ISACA tips om phishingaanvallen tijdens de feestdagen te vermijden

Het winkelseizoen voor de feestdagen is in volle gang. Zo ook de phishingaanvallen. John Pironti, lid van ISACA’s Emerging Trends Working Group: “Uit de meest recente State of Cybersecurity-gegevens van ISACA blijkt dat 48% van de cybersecurity-experts aangeeft dat het aantal cyberaanvallen het afgelopen jaar is toegenomen. Dergelijke aanvallen worden steeds geavanceerder, omdat cybercriminelen nieuwe technologieën, zoals artificial intelligence (AI), toevoegen om zo hun slagingskans te vergroten.”  

Er zijn vier tips om cyberaanvallen te voorkomen tijdens het belangrijkste winkelseizoen van het jaar. 

1. Vertrouw, maar verifieer. Volg de filosofie ‘vertrouw, maar verifieer’ om te voorkomen dat je het slachtoffer wordt van phishingaanvallen, die steeds geavanceerder worden dankzij AI. Wordt er gevraagd om een wachtwoord, of moet er op een link geklikt worden voor het verstrekken van persoonlijke gegevens? Neem dan contact op met de afzender en verifieer de geldigheid van het verzoek.  

2. Kijk naar de hints. Phishingmails die zijn gegenereerd door kunstmatige intelligentie bevatten vaak aanwijzingen waaraan je kunt zien dat het nepberichten zijn. Het bericht bevat dan grammaticaal fout taalgebruik, maakt gebruik van generieke taal en bevat persoonsdetails die niet helemaal logisch zijn. Wees bewust van de contextuele aanwijzingen waarmee AI-tools vaak fouten maken en voorkom dat je slachtoffer valt aan dit soort cyberaanvallen.  

3. Als het te mooi is om waar te zijn, is het dat waarschijnlijk ook. Phishingmails zijn aanvallen op het vertrouwen van de mensen aan wie ze gericht zijn. Dit soort berichten bieden meestal een dienst aan, of proberen informatie te verstrekken aan een individu waarvan ze denken dat het hen op de één of andere manier voordeel oplevert. Het is altijd goed voor individuen om zichzelf de vraag te stellen of deze e-mail logisch is. Als het bericht een grote waarde of voordeel lijkt te bieden dat atypisch is, dan is het de vraag of het zinvol is dat ze het op dit moment ontvangen. 

4. Let op verdachte verzoeken. Veel phishingmails, waaronder e-mails ontwikkeld met behulp van AI, lijken op geldige verzoeken om gebruikersnamen, wachtwoorden en multi-factor authenticatie-gegevens te achterhalen. In veel gevallen bieden ze diensten aan van een niet-bestaande organisatie. Een veelvoorkomende phishingcampagne via e-mail is bijvoorbeeld dat cybercriminelen een gebruiker laten weten dat er een digitale voicemail voor hen klaarstaat, maar dat de gebruiker eerst moet inloggen op een site om het bericht af te spelen. Voor het invullen van inlog- of MFA-gegevens, is het belangrijk om de domeinnaam en informatie op de website te controleren. Dit kan bijvoorbeeld door de link te kopiëren en te plakken in een kladblok of tekstbestand, wat de volledige link zichtbaar maakt. Als het domein niet gekoppeld is aan je bedrijf of een site waarmee je zakendoet, gaat het waarschijnlijk om een phishingpoging.