Bescherm uw bedrijf beter tegen phishing: 6 tips

Valse e-mails uit naam van RegioBank

Bij phishing denkt u misschien meteen aan die vage e-mail in uw spambox over een gewonnen loterij. Maar het kan ook gebeuren dat criminelen zich via e-mail, social media of telefoon voordoen als iemand van úw bedrijf, en zo uw klanten oplichten. Dit kunt u onder andere doen om dat te voorkomen.

1. Maak het de klant makkelijk: zorg dat legitieme mail goed aankomt

Veruit de meeste phishingmails belanden met een goed spamfilter in de ongewenste mailbox (of spambox). Toch kan een veilige e-mail van uw bedrijf óók in een spambox komen. Overtuig uw klant dan vooral niet om tóch dat bericht te openen. U weet immers niet of criminelen ook andere e-mailtjes in de spambox hebben gezet, die de klant dan mogelijk ook zal vertrouwen. Vraag uw klanten ook niet om uw e-mailadres in de ‘veilige ontvangerslijst’ te zetten. Weet dat alle e-mails dan, zonder spamcontrole, in de inbox van de klant komen. Ook als uw e-mailadres wordt misbruikt. Onderzoek liever waarom de e-mail in de spambox is gekomen en pak het probleem aan bij de oorzaak.

2. Kies voor een strak domeinbeleid

Verzend al uw e-mails vanaf uw eigen domeinnaam. Zo weten uw klanten precies waar ze aan toe zijn. Stel: uw domeinnaam is example.nl. Dan komen de mails van verzender@example.nl en gebruikt u linkjes zoals example.nl/actie. Leg de afspraken over het gebruik van deze domeinnaam vast in een domeinbeleid. Wel zo duidelijk voor medewerkers, externe partijen en eventuele franchisenemers.

3. Bescherm uw domeinnaam

Uw domeinnaam is uw visitekaartje, dus bescherm hem goed. Bekende beveiligingsmethoden voor e-mail zijn SPF, DKIM en DMARC. Het Nationaal Cyber Security Centrum heeft in de factsheet Bescherm domeinnamen tegen phishing alle informatie samengevat waarmee u uw domeinnaam goed beschermt. Dit kunt u ook nog doen:

  • Registreer domeinnamen die erg op de uwe lijken. De zoekmachine dnstwister helpt daarbij.

  • Registreer ook domeinen die lijken op subdomeinen, zoals mail-example.nl. Die zien er namelijk net zo vertrouwd uit voor klanten als uw eigen domein.

  • Voorkom dat instellingen van uw domeinnaam aangepast kunnen worden zonder dat u dit weet, bijvoorbeeld met .nl control van SIDN.
  • Bewaak eventuele domeinen die worden geregistreerd door anderen, maar die erg lijken op uw domeinnaam. Bijvoorbeeld met de DomeinnaamBewakingsService van SIDN.

3. Zorg voor een duidelijk e-mailbeleid

Zorg dat álle zakelijke e-mails vanaf uw eigen @example.nl-adres worden verstuurd. Oók e-mails aan veel personen tegelijk, zoals een nieuwsbrief of enquête. Wordt de mail door een externe partij verstuurd? Spreek dan af dat zij uw domeinnaam gebruiken. Het Nationaal Cyber Security Centrum helpt u verder met de factsheet Goede bulkmail lijkt niet op phishing.

4. Maak misbruik melden mogelijk

Door uw e-mailbeheerder DMARC-rapportages te laten instellen, kunt u zien waar uw e-maildomein wordt gebruikt. Zo ontdekt u mogelijk misbruik. Die rapportages vangen alleen niet alles op. Blijf daarom goed in contact met uw klanten. Vraag of ze verdachte mails willen melden via een special e-mailadres, bijvoorbeeld valse-email@example.nl.

5. Vergeet de social mediakanalen niet

U communiceert vast via social media met uw klanten. Gebruik ook hier linkjes met uw eigen domeinnaam, en kies niet voor verkorte URL-diensten van derden zoals bit.ly, ow.ly en tinyurl.com. Houd ook accounts in de gaten die op uw klanten kunnen reageren. Zo reageerde ooit het account ‘@klantenservice’ wel eens op vragen van andermans klanten. Zo’n account lijkt misschien betrouwbaar voor de klant, terwijl het dus geen account is van uw bedrijf.

6. Informeer klanten goed

Criminelen slaan ook telefonisch hun slag. Zij kunnen daarbij zelfs uw eigen telefoonnummer imiteren om mensen op te lichten. Dit heet spoofing. Vertel uw klanten dat ze bij twijfel altijd de verbinding met de beller kunnen verbreken en een centraal nummer kunnen bellen om het verhaal van de beller te verifiëren. Zo kunnen ze checken of het een legitiem telefoontje was. Zorg er dus voor dat al uw medewerkers ook echt bereikbaar zijn via het centrale nummer en wees scherp op dit misbruik.

Benieuwd hoe u zich beschermt tegen alle vormen van fraude?
Kijk eens op onze Veilig bankieren pagina.

Delen via