De stormachtige ontwikkeling van AI maakt phishing nog gevaarlijker dan het nu al is. Zijn mkb-bedrijven voldoende voorbereid? “Het belangrijkste is dat er structureel aandacht is voor de gevaren,” zegt Erwin Hasenpflug, cybersecurity-adviseur bij het Digital Trust Center, onderdeel van het ministerie van Economische Zaken en Klimaat.

Phishing AI

In dit artikel

Onlangs hebben internet-oplichters geprobeerd de Nederlandse online bank Bunq op te lichten met behulp van een AI-kloon van CEO Ali Niknam. Eén van de medewerkers ontving een mail met een uitnodiging voor een videogesprek, waarin hij door de ‘nep-CEO’ werd gevraagd een groot geldbedrag over te maken.

Voor bedrijven is de inzet van AI voor criminele doeleinden een nachtmerrie, want dat betekent dat het veel moeilijker wordt om mogelijke phishing-aanvallen te herkennen. 

In hoeverre zijn mkb-bedrijven op de phishing-dreigingen voorbereid? En welke maatregelen, zoals regelmatige training en technische oplossingen, zijn absoluut noodzakelijk om zich voor toekomstige aanvallen in te dekken? We vroegen het aan Erwin Hasenpflug, die als cybersecurity-adviseur werkt voor het Digital Trust Center. 

profiel Erwin Hasenpflug

De percentages genoemd bij de vragen in het artikel komen uit een recent phishing-onderzoek van Capterra, waarbij 339 vaste medewerkers en 131 managers zijn geïnterviewd die weleens een phishing-poging op het werk hebben ontvangen. De volledige methodologie vind je onderaan dit artikel.

Maken mkb-bedrijven zich genoeg zorgen over de gevaren van phishing?

Capterra: Uit recent onderzoek van Capterra blijkt dat maar 13% van de managers bij bedrijven in Nederland zich serieus zorgen maakt over phishing. Is die relatieve zorgeloosheid wat betreft het mkb terecht? 

Erwin Hasenpflug: “Voor een groot deel van het mkb geldt dat er nog steeds (grote) stappen kunnen worden gezet om zich in te dekken tegen phishing-aanvallen. In het algemeen kun je zeggen dat veel mkb-organisaties hun basis niet op orde hebben als het gaat om cyberweerbaarheid. Dit komt deels omdat het besef van urgentie ontbreekt, maar ook omdat ze niet altijd de kennis en middelen hebben om deze basis op orde te brengen. Hierdoor zijn bedrijven minder weerbaar voor cyberincidenten waaronder phishing.”

Volgens het onderzoek van Capterra klikken managers vaker op phishing-links dan reguliere werknemers (12% versus 2%). Wat zou daar de verklaring voor kunnen zijn?

EH: “Ik vermoed dat dit vooral te maken heeft met gerichte phishing-aanvallen op personen binnen een organisatie met beslissingsbevoegdheid. Het is voor cybercriminelen via internet vaak makkelijk te achterhalen welke mensen dat zijn binnen de organisatie, omdat hun informatie op de website van het bedrijf staat of via (zakelijke) social-media is in te zien.”

Maakt het voor het gevaar van phishing nog een verschil of medewerkers veel thuiswerken?

EH: “Uiteindelijk draait het bij phishing om misleiding, waarbij aanvallers zich voordoen als iemand anders en dat kan natuurlijk een collega zijn. In zo'n geval is het niet ondenkbaar dat de drempel op kantoor lager is om even naar elkaar toe te lopen als je een ongebruikelijke mail van een collega hebt ontvangen. Aan de andere kant kun je technisch gezien veel afdekken door goed te investeren in het gebruik en beheer van IT-apparatuur die je vanuit huis gebruikt.”

citaat over cyberweerbaarheid mkb

Welke stappen zou het mkb moeten nemen om zich in te dekken tegen phishing?

Wat zijn de belangrijkste maatregelen die mkb-organisaties kunnen nemen om voldoende voorbereid te zijn op een phishing-aanval?

