Wat is consent phishing?

Bijna iedereen kent het fenomeen phishing via een e-mail. Je wordt in een (nep)mail verleid om gevoelige informatie zoals inloggegevens prijs te geven aan cybercriminelen. Een specifieke variant op phishing is ‘consent phishing’. Bij consent phishing proberen kwaadwillenden door middel van toestemmingsverklaringen toegang tot je gegevens te krijgen.

Hoe werkt het?

Voor deze vorm van phishing maken cybercriminelen graag gebruik van zakelijk veelgebruikte applicaties of online diensten zoals bijvoorbeeld Microsoft Office 365 en Google Workspace. Medewerkers werken er dagelijks mee en zijn vertrouwd met hoe deze applicaties werken en eruitzien. Denk hierbij aan schermen (pop-ups) om in te loggen, toestemming te geven om iets te delen of gebruik te maken van bepaalde applicaties.

Deze vertrouwde omgevingen worden door cybercriminelen misbruikt om gebruikers te misleiden. Ze maken bijvoorbeeld applicaties of delen bestanden via één van de veel gebruikte cloudoplossingen waardoor deze voor de ontvanger overkomt als vertrouwd. De kans neemt daarmee toe dat een verzoek tot toestemming wordt geaccepteerd of een kwaadaardig bestand wordt geopend omdat dit plaatsvindt binnen de bekende en vertrouwde omgeving.

Het kan ook zijn dat je een e-mail ontvangt over zogenaamde wijzigingen in het gebruik van zo’n veelgebruikte applicatie. Mogelijk gaan er geen phishing alarmbellen rinkelen bij je. Als je klikt op een link in de e-mail dan kan het zijn dat je daarmee ‘akkoord gaat’ met het gebruik van de applicatie en geef je deze toegang tot een aantal belangrijke zaken. Je geeft mogelijk onbedoeld toegang tot je mailbox of je persoonlijke account. Hierdoor geef je kwaadwillenden dus toestemming om mee te lezen, bestanden te downloaden of misschien zelfs mails uit jouw naam te sturen.

Als je al bent ingelogd in je account wanneer je dit bericht krijgt, is één eenvoudige klik voldoende om deze rechten weg te geven. Tweefactorauthenticatie biedt helaas geen bescherming omdat je de cybercriminelen al toestemming hebt gegeven. Je krijgt bovendien de toestemmingsmelding niet meer te zien en kunt dus moeilijk achterhalen welke rechten je het geïnstalleerde programma hebt gegeven.

Voorbeeld van een verzoek om toegang tot gegevens van een online dienst, in dit geval Microsoft. Uit een snelle google zoekopdracht naar de organisatie 'microsoftidentity.dev' blijkt dat dit toestemmingsverzoek niet te vertrouwen is.

Wat kun je tegen consent phishing doen?

Wat kun je als ondernemer doen om je medewerkers te helpen bij het herkennen en voorkomen van consent phishing?

  • Maak medewerkers bewust van consent phishing
    • Net als met andere phishingmails of bijlagen: als je het niet verwacht dat je toestemming moet geven, klopt het vaak niet.
    • Online diensten geven bij het bericht waarin de toestemming wordt gevraagd vaak al aan waar de applicatie vandaan komt. Als dat geen betrouwbare bron is, wees alert!
    • Train medewerkers om toestemmingsverzoeken niet zomaar te accepteren. Laat hen checken of de online dienst of applicatie vertrouwd is en of de toestemming die gevraagd wordt noodzakelijk is.
  • Faciliteer het voorkomen van consent phishing
    • Zorg dat er een contactpunt (bijvoorbeeld helpdesk) bekend is waar medewerkers terecht kunnen als ze twijfelen over de echtheid van een e-mail en spreek af dat dat gebruikt wordt.
    • Mogen medewerkers zelf nieuwe diensten of applicaties installeren? Bekijk wat de mogelijkheden zijn om alleen bepaalde online diensten en/of applicaties toe te staan binnen je organisatie. Bespreek dit bijvoorbeeld met je IT-dienstverlener.
    • Wijs medewerkers er op dat werk en privé gescheiden moeten blijven. Dus geen werkgerelateerde informatie delen via privé gebruikte online diensten.
    • Laat medewerkers periodiek de gegeven toestemming nalopen. Ga na bij je cloudleverancier waar je zo’n overzicht kunt vinden. Wanneer je hier applicaties of leveranciers tussen ziet die je daar niet verwacht, overweeg dan om toestemming in te trekken. Toestemming kan later altijd weer gegeven worden.

Andere varianten van phishing

Er zijn talloze manieren om waarop cybercriminelen proberen bij je bedrijfsgegevens te komen voor afpersing of fraude. Lees meer over deze oplichtingsvormen, hoe je het bestrijdt en wat je kunt doen om het te voorkomen.

Test je kennis over phishing

In de meeste gevallen is phishing de oorzaak van een cyberaanval op een bedrijf. Daarom is het erg belangrijk dat medewerkers weten hoe ze phishing herkennen en niet verleid worden door cybercriminelen om op verdachte links of bestanden te klikken. Test of ze jou gemakkelijk kunnen misleiden met deze Phishing Quiz.