Je trapt toch niet in een phishingmail! Of toch?

15 juli

Een e-mail van Bedrijfsgeschenken.com om vandaag nog een cadeau te kiezen. Klinkt goed toch? Veel medewerkers hebben deze e-mail in de afgelopen weken in hun mailbox ontvangen, waaronder een aantal medewerkers van Emma Handson. Maar helaas, het was een phishingtest. Als jij de e-mail hebt gekregen, deed jouw bedrijf net als Emma Handson mee aan de landelijke MKB Phishingtest. Ben jij erin getrapt?

De ervaring

Ook Irene, tekstcorrector bij Emma Handson, ontving de e-mail. Haar eerste gedachte: ‘Hé wat leuk! Een mailtje dat we een cadeautje krijgen van onze werkgever, als bedankje in deze coronatijd.’ Maar ook: ‘Wat vreemd dat ik daar nog niets van heb gehoord via andere kanalen.’ En zelfs: ‘Alweer?’ Het klinkt bijna verwend, maar directeur Franka van Dommelen is in de coronatijd al heel attent geweest, recent nog met een bloemenbon die we op Secretaressedag ontvingen. Ik laat de e-mail maar even staan en wacht af. En wat blijkt? Gelukkig ben ik ‘geslaagd’ voor de landelijke MKB Phishingtest.

Hoe herken je een phishingmail?

Ondanks dat ik in mijn vorige baan bij een bank voorbeelden van phishingmails als waarschuwing op de website heb gezet, herkende ik de e-mail in deze test niet direct als zodanig. Ik heb hem niet meteen bij mijn leidinggevende gemeld en ja, er zijn ook echt wel collega’s die wel op de link hebben geklikt om een ‘cadeau te ontvangen’. Hoe dat kan? De mail slaagde voor een aantal bekende tests:

  • De mail zag er goed uit en bevatte geen spelfouten (iets waar we bij Emma Handson natuurlijk extra op letten).
  • Het e-mailadres van het visitekaartje klopte met de omschrijving van het e-mailadres (anna@bedrijfsgeschenken.com) en bevatte geen rare tekens.
  • De sitenaam was logisch.

Wat dat betreft hebben phishingmails een hele ontwikkeling doorgemaakt. Toch waren er een paar zaken, waardoor de e-mail door de mand viel:

  • Zoals gezegd, had ik geen vooraankondiging van de e-mail gekregen via intranet of e-mail van mijn directeur of manager. Ook die dag zelf en de dag erna bleef het stil.
  • Als je de link bekeek door er met je muis overheen te gaan, bleek die naar een onbeveiligde site te gaan (http in plaats van https).
  • En last but not least: de site Bedrijfsgeschenken.com bestaat helemaal niet! Maar eerlijk is eerlijk: daar kwam ik ook pas later achter.

Een gewaarschuwd mens telt voor twee

Nee, Emma Handson heeft niet meegedaan omdat de directeur haar medewerkers niet vertrouwt. Het tegendeel is waar! En we kregen ook geen berisping als we wel enthousiast in de e-mail waren meegegaan. Wel geldt: een gewaarschuwd mens telt voor twee. De theorie die we jaarlijks horen over phishing en veilig omgaan met e-mails en wachtwoorden, blijft door zo’n test net wat beter hangen. Zodat iedereen alert is als er écht een onverlaat door de e-mailbeveiliging van het bedrijf breekt.

Blijf dus vooral wakker als je je e‑mail leest. Enne: die waardering van je werkgever: die heb je wel degelijk verdiend. Of die nu wordt beloond met een ‘bedrijfsgeschenk’ of niet.

Benieuwd naar wat we allemaal voor jou kunnen betekenen?