Toolkit Phishing
Breng de Phishingcampagne onder de aandacht in jouw netwerk
Wat is phishing? Hoe herken je het? En wat voor gevolgen kan het hebben? Weerbaarheid tegen cyberaanvallen begint bij bewustwording van phishing.
Help je mee met het vergroten van bewustwording en kennis over phishing? Gebruik de onderstaande DTC-content en materialen om bedrijven en medewerkers te informeren over het nut en de noodzaak om phishing te herkennen en te voorkomen.
In deze toolkit:
- Teksten voor nieuwsbrief en website
- Quizzen en bingo
- Afbeeldingen
- Ondernemers vertellen
- Materialen van partners en samenwerkingsverbanden
1. Teksten voor nieuwsbrief en website
Teksten voor in je nieuwsbrief, op een website, sociale media en presentaties. Je kunt altijd verwijzen naar digitaltrustcenter.nl als bron.
Voorbeeld nieuwsbrief tekst: '1 op de 5 medewerkers valt voor phishingmail'
1 op de 5 medewerkers valt voor phishingmail
Waarvoor gebruik je als ondernemer je e-mail? En sms of Whatsapp je met je klanten of toeleveranciers? Stuur je jouw medewerkers of klanten ook facturen, notulen, presentaties, offertes en belangrijke gegevens?
Helaas is e-mail niet altijd optimaal beveiligd én weet jij - maar ook eventuele medewerkers, toeleveranciers en klanten of opdrachtgevers - niet altijd hoe je phishing kunt voorkomen, herkennen en bestrijden. Cybercriminelen gebruiken namelijk spoofing en phishing als methode om geld te verdienen aan bijvoorbeeld nepfacturen of ransomware-aanvallen.
Het mkb vormt een kwetsbare groep en is vaak slachtoffer van cybercriminaliteit. Ruim een kwart van de mkb-medewerkers heeft in het afgelopen jaar op het werk een phishingmail ontvangen. Om inzicht te krijgen in de kwetsbaarheid van het mkb voor phishing en om te kijken hoe de cyberweerbaarheid vergroot kan worden, hebben het Digital Trust Center en het RPCNH (Regionaal Platform Criminaliteitsbeheersing Noord-Holland) de MKB Phishingtest opgezet.
In totaal namen er 33.016 medewerkers van 667 bedrijven deel aan het experiment. Zij ontvingen twee verschillende (imitatie) phishingmails, waarbij de medewerkers werden aangemoedigd om op de link in de mail te klikken.
Zodra dit gebeurde, belandden zij op een pagina met informatie over hoe ze phishingmail hadden kunnen herkennen. Het klikken op de link in dit onderzoek had natuurlijk geen gevolgen. Uit het onderzoeksrapport kwamen onderstaande punten naar voren:
➡️ Ruim 1 op de 5 medewerkers klikt op een link in een generieke phishingmail.
➡️ Medewerkers die een maand eerder een phishingmail hadden ontvangen, klikten minder vaak op een tweede phishingmail.
➡️ Risicozoekende medewerkers hebben de meeste baat bij een phishingtest
De MKB Phishingtest heeft een bijdrage kunnen leveren aan het urgentiebesef door de resultaten in een bedrijfsrapportage terug te koppelen aan het bedrijf met daarbij tips om het bedrijf weerbaarder te maken tegen phishingaanvallen. Daarnaast hebben medewerkers met hun deelname kennis en ervaringen opgedaan en feedback gekregen over het herkennen van phishingmails.
Met deze resultaten in het achterhoofd gaat het DTC een bewustwordingscampagne rondom phishing starten. Deze campagne stimuleert ondernemers om te achterhalen of ze phishing kunnen herkennen, voorkomen en bestrijden. Ze krijgen tools en informatie om veilige e-mailinstellingen te kiezen en andere benodigde stappen te zetten.
Download de rapportage MKB Phishingtest
Bekijk de informatie van het Digital Trust Center rondom phishing.
Wat is phishing?
Iedereen kan te maken krijgen met phishing en slachtoffer worden van de gevolgen hiervan. Phishingaanvallen komen in alle soorten en maten voor. Soms is het een simpel verzoek om persoons- en login-gegevens. Soms is het een zeer gerichte, goed doordachte en specifieke aanval met als doel je organisatie binnen te dringen.
Het is vaak moeilijk om phishing te herkennen, vooral als het gaat om gerichte phishing-aanvallen. Zulke aanvallen lijken vaak van (voor jou) bekende personen af te komen, of noemen uitdrukkelijk namen en informatie die zijn toegespitst op de ontvanger.
Een voorbeeld hiervan is de zogenaamde CEO-fraude. Hierbij worden bijvoorbeeld phishing-mails verstuurd die van een leidinggevende af lijken te komen. Meer informatie op deze pagina over phishing.
