Elke dag worden er circa 3,4 miljard phishingberichten verzonden. Sommige ervan komen in de spambox terecht, anderen verwijderen we omdat we ze hebben leren herkennen. Toch is phishing een favoriete en effectieve vorm van cyberaanval, ook in de gezondheidszorg. Waar moet u op letten?
Phishing e-mails over een erfenis van een rijke oom in het buitenland worden nauwelijks meer geloofd, of worden automatisch door de mail-inbox uitgefilterd voordat we tijd hebben om ze te lezen. Hetzelfde geldt voor informatie over een niet afgeleverd pakket door een koerier, die er op het eerste gezicht vaak verdacht uitziet.
Beangstigende phishing-feiten
Maar hoewel we denken dat we ons niet voor de gek laten houden, zijn de feiten beangstigend: volgens Proofpoint’s State of the Phish-rapport 2022 werd vorig jaar 83 procent van de organisaties het slachtoffer van een phishing-aanval. Bij 25 procent van alle datalekken is sprake van phishing. Het enige dat nodig is, is een onoplettende klik op een link of het openen van een pdf in een geïnfecteerde e-mail, en er wordt een kwaadaardig programma op de computer geïnstalleerd – een toegangspoort tot gegevens voor hackers wordt geopend.
De statistieken laten geen illusies bestaan: phishing was vijf jaar geleden, en is nog steeds een van de grootste bedreigingen voor de cyberveiligheid, ook al wordt het al jaren gebruikt en zijn we eraan gewend geraakt.
Volgens de Healthcare Cybersecurity Survey vormen phishing-aanvallen zelfs de grootste bedreiging voor de gezondheidszorg. Ze zijn verantwoordelijk voor 45 procent van alle cyberaanvallen, gevolgd door ransomware-aanvallen (17%) en inbreuken of gegevenslekken (7%).
Bedriegelijk echt
Hackers hebben phishing-berichten geperfectioneerd. De beste soorten bevatten geen gemakkelijk te herkennen taalfouten, typefouten of vreemd gekleurde lettertypen meer. Ze kunnen bedrieglijk lijken op de grafische identificatie van een bank of koeriersbedrijf.
Hier staan een paar van belangrijkste regels om een phishingbericht met succes te onderscheiden van een echte e-mail:
- Het bericht informeert u dat u onmiddellijk actie moet ondernemen. Anders loopt u het risico dat u uw gegevens kwijtraakt, dat uw account wordt geblokkeerd, dat u een boete krijgt, enz. Banken of overheidsinstellingen sturen dergelijke berichten nooit. Financiële bedreigingen zijn bedoeld om u snel en emotioneel te laten handelen, waardoor het rationele denken wordt uitgeschakeld. Waarom? Want hoe langer je erover nadenkt, hoe verdachter het je lijkt;
- Het bericht suggereert dat u gevoelige gegevens moet invoeren, zoals uw bankrekeningnummer, pincode voor online bankieren of creditcardnummer, of moet inloggen bij een dienst om uw identiteit te verifiëren. Daarom moet u, ongeacht phishing, altijd inloggen op sites die u heeft opgeslagen of waarnaar u kunt zoeken in een zoekmachine. Links in e-mails kunnen leiden naar dubbele, nepsites;
- Phishingberichten bevatten vaak links of bijlagen die we niet verwachten;
Het komt nog steeds voor dat de tekst van het bericht slecht is geschreven en dat de grafische weergave anders is dan die van eerder verzonden e-mails. De tekst kan verschillende lettertypen of onjuiste speciale taalspecifieke tekens bevatten; - Vaak bevat het phishingbericht een onpersoonlijke introductie, zoals ‘geachte klant’ of ‘meneer/mevrouw’. Dit is echter niet het geval bij gepersonaliseerde phishing;
Het bericht bevat geen contactgegevens.