EH: “Ik zou technisch gezien vooral de focus leggen op het inrichten van tweefactorauthenticatie, goede e-mail-beveiligingsstandaarden en een goede anti-spam-oplossing. Maar minstens zo belangrijk als technologische oplossingen is dat je zorgt dat er structureel aandacht voor deze dreiging binnen het bedrijf is. Denk hierbij aan bewustwording in het algemeen, maar ook aan training van medewerkers om phishing of andere online fraudevormen te herkennen. Het Digital Trust Center heeft ook een quiz opgenomen op de website, waarmee iedereen zijn of haar kennis van phishing kan testen.”

In het onderzoek van Capterra zegt minder dan de helft (46%) van de ondervraagde werknemers dat ze een phishing-training hebben gehad. Wordt er genoeg aandacht besteed aan training van werknemers?

EH: “Het Digital Trust Center heeft dit jaar 841 mkb-bedrijven gevraagd of ze weleens een cyberoefening hadden gedaan. Daarop antwoordde 75% van de ondernemers dat nog nooit te hebben gedaan. Een kwart antwoordde het nut te zien van oefenen. Nu is dit niet één-op-één te vertalen naar een phishing-trainingen, maar het geeft wel aan dat er nog stappen te maken zijn om bedrijven bewust te maken van het belang van training.”

Waar zou een phishing-training idealiter uit moeten bestaan?

EH: “Zorg dat medewerkers er structureel mee bezig zijn. Er zijn veel oefenprogramma’s voor phishing beschikbaar en je kunt denken aan het uitvoeren van een phishing-test binnen je organisatie. Het is met name belangrijk dat je voorkomt dat een phishing-training als onbedoeld effect heeft dat medewerkers zich schamen. Het kan namelijk iedereen overkomen.”

Zijn er vormen van phishing waar op dit moment nog te weinig aandacht voor is?

EH: “Er zou vooral meer aandacht moeten komen welke rol AI heeft in de (toekomstige) ontwikkeling van phishing-aanvallen. Denk hierbij aan de automatisering van aanvallen maar ook het gebruik van technieken, zoals deep fakes waarbij spraak en beeld potentieel gebruikt kunnen worden om mensen te misleiden.” 

Hoe kun je door AI gegenereerde inhoud detecteren?

Er zijn een aantal dingen die mkb-bedrijven kunnen doen om hun werknemers te trainen in het detecteren van een phishing-e-mail. Veel van deze herkenningstekens, zoals taalfouten of onjuiste informatie over collega's, zullen hoogstwaarschijnlijk niet werken als je een e-mail ontvangt die met behulp van AI is gegenereerd. 

Door AI gestuurde programma’s kunnen moeiteloos foutloos schrijven. Ze kunnen bovendien informatie over je medewerkers van sociale media halen en zo de indruk wekken dat een mail van een bekende collega komt.

Dit zijn acties die jouw medewerkers kunnen ondernemen om te detecteren of een mail met behulp van AI is aangemaakt:

  • Controleer de inhoud op repetitieve zinnen of clichés;
  • Zoek naar patronen in de schrijfstijl of woordkeuze;
  • Controleer of de inhoud klopt met de context van de boodschap;
  • Voer een plagiaatcontrole uit;
  • Controleer de inhoud met behulp van een AI-detectieprogramma. 

quote over het gebruik van AI-technologie

Wat zouden mkb-bedrijven moeten doen om de schade bij een phishing-aanval te beperken?

Wat zijn de meest voorkomende gevolgen van een phishing-aanval? 

EH: “Wij doen zelf geen onderzoek naar de gevolgen van phishing-aanvallen, maar om bedrijven bewust te maken van de verschillende cybergevaren hebben we wel een website waar ondernemers die getroffen zijn hun verhaal doen. Daarin melden getroffenen vooral het verlies van data en geld door middel van gijzelsoftware (ransomware), maar ook tijdverlies en persoonlijke stress. Een aanval kan door een ondernemer echt als een trauma worden ervaren.” 

Welke maatregelen zouden bedrijven op voorhand moeten nemen om de schade bij een succesvolle aanval te beperken? 

EH: “Zorg minimaal voor een kwalitatief goede back-up, die je vervolgens ook regelmatig test. Daarnaast is het echt aan te raden om een phishing-aanval te oefenen, zodat je voorbereid bent als het gebeurt. Denk daarbij ook aan op het eerste gezicht misschien voor de hand liggende onderwerpen, zoals wie bel je op zo’n moment als eerst, wat communiceer je naar buiten toe en hoe informeer je je medewerkers.”