Hoe herken ik phishing?
Het goed kunnen afwegen of je een e-mail veilig kunt openen is makkelijker gezegd dan gedaan. Het is vaak erg moeilijk om valse e-mails te herkennen, vooral als het gaat om gerichte aanvallen. Hieronder vind je een aantal adviezen om mogelijke valse e-mails te herkennen.
- Controleer de afzender: de naam van wie je de e-mail ontvangt komt misschien wel overeen, maar controleer ook de domeinnaam (achter het @-teken) en het e-mailadres zelf. Bel indien nodig naar het nummer dat je kent of opzoekt om te controleren of de e-mail door hen is verzonden. Je kunt bij twijfel ook altijd een collega raadplegen om met jou mee te kijken.
- Bekijk de aanhef. Als er een algemene term staat zoals 'Geachte heer/mevrouw', wees dan extra alert.
- Bekijk of er een verzoek staat om je persoonsgegevens 'te controleren', 'bij te werken' of 'aan te vullen'. Je moet dan op een link klikken om dit te doen. Doe dit nooit zomaar. Je bank, verzekeringsmaatschappij en overheidsinstanties vragen dit nooit op deze manier.
- Kijk goed naar het taalgebruik en de vormgeving. Hoewel phishing e-mails tegenwoordig steeds professioneler lijken, is het toch belangrijk om goed te lezen en te bekijken of je toch geen onregelmatigheden tegenkomt. Je kunt ook een eerdere mail van het bedrijf of de instantie ernaast leggen ter vergelijking.
- Veel valse mailtje proberen je onder druk te zetten door gebruik te maken van laatste waarschuwingen of spoedmeldingen. Ga hier niet via de e-mail op in maar neem bij twijfel telefonisch contact op met de hostingpartij.
- Links in nepmails kunnen ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd of leiden je naar een valse website. Klik dus nooit zomaar op de links in een e-mail die je niet vertrouwt. Let ook goed op verkorte links.
- Controleer de bijlage. Een bijlage kan ervoor zorgen dat er schadelijke software op je computer of telefoon wordt geïnstalleerd. Open nooit zomaar een bijlage van een e-mail die je niet vertrouwt.
Bekijk meer informatie over hoe je phishing en valse e-mails kunt herkennen op deze pagina. Bekijk ook de pagina voor meer informatie over cyberbewustwording.
Hoe reageer ik op phishing?
Heb je te maken met phishing binnen je bedrijf of organisatie? Bepaal als eerste wat voor soort phishingincident er heeft plaatsgevonden. Zijn er wachtwoorden buitgemaakt? Is er malware geïnstalleerd? Zijn er ongewenste betalingen geautoriseerd? Als je dat weet, kan je vervolgstappen zetten. Weet je het niet zeker, raadpleeg dan intern een collega om samen te kijken of je hier met phishing hebt te maken en in te schatten hoe groot de schade is.
- Wachtwoorden
Als er wachtwoorden of andere login-gegevens zijn buitgemaakt is het zaak om deze te veranderen. Als je dit wachtwoord ook op andere plekken hebt gebruikt dan moet het wachtwoord overal gewijzigd worden. - Malware
Malware kan soms verwijderd worden maar beter is het om geen risico te nemen en het systeem opnieuw te installeren. Inventariseer ook of de malware zich verder heeft verspreid. - Betalingen
Betalingen kunnen in sommige gevallen worden teruggedraaid of tegengehouden. Meld dit soort incidenten vooral snel aan je bank zodat ze kunnen waken voor verdachte betalingen. - Datalek
Als er persoonsgegevens zijn buitgemaakt, veranderd of verwijderd, dan heb je een datalek en moet je dat mogelijk melden bij de Autoriteit Persoonsgegevens.
Bekijk ook verdere informatie over wat je kunt doen als je te maken hebt met phishing , wat je kunt doen als je gehackt bent en hoe je een incident response plan opstelt.
Hoe kan ik phishing bestrijden met e-mail beveiligingsstandaarden?
Wist je dat het mogelijk is om op afstand te controleren welke e-mail beveiligingsstandaarden er zijn ingericht? Dit is niet afhankelijk van de vraag of je de e-mailomgeving van jouw organisatie zelf beheert of dit hebt uitbesteed bij een IT-dienstverlener. Er zijn meerdere websites op internet te vinden die deze controle eenvoudig kunnen uitvoeren. Het enige wat je daarvoor moet doen is het maildomein van jouw organisatie in te voeren in een daarvoor bestemd invoerveld.
Op de website van internet.nl vind je de “e-mailtest”. Deze e-mailtest kijkt naar de meest belangrijke e-mailbeveiligingsstandaarden. Na het doorlopen van de test krijg je een rapport en een score die je een beeld geven hoe het er voor staat met jouw maildomein. Dit overzicht kan je helpen om zelf aanpassingen of toevoegingen te doen of om in gesprek te gaan met jouw IT-dienstverlener. Zo’n test kan uiteraard niet alles zien maar geeft je wel een goed vertrekpunt.
