E-mail is populair… ook bij cybercriminelen. Waarom zit het gevaar in je inbox? Hoe mail je wel veilig?

Tips

E-mail is dé grote poort waarlangs cybercriminelen onze bedrijven binnendringen. Ook vertrouwelijke documenten belanden vaak via e-mail in verkeerde handen. Waakzaamheid is dus steeds geboden! Zelfs als je mails van je beste contactpersonen krijgt.

"Stuur je het document als bijlage via mail? We vertrouwen de samenwerkingstools als Monday.com, Notion, Google Drive, OneDrive… niet zo."

Dit is een van de meest gestelde vragen aan freelancers die hun werk met bedrijven willen delen. Intern delen collega’s vaak een Sharepoint, maar van zodra documenten extern moeten, wordt e-mail ingezet als drager.

Al leggen samenwerkingsoplossingen het intern ook vaak af tegen e-mail. "Sorry, ik heb geen tijd om het op te laden. Ik stuur het je even via mail." Herkenbaar?

""
© Foto Jeshoots.com, Unsplash

Het gevaar zit in je inbox

Cybercriminelen wrijven zich in de handen bij zoveel vertrouwen in e-mail. Want zij misbruiken dit kanaal schaamteloos. Veruit de meeste grote en kleine hackings vinden via e-mail plaats. E-mail is een van de voornaamste bronnen van datalekken.

Met gloednieuwe technieken en bedrieglijke listen schaven cybercriminelen hun gerichte phishing, de zogenoemde spear phishing , voortdurend bij.

E-mail wordt vaak gebruikt om malware , spam en phishing-aanvallen te verspreiden. Via misleidende berichten verleiden ze ontvangers om gevoelige informatie te verstrekken, bijlagen te openen of op hyperlinks te klikken. Via deze toegangspoort installeren ze malware op het apparaat van het slachtoffer.

E-mail is ook een veel voorkomende ingang voor aanvallers die voet aan de grond willen krijgen in een bedrijfsnetwerk en waardevolle bedrijfsgegevens willen bemachtigen.

👉 Safeonweb lijst continu de phishing -bedreigingen op. Klik door naar safeonweb.be of installeer de Safe on web-app

Waarom is e-mail gevaarlijk?

E-mail is ontworpen om zo open en toegankelijk mogelijk te zijn. Daarom is e-mail het populairste digitale communicatiekanaal in het bedrijfsleven. Het vergemakkelijkt samenwerkingen en maakt het mogelijk om met één klik belangrijke informatie binnen en buiten het bedrijf te delen. 

Maar… omdat e-mail een open formaat is, kan het worden bekeken door iedereen die het kan onderscheppen. Iemand met slechte bedoelingen kan het gemakkelijk misbruiken. De beveiliging van e-mail wordt al snel een probleem.

We vertrouwen mails van onze collega

Cybercriminelen gebruiken legitieme diensten om hun phishing te maskeren. Zelfs voor het meest kritische oog is het dan een hele uitdaging om phishing als dusdanig te herkennen.

Zodra één medewerker inloggegevens deelt of een dubieuze bijlage opent, wordt het volledige bedrijf blootgesteld aan mogelijke hacking.

Bovendien verwerven de criminelen zich toegang tot organisaties via contacten bij andere, geassocieerde organisaties. Langs die weg zetten ze aanvallen op, vanuit accounts van je collega die je vertrouwt omdat je er regelmatig mee communiceert. De aanval gebeurt bovendien vaak binnen een bestaand (gespreks)draadje.

​​👉 Ook bedrijven die de best practices voor cyberbeveiliging toepassen, kunnen kwetsbaar blijven, schrijft cybersecurity -bites.be in het artikel Insider? Of outsider? Wie is de grootste bedreiging van jouw gegevens?

We mailen vertrouwelijke documenten

Zodra een cybercrimineel dus één medewerker kan verleiden om de inloggegevens voor e-mail te delen of een bijlage te openen, is het volledige bedrijf eensklaps blootgesteld aan mogelijk verlies van gegevens. 

Daarom volstaan technische oplossingen niet om gegevensverlies te voorkomen. Je moet ook voortdurend je personeel bijscholen zodat ze potentieel malafide e-mails herkennen en geen vertrouwelijke informatie versturen.

Fouten van personeel zijn een belangrijke bron van inbreuken op de beveiliging. Daarentegen, speelt een goed opgeleide medewerker die de juiste voorzorgsmaatregelen neemt een sleutelrol in de verdediging tegen aanvallen en inbreuken.

Een personeelslid kan tijdens het werk altijd per ongeluk informatie delen buiten het beveiligde netwerk. Vaak gebeurt dit verlies van gegevens via e-mail, bijvoorbeeld wanneer iemand vertrouwelijke informatie vermeldt in communicatie met een buitenstaander of een document toevoegt dat de privacy van een klant of patiënt kan schenden.

""
© Foto Brett-Jordan, Unsplash
Je moet ook voortdurend je personeel bijscholen zodat ze potentieel malafide e-mails herkennen en geen vertrouwelijke informatie versturen.

Welke oplossingen maken e-mail veiliger?

De meeste organisaties hebben de beveiligingsmaatregelen voor e-mail al uitgebreid om het aanvallers moeilijker te maken gevoelige of vertrouwelijke informatie in handen te krijgen.

Bedrijven die zich professioneel bewapen, schrijven er een gericht beleid rond. Zij nemen deze 4 zaken op in hun cybersecurity beleid:

1. Standaard beveiligingsmaatregelen, zoals het blokkeren van mogelijk gevaarlijke bestandsbijlagen. Maar deze basisbescherming is niet langer effectief. Een betere oplossing is de inzet van een beveiligde e-mailgateway die gebruik maakt van een meerlagige aanpak.

2. De beveiligde e-mailgateway scant en verwerkt alle inkomende en uitgaande e-mail en zorgt ervoor dat bedreigingen niet binnenkomen. Het kan bijvoorbeeld:
alle uitvoerbare inhoud uit e-mails verwijderen.
meer diepgaande acties nemen, zoals het verzenden van verdachte inhoud naar een sandboxing tool voor gedetailleerde analyse.

Zodra een organisatie inzicht heeft in alle e-mails die worden verzonden, kan zij beleid voor e-mailcodering afdwingen om te voorkomen dat gevoelige e-mailgegevens in verkeerde handen vallen.

4. Bij e-mailcodering wordt de inhoud van uitgaande e-mailberichten geanalyseerd om te bepalen of het materiaal gevoelig is. Vervolgens wordt gevoelige inhoud gecodeerd of verhuld om te voorkomen dat potentieel gevoelige informatie wordt gelezen door anderen dan de beoogde ontvangers. E-mailcodering omvat vaak ook verificatie.

5. Training van werknemers over gepast e-mailgebruik en sterke wachtwoorden (Lees ook het artikel Waarom en hoe je wachtwoorden nog vandaag veranderen). Ze leren wat goede en slechte e-mails zijn. Ze leren wat te doen als ze een schadelijke e-mail ontvangen die door de beveiligde e-mailgateway glipt.

Training helpt werknemers phishing e-mails te herkennen en te rapporteren. Deze training kan ook continu en automatisch verlopen. Er bestaan oplossingen die valse phishingmails versturen, zo problemen ontdekken en medewerkers opleiden. Lees hierover het artikel Phished stuurt betere phishingmails dan cybercriminelen… en hoe dat jouw bedrijf helpt.

TwitterLinkedIn