Tip voor mkb-ondernemers

Zorg ervoor dat je regelmatig een back-up maakt van documenten, programma's en andere essentiële bedrijfsgegevens met behulp van goede back-upsoftware. Dit zijn de drie basisprincipes voor het maken van een back-up:

Maak een dagelijkse back-up

Met een dagelijkse back-up kun je je huidige werkzaamheden bijhouden. Dus hoe vaker je de back-up maakt, hoe minder het u kost als er iets misgaat.

Maak een back-up naar een fysieke en digitale locatie

Maak je back-up op verschillende locaties, fysiek (bijvoorbeeld op een externe harde schijf) en digitaal.

Test regelmatig of de back-up werkt

Zet periodiek een back-up terug en controleer of alles werkt zoals verwacht.

Welke rol is er voor de overheid weggelegd bij de bescherming van het mkb?

EH: “De overheid kan in sommige gevallen financiële hulp bieden. Zo start het Digital Trust Center in oktober met een pilot om met name kleinere mkb-ondernemingen financiële ondersteuning te bieden bij het installeren van tweefactorauthenticatie of het inrichten van een kwalitatief goede back-up. Daarmee willen we de drempel verlagen om dat soort maatregelen te nemen, want het zijn juist deze basismaatregelen die zo belangrijk zijn bij het voorkomen van een phishing-aanval, die nog niet door het bedrijfsleven worden genomen. Daar blijven we aandacht voor vragen.”

Tip voor mkb-ondernemers

Om de cyberweerbaarheid van ondernemend Nederland te vergroten stimuleert het Digital Trust Center (DTC) samenwerkingsverbanden van bedrijven in niet-vitale sectoren met een subsidieregeling.

Dit kunnen duurzame samenwerkingen zijn in de keten, regio, sector of industrie. Projecten die de cyberweerbaarheid van bedrijven structureel duurzaam vergroten en schaalbaar zijn voor alle ondernemers in Nederland kunnen subsidie krijgen.

Hier vind je de exacte datums waarop je jouw aanvraag kunt indienen en voor meer informatie.

Wat zijn de volgende stappen voor het mkb?

Omdat het steeds moeilijker wordt om phishing-fraude te herkennen, wordt de noodzaak van goede en regelmatige training steeds belangrijker. Vooral bij het mkb valt er nog veel te verbeteren als het gaat om het onder de aandacht houden van de mogelijke gevaren van phishing, bijvoorbeeld door regelmatig phishing-tests uit te sturen. Bovendien zouden ze moeten investeren in elementaire IT-veiligheid, zoals multifactor-authenticatie en een hoogwaardige back-up. 

Omdat cybercriminelen voortdurend bezig zijn om steeds geavanceerdere manieren van phishing te creëren, moeten kleine en middelgrote bedrijven net zo hard werken om ervoor te zorgen dat ze hen een stap voor blijven.

Wil je meer weten? Bekijk ons online overzicht met trainingssoftware om de juiste keuze te maken.

Methodologie

Om deze gegevens te verzamelen heeft Capterra in augustus 2023 470 werknemers bij bedrijven in Nederland geïnterviewd. Hiervan waren 339 vaste werknemers en 131 bekleedden één van de volgende leidinggevende functies:

  • Senior management: multifunctioneel management, waarbij doorgaans leden betrokken zijn die managers van managers zijn;
  • Uitvoerend management: verwijst doorgaans naar het hoofd van een belangrijke zakelijke functie;
  • Eigenaar: volledige operationele controle met grote invloed.

De kandidaten moesten aan de volgende criteria voldoen:

  • Woonachtig in Nederland;
  • Tussen de 18 en 65 jaar oud zijn;
  • Een fulltime of parttime dienstverband hebben;
  • Gebruik een computer voor hun werk, tenminste soms;
  • Moest de juiste definitie van een phishing-aanval kunnen identificeren nadat hem een definitie werd getoond;
  • Moet bekend zijn geweest met het concept van een phishing-aanval voordat hij aan het onderzoek deelnam;
  • Moet een phishing-aanval op het werk hebben ontvangen (die niet als test door het bedrijf is verzonden).