Veranderende hack-methoden
Zeker nu de hackmethoden veranderen, moeten zorgprofessionals hun vaardigheden op het gebied van cyberbeveiliging bijwerken. Sommige mensen zijn er bijvoorbeeld nog steeds van overtuigd dat vertrouwde sites beginnen met ‘https://’, wat dankzij een SSL-certificaat een veilige verbinding met een betrouwbare site garandeert. Helaas gebruiken phishing-oplichters soms SSL-certificaten om de effectiviteit van de aanval te vergroten.
Als technische veiligheidsmaatregelen misleidend kunnen zijn, blijft dubbele verificatie van verdachte berichten de beste bescherming. Experts stellen voor om een paar eenvoudige gewoonten te ontwikkelen om de cyberveiligheid aanzienlijk te vergroten.
Het eerste principe is het controleren van links in e-mails en sociale netwerken voordat u erop klikt. Maar met grote waakzaamheid kunnen nepsites zeer vergelijkbare websiteadressen hebben, die slechts enkele tekens verschillen. Iedereen kan een domeinadres kopen, zelfs als het vergelijkbaar is met een bekende instelling zoals een bank of koeriersdienst.
Ten tweede kunnen berichten van overheidsinstellingen of een bank worden geverifieerd door de instellingen te bellen. Een andere manier is om het fragment van de verdachte e-mail te kopiëren en op Google te plakken om te zien of er waarschuwingen tegen dergelijke berichten zijn.
Ten derde: wees zeer voorzichtig bij het openen van bijlagen die u ontvangt van onbekende e-mailadressen. Dit kan een factuur zijn, een oproep tot betaling, een belangrijk bericht van uw bank, etc. Als u inlogt op een bankrekening of een andere dienst, opent u de pagina direct in uw browser, zoals u gewend bent, in plaats van op de knop te klikken. koppeling. Ten vierde: controleer wie de afzender van het bericht is en zoek voor de zekerheid op Google of het e-mailadres toebehoort aan de instelling die het beweert te zijn.
Doen na ontvangst phishing-mail
Klik nooit op links of bijlagen in verdachte e-mails. Als u een verdacht bericht ontvangt, maar niet zeker weet of het echt of nep is, kunt u dit verifiëren door vanuit uw browser in te loggen op de oorspronkelijke pagina, de instelling te bellen en de eerste paar zinnen van de e-mail in Google te typen. En verder:
- Rapporteer het bericht aan de instelling die de mail zou hebben gestuurd.
- Meldt het bij de IT-beveiligingsafdeling van uw organisatie.
- Klik op de optie ‘markeren/verzenden als SPAM’ in uw e-mailinbox, waardoor spamfilters hun fraudedetectievaardigheden kunnen perfectioneren.
- Verwijder het bericht (ook uit de prullenbak).
Social engineering
Phishing is nog steeds de meest effectieve manier voor hackers om toegang te krijgen tot gegevens die ze willen stelen. Ze gebruiken social engineering-principes om ons ervan te overtuigen vrijwillig gegevens te verstrekken, zodat ze geen wachtwoorden of IT-beveiligingssystemen hoeven te kraken, wat veel ingewikkelder is en tijd kost. Met slechts één klik van de bedrogen werknemer kan een hacker de controle over een IT-infrastructuur overnemen, toegang krijgen tot elektronische medische dossiers of het hele gezondheidsinformatiesysteem blokkeren.
Maak je klaar voor nog meer geperfectioneerde phishing-methoden zoals vishing (telefoongesprekken die vandaag de dag ook door AI kunnen worden uitgevoerd), callback phishing (bijvoorbeeld een bericht over een abonnement waarvan je niet op de hoogte was, maar er is een mogelijkheid om dit op te zeggen door contact opnemen met de klantenservice), zakelijke e-mailcompromis en whiling (gepersonaliseerde phishing gericht op senior executives), deepfake phishing (door AI gegenereerde nepvideo- en spraakberichten). In de gezondheidszorg is phishing vooral moeilijk te identificeren, omdat gezondheidswerkers bereid zijn te helpen; ze handelen empathisch en vertrouwen anderen.
