ISACA tips om phishingaanvallen tijdens de feestdagen te vermijden
Het winkelseizoen voor de feestdagen is in volle gang. Zo ook de phishingaanvallen. John Pironti, lid van ISACA’s Emerging Trends Working Group: “Uit de meest recente State of Cybersecurity-gegevens van ISACA blijkt dat 48% van de cybersecurity-experts aangeeft dat het aantal cyberaanvallen het afgelopen jaar is toegenomen. Dergelijke aanvallen worden steeds geavanceerder, omdat cybercriminelen nieuwe technologieën, zoals artificial intelligence (AI), toevoegen om zo hun slagingskans te vergroten.” Er zijn vier tips om cyberaanvallen te voorkomen tijdens het belangrijkste winkelseizoen van het jaar. |
1. Vertrouw, maar verifieer. Volg de filosofie ‘vertrouw, maar verifieer’ om te voorkomen dat je het slachtoffer wordt van phishingaanvallen, die steeds geavanceerder worden dankzij AI. Wordt er gevraagd om een wachtwoord, of moet er op een link geklikt worden voor het verstrekken van persoonlijke gegevens? Neem dan contact op met de afzender en verifieer de geldigheid van het verzoek. 2. Kijk naar de hints. Phishingmails die zijn gegenereerd door kunstmatige intelligentie bevatten vaak aanwijzingen waaraan je kunt zien dat het nepberichten zijn. Het bericht bevat dan grammaticaal fout taalgebruik, maakt gebruik van generieke taal en bevat persoonsdetails die niet helemaal logisch zijn. Wees bewust van de contextuele aanwijzingen waarmee AI-tools vaak fouten maken en voorkom dat je slachtoffer valt aan dit soort cyberaanvallen. 3. Als het te mooi is om waar te zijn, is het dat waarschijnlijk ook. Phishingmails zijn aanvallen op het vertrouwen van de mensen aan wie ze gericht zijn. Dit soort berichten bieden meestal een dienst aan, of proberen informatie te verstrekken aan een individu waarvan ze denken dat het hen op de één of andere manier voordeel oplevert. Het is altijd goed voor individuen om zichzelf de vraag te stellen of deze e-mail logisch is. Als het bericht een grote waarde of voordeel lijkt te bieden dat atypisch is, dan is het de vraag of het zinvol is dat ze het op dit moment ontvangen. 4. Let op verdachte verzoeken. Veel phishingmails, waaronder e-mails ontwikkeld met behulp van AI, lijken op geldige verzoeken om gebruikersnamen, wachtwoorden en multi-factor authenticatie-gegevens te achterhalen. In veel gevallen bieden ze diensten aan van een niet-bestaande organisatie. Een veelvoorkomende phishingcampagne via e-mail is bijvoorbeeld dat cybercriminelen een gebruiker laten weten dat er een digitale voicemail voor hen klaarstaat, maar dat de gebruiker eerst moet inloggen op een site om het bericht af te spelen. Voor het invullen van inlog- of MFA-gegevens, is het belangrijk om de domeinnaam en informatie op de website te controleren. Dit kan bijvoorbeeld door de link te kopiëren en te plakken in een kladblok of tekstbestand, wat de volledige link zichtbaar maakt. Als het domein niet gekoppeld is aan je bedrijf of een site waarmee je zakendoet, gaat het waarschijnlijk om een phishingpoging. |
Meer over
Lees ook
Gehackte LinkedIn-accounts misbruikt voor phishingaanval
LinkedIn-gebruikers zijn doelwit van een phishingcampagne. De aanvallers versturen via gehackte LinkedIn-accounts phishinglinks naar connecties van slachtoffers, waardoor de URL van een vertrouwde bron afkomstig lijkt te zijn. Hiervoor waarschuwt beveiligingsonderzoeker Jérôme Segura van Malwarebytes. De aanvallers sturen phishingberichten naar c1
Phishingcampagne richt zich op Gmail- en Yahoo-accounts van hooggeplaatst personeel
Hooggeplaatst personeel van bedrijven en overheidsinstanties zijn doelwit van een professionele phishingscampagne. Aanvallers proberen toegang te verkrijgen tot Gmail- en Yahoo-accounts van slachtoffers. De infrastructuur die hiervoor wordt gebruikt lijkt veel op de infrastructuur die eerder werd gebruikt bij aanvallen op de Amerikaanse Democratis1
Geavanceerde phishingcampagne richt zich op Google Docs-gebruikers
Gebruikers van Google Docs zijn doelwit van een opvallende phishingcampagne. In tegenstelling tot traditionele phishingaanvallen worden gebruikers niet doorverwezen naar een malafide website die lijkt op de legitieme versie van Google Docs, maar wordt hen gevraagd een malafide app toegang te geven tot hun Google-account. Google meldt dat gebruike1