25/03/2021

Phishing: laat je niet verleiden, maar informeer je!

Leesduur: 4 min

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

Over de auteur

Roeland
Lembrechts

Nadat ik afstudeerde als criminoloog aan de KU Leuven, besloot ik om aansluitend rechten te studeren aan de Universiteit Antwerpen. Met die intellectuele bagage startte ik mijn carrière als advocaat aan de Mechelse balie om ongeveer 10 jaar later partner te worden in het fantastische project van Sirius Legal.