Phishing
Waar je ze vroeger direct doorzag, worden ze tegenwoordig steeds geraffineerder. Phishingmails. Is dat berichtje nou echt van je bank of verzekering? Of is het toch een sluwe manier om je inloggegevens te ontfutselen? Aan veel cyberaanvallen gaat een geslaagde phishing-aanval vooraf. Het goede nieuws is dat het aantal geslaagde phishing-pogingen met de juiste beveiligingsmaatregelen goed is terug te dringen.
Bij een phishing-aanval proberen cybercriminelen persoonlijke gegevens of wachtwoorden te stelen door je te laten klikken op een link naar een valse website of door je gewoon te vragen deze gegevens door te geven. Phishingmails lijken altijd afkomstig te zijn van een betrouwbare partij. Vaak is dat een bank of verzekering, maar CEO fraude doet zich ook voor. Dan lijkt de mail afkomstig te zijn van de directeur van een bedrijf. Ook in het onderwijs komen phishingmails voor. Dan zijn ze vaak afkomstig van softwarebedrijven waar scholen mee werken, zoals een leerlingvolgsysteem of lijken verstuurd te zijn door de administratie.
Wie doet wat?
Bij bescherming tegen phishing zijn verschillende rollen betrokken met elk hun eigen taken:
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. More is verantwoordelijk voor het nemen van maatregelen tegen phishing.
- De ict-verantwoordelijke zorgt voor beleid, bewaking van activiteiten en communicatie.
- De ict-beheerder zorgt voor de technische uitvoering en eventuele aansturing van externe partijen.
Aan de slag
Hieronder beschrijven we in een aantal stappen hoe je je school kunt beschermen tegen de gevaren van phishing. Het kan zijn dat je een van de stappen al hebt uitgevoerd of aan sommige stappen een hogere prioriteit toekent dan aan andere. Dat geeft niet. Je hoeft onderstaande stappen niet in de voorgestelde volgorde uit te voeren, maar kan daar een eigen volgorde in kiezen.
Stap 1 | Creëer bewustzijn
Het is belangrijk dat iedereen binnen de school een phishingmail weet te herkennen. Wijs medewerkers op een voorzichtige omgang met links, bijlagen en vreemde verzoeken in e-mails. Zorg dat ze altijd het e-mailadres van een afzender checken. Zo stuurt een softwarebedrijf als Magister geen e-mails vanaf een gmail adres.
Stap 2 | Stel je e-mail software op de veiligste manier in
Platformen als Office 365 bieden vrijwel altijd de mogelijkheid om e-mails die afkomstig zijn van buiten de organisatie te markeren. Zo weet degene die de mail ontvangt dat het bij deze e-mail extra belangrijk is om na te gaan of het geen phishingmail betreft. Om te voorkomen dat ook e-mails van vertrouwde afzenders gemarkeerd worden, kan bij het platform een lijst van vertrouwde domeinnamen worden opgegeven. Zo blijft de waarschuwing relevant en is het geen standaard pop-up die medewerkers wegklikken zonder erbij stil te staan.
Stap 3 | Bescherm je domeinnamen tegen misbruik
Edustandaard heeft een aantal beveiligingsvoorschriften voor het inrichten van veilig e-mailverkeer opgesteld. De voorschriften zijn gericht op het op de juiste manier instellen van de domeinnamen die door de school of instelling worden gebruikt om te e-mailen. Zo voorkom je dat derden via jouw domein kunnen mailen en je vergroot daarnaast de kans dat e-mails goed worden afgeleverd. De voorschriften kunnen aan de hand van een bijgeleverd stappenplan door elke onderwijsinstelling zelfstandig worden geïmplementeerd.
Bekijk de beveilingingsvoorschriften op edustandaard.nl >
Stap 4 | Pas altijd tweefactorauthenticatie toe
Stel altijd tweefactorauthenticatie in. Dit houdt in dat een gebruiker naast een wachtwoord nog iets extra’s nodig heeft om in te loggen. Bijvoorbeeld een eenmalige code die wordt toegezonden via e-mail of sms of het gebruik van een token. Dit zorgt ervoor dat iemand die het wachtwoord gehackt heeft toch het systeem niet in komt.
Stap 5 | Maatregelen na een geslaagde phishing-aanval
Is een phishing-aanval ondanks alle maatregelen toch gelukt? Bepaal dan eerst wat voor soort incident heeft plaatsgevonden. Zijn inloggegevens ontfutseld? Is er malware geïnstalleerd? Of zijn er misschien ongewenste betalingen goedgekeurd? Neem vervolgens zo snel mogelijk onderstaande maatregelen:
- Zorg dat de phishingmail veilig wordt gesteld voor verder onderzoek. Zorg er ook voor dat deze niet verder verstuurd of geopend kan worden.
- Wijzig wachtwoorden of andere login-gegevens.
- Onderzoek of er malware geinstalleerd is. Soms is het mogelijk de malware te verwijderen. Meestal is het veiliger het besturingssysteem te herinstalleren.
- Zijn er ongewenste betalingen gedaan? Meld dit zo snel mogelijk aan je bank zodat ze kunnen waken voor verdachte betalingen.
- Zijn er persoonsgegevensAlle gegevens waarmee direct of indirect een natuurlijk persoon (mens) kan worden geïdentificeerd. Het kan bijvoorbeeld gaan om een naam, BSN-nummer, geboortedatum, telefoonnummer of IP-adres. More gestolen? Dan heb je een datalekBij een datalek raken persoonsgegevens verloren of worden ze opgeslagen, aangepast, verzonden of op een andere manier verwerkt door iemand die daar geen recht toe heeft. Een datalek is een beveiligingsincident. More en moet je dat zo snel mogelijk melden bij de Autoriteit PersoonsgegevensDe Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de wettelijke regels voor de bescherming van persoonsgegevens. More.