Op de pagina e-mail beveiligingsstandaarden geeft het DTC een korte omschrijving en overzicht van verschillende e-mailbeveiligingsstandaarden. Het is belangrijk om je bewust te zijn van deze standaarden. Overweeg om deze standaarden, eventueel samen met jouw IT-dienstverlener, in te richten.
Wat is sms-phishing?
Er zijn veel verschillende soorten phishing waarbij je altijd goed moet letten op eerder genoemde punten zoals de afzender, e-mailadres, inhoud en opmaak.
Een van de meest voorkomende vormen van phishing is e-mail, maar ook via een sms, telefonisch of via apps kan het zijn dat cybercriminelen proberen slachtoffers 'binnen te hengelen' en proberen hen op valse links te laten klikken of een bijlage te laten openen met schadelijke software.
Je kunt sms phishing herkennen door te letten op onderstaande punten:
- Vreemd nummer
Wanneer het nummer van de afzender je onbekend voorkomt en een afwijkende numeriek heeft, dan is de kans groot dat het om sms-phishing gaat. - Aparte link(s)
Bekijk goed hoe de link waar je op moet klikken eruit ziet. Is het adres anders dan je zou verwachten? Soms wordt van verkorte links gebruik gemaakt. - Onverwacht bericht
Is het logisch dat je een sms-bericht krijgt van deze afzender? Sta je in contact met deze vermoedelijke afzender? Nee? Wees dan extra alert en negeer het bericht.
Bekijk op deze pagina aanvullende informatie over sms-phishing.
Wat is consent phishing?
Je kunt niet alleen het slachtoffer worden van phishing via sms, e-mail of een telefoontje, maar ook door 'consent phishing'. Bij deze vorm proberen kwaadwillenden toegang tot je gegevens te krijgen doordat jij toestemming (consent) geeft voor bijvoorbeeld het gebruiken van jouw gegevens.
In veel gevallen van deze vorm maakt de cybercrimineel gebruik van zakelijk veelgebruikte applicaties of online diensten zoals Microsoft Office 365 en Google Workspace. Medewerkers werken er veel mee en zijn vertrouwd met hoe deze applicaties werken en eruitzien. Denk hierbij aan schermen (pop-ups) om in te loggen, toestemming te geven om iets te delen of gebruik te maken van bepaalde applicaties.
Deze vertrouwde omgevingen worden door cybercriminelen misbruikt om gebruikers te misleiden. Ze maken bijvoorbeeld applicaties of delen bestanden via één van de veel gebruikte cloudoplossingen waardoor deze voor de ontvanger overkomt als vertrouwd. De kans neemt daarmee toe dat een verzoek tot toestemming wordt geaccepteerd of een kwaadaardig bestand wordt geopend. Simpelweg omdat dit plaatsvindt binnen de bekende en vertrouwde omgeving.
Bekijk op deze pagina aanvullende informatie over consent phishing en wat je hier als ondernemer aan kunt doen.
2. Quizzen
Test je kennis over phishing en online fraude in slechts enkele minuten.
Phishingquiz
Wat weet jij van phishing? Test je kennis in 8 vragen.
Online fraudequiz
Test je kennis over online fraude.
Phishingbingo
Speel phishingbingo en trap er niet meer in.
3. Afbeeldingen
Gebruik onderstaande slider over typosquatting op social media.
4. Ondernemers vertellen
Door onderstaande ervaringsverhalen te delen kunnen ondernemers elkaar inspireren en aanmoedigen om de cyberweerbaarheid van het Nederlandse bedrijfsleven naar een hoger plan te tillen. De volgende ondernemers hebben te maken gehad met - of zijn zich extra bewust van - de risico's rondom phishing. Leer vooral van de tips en adviezen die zij geven!
Volvo-dealer uit Noord-Holland wordt slachtoffer van ransomware-aanval
Volvo-dealer Ton van Kuyk uit Alkmaar werd begin 2023 slachtoffer van een ransomware-aanval. Financieel directeur Jack Ros legt uit waarom het bedrijf niet is ingegaan op de eis van de hackers, zo'n 300.000 dollars in Bitcoins. Gelukkig waren er back-ups om de bedrijfsprocessen weer snel op gang te krijgen.
Adviesbureau slachtoffer van zakelijke identiteitsfraude
Eigenaar Edwin de Ruijter van adviesbureau De Ruijter ontdekte dat de goede naam van zijn bedrijf wordt misbruikt om mensen op te lichten. Oplichters gebruiken een bijna zelfde bedrijfsnaam om geld bij slachtoffers af te troggelen. Met een advertentie lokken ze mensen naar een nepwebsite voor een neplening.
