Phishing bij mkb-bedrijven: hackers hangen weken rond in bedrijfsnetwerken

De meeste cyberaanvallen beginnen niet met een technisch hoogstandje, maar met iets heel menselijks: vertrouwen. Een mail van een collega. Een bericht van een vaste leverancier. Een dringende vraag van de directeur. Eén klik is genoeg om een buitenstaander toegang te geven tot je organisatie.

Uit recent onderzoek blijkt dat identiteitsfraude meestal start met phishing. Het is verantwoordelijk is voor het grootste deel van de cyberincidenten bij mkb-bedrijven. Wat extra zorgwekkend is: soms duurt het weken voordat het opgemerkt wordt. 

BEC-incidenten

Deze resultaten komen uit een analyse van 630 cyberincidenten bij mkb-bedrijven in de afgelopen drie jaar door Eye Security. Van de onderzochte incidenten ging het in 454 gevallen om het overnemen van een bestaand e-mailadres. Deze incidenten worden BEC-incidenten genoemd: Business Email Compromise. Daarbij krijgen cybercriminelen toegang tot een zakelijk e-mailaccount en gebruiken dat om zich voor te doen als een betrouwbare interne of externe partij.

Vooral ceo-fraude raakt een bedrijf direct in de portemonnee. Daarbij wordt vanuit het e-mailaccount van de directeur bijvoorbeeld een factuur of betaalverzoek gestuurd naar de financiële afdeling. De betaling wordt uitgevoerd, terwijl ongemerkt het rekeningnummer is aangepast naar dat van de crimineel.

Opvallend is dat dit soort fraude meestal niet begint met een geavanceerde hack, maar met iets ogenschijnlijk eenvoudigs: een phishingmail of slimme social engineering. Aanvallers doen zich voor als collega’s, leveranciers of leidinggevenden en spelen in op tijdsdruk of autoriteit. 

Tweestapsverificatie kan ook omzeild worden

Veel organisaties gebruiken tweestapsverificatie als extra beveiligingslaag. Toch blijkt dat dit niet altijd voldoende bescherming biedt. In 62 procent van de onderzochte gevallen werd multifactor authenticatie alsnog omzeild. Dat gebeurt bijvoorbeeld wanneer een medewerker denkt in een veilige omgeving in te loggen, maar in werkelijkheid zijn gegevens invoert op een nagemaakte website. 

Tip: zorg dat medewerkers incidenten melden

Technische maatregelen zijn belangrijk, maar gedrag is minstens zo bepalend. Zorg dat medewerkers zich veilig voelen om direct melding te maken wanneer zij per ongeluk op een verdachte link hebben geklikt of gegevens hebben ingevoerd.

Maak duidelijk bij wie melding gedaan kan worden en wat er vervolgens gebeurt. Snelle signalering verkleint de kans dat cybercriminelen wekenlang ongemerkt toegang houden tot systemen.