Waar kan je phishing melden?

DICT bouwde een aantal technische mechanismen in om phishing (en spam) zo goed mogelijk te weren van het UGentNet.  Maar met heel veel cyberaanvallen per jaar heeft DICT ook de hulp van alle UGent-medewerkers nodig: blijf alert en meld elke poging tot phishing bij DICT. Forward de phishing e-mail zeker niet, maar stuur hem  als bijlage naar , met 'phishing' in de onderwerpregel. De volledige meldingsprocedure vind je hier.

In het verleden plaatsten sommige UGent-medewerkers omwille van educatieve doeleinden zelf phishing simulaties op het internet. Weet dat dit bij UGent-reglement ten strengste verboden is, gezien kwaadaardige en goedbedoelde acties moeilijk te onderscheiden zijn. Externe beveiligingsorganisaties kunnen om deze reden UGentNet of UGent e-mail blokkeren.

Meer vragen over phishing? Contacteer dan Michel Raes, IT-security officer bij DICT.