Productie poliovaccin in Bilthoven komt bijna tot stilstand na cyberaanval
Jaarlijks produceert Bilthoven Biologicals miljoenen doses poliovaccins voor het programma van de Wereldgezondheidsorganisatie (WHO). Maar de vaccinproductie kwam bijna tot stilstand toen het bedrijf in september 2022 slachtoffer werd van een ransomware-aanval. "Deze cybercriminelen spelen met mensenlevens."
Voedingsmiddelenbedrijf betrapt hackers op heterdaad
Voedingsmiddelenbedrijf Royal Smilde was het slachtoffer van een ransomeware-aanval, maar gelukkig konden ze de daders op heterdaad betrappen. De schade bleef beperkt, mede dankzij de backups. Maar het had niet veel gescheeld of het was helemaal fout afgelopen. Wat heeft Royal Smilde gedaan om deze aanval af te weren?
5. Materialen van partners en samenwerkingsverbanden
In verschillende cyberweerbaarheidsnetwerken werken ondernemers samen met andere organisaties aan het vergroten van de cyberweerbaarheid. Samen verkleinen ze de risico's in de keten en zorgen ze voor een hogere bewustwording bij ondernemers en medewerkers, onder andere over phishing.
Onderstaande materialen van partners en samenwerkingsverbanden van het DTC kun je bekijken en delen. Uiteraard met de juiste bronvermelding. Heb je waardevolle phishing campagne content en/of materialen die je graag met ons en met andere bedrijven wil delen? Hier kun je dat met ons delen.
Toolkit cyberveiligheid
Een van de grootste kwetsbaarheden voor cyberveiligheid in het mkb is het gedrag van medewerkers: met één verkeerde muisklik kan het bedrijf al geraakt worden door cybercriminelen. In 2020 heeft MKB Nederland een effectieve aanpak laten ontwikkelen door Inspire to Act en de Haagse Hogeschool om medewerkers te stimuleren verdachte e-mails intern te melden. De gedragsaanpak is getest binnen het mkb-metaal.
Bekijk de onderstaande documenten en afbeeldingen en gebruik ze om gedragsverandering teweeg te brengen binnen jouw organisatie of branche.
Toolkit cyberveiligheid
1. Toolkit CyberveiligheidPDF
Document |
433.43 KB
|
2. Samenvatting van de proeftuinPDF
Document |
1.36 MB
|
3. Installatieplan voor meldknopPDF
Document |
1.28 MB
|
4. Poster A2 (drukklaar)PDF
Document |
1.95 MB
|
4. Poster A2 (printversie)PDF
Document |
1.53 MB
|
|
6. Poster A3 algemeen (drukklaar)PDF
Document |
1.95 MB
|
6. Poster A3 algemeen (printversie)PDF
Document |
1.92 MB
|
7. StickerPDF
Document |
235.83 KB
|
E-mail veilig campagne - Internet.nl / Cybersecurity Alliantie / VNO-NCW / MKB-Nederland
Met de campagne "E-mail veilig" stimuleert de Veilige E-mail Coalitie ondernemers om te onderzoeken of ze veilig e-mailen. We helpen bedrijven om, samen met hun hoster, de benodigde stappen te zetten. Deze campagne is uitgerold in 2020.
Eerst checken dan klikken - Veilig Internetten
Het platform Veilig Internetten is een samenwerking van overheid, wetenschap en private partijen om de burgers te informeren over veilig internetten. Dit initiatief wordt ondersteund door de ministeries van Economische Zaken en Klimaat en Justitie en Veiligheid. De campagne 'Eerst checken, dan klikken' is een initiatief van het ministerie van Justitie en Veiligheid en met vele convenantpartners samen is het doel om alle Nederlanders te attenderen op het gevaar van phishing.
Meer informatie
Via onderstaande links kun je verdere informatie vinden, aanvullende materialen opvragen, in contact komen met andere samenwerkingsverbanden en brancheorganisaties via de DTC Community of contact zoeken met het DTC.
Op zoek naar iets specifieks?
Staat dat wat je zoekt hier niet bij? Laat het ons even weten via een 'geeltje' hieronder. Misschien hebben we al iets, of kost het ons weinig moeite om het te maken.
In contact komen met anderen?
Via de DTC Community kom je met andere samenwerkingsverbanden, brancheorganisaties, cyberdeskundigen en ondernemers in contact. Deel je ervaring en relevante campagnematerialen, stel een hulpvraag of start een discussie. Je kunt je hier aanmelden voor de DTC Community.
Op zoek naar andere onderwerpen?
Onze cybersecurity adviseurs hebben veel cybersecurity onderwerpen uitgediept op deze website. Staat het onderwerp wat je zoekt in de lijst van Informatie en Advies?
Niet in de lijst? Laat het ons weten, dan buigen we ons erover.