Alles wat jy moet weet oor phishing

Deur Christie Rae • 31 Julie 2025

Phishing bly onder die mees algemene kuberaanvalle wat deur bedreigingsakteurs gebruik word. Die meeste besighede het dit in aksie gesien: e-posse wat versoek dat 'n 'dringende taak' voltooi word of 'n 'agterstallige betaling' gemaak word, soms selfs om 'n uitvoerende hoof of senior bestuurder na te boots. Trouens, die Britse regering se 2025 Kubersekuriteitsbreukopname het bevind dat, van besighede of liefdadigheidsorganisasies wat 'n onderbreking of aanval in die afgelope 12 maande ervaar het, 85% van besighede en 86% van liefdadigheidsorganisasies phishing-aanvalle ervaar het.

In hierdie blog delf ons in die duistere wêreld van phishing: wat dit is, hoe om potensiële phishing-pogings te identifiseer, en hoe organisasies hulself daarteen kan beskerm.

Algemene phishing-aanvalle wat besighede teiken

e-pos Phishing

In e-pos-phishing-aanvalle stuur bedreigingsakteurs hul teikens bedrieglike e-posse, dikwels voorgewend om bekende maatskappye of verskaffers te wees. Die doel? Om slagoffers te mislei om 'n bedrieglike webwerf te besoek, 'n aanhangsel oop te maak wat 'n virus of wanware bevat, of sensitiewe inligting soos bankbesonderhede of korporatiewe rekeningwagwoorde te deel.

Voorbeelde om na op te let, sluit in:

Onverwagte fakture
E-posse van onbekende senders met aanhangsels
Waarskuwings oor ongewone aktiwiteit met skakels na eksterne webwerwe.

Spear phishing

Spiesuitvissing is 'n meer geteikende benadering tot e-posuitvissing, wat maklik beskikbare inligting oor 'n besigheid, soos werknemersname, gebruik om interne kommunikasie en vertroude bronne na te boots. Dit is noodsaaklik om die identiteit van die sender te verifieer deur 'n ander kommunikasiemetode, soos Teams of via 'n telefoonoproep met 'n geverifieerde telefoonnommer.

Voorbeelde om na op te let, sluit in:

Onverwagte 'dringende' e-posse wat voorgee om van u HR- of IT-afdelings af te kom
Ongewone versoeke, vermoedelik van iemand binne jou maatskappy.

Besigheids e-pos kompromie

Besigheidse-poskompromie (BEC) Aanvalle is nog 'n geteikende en onheilspellende benadering tot phishing, soms deur vals e-posadresse te gebruik of selfs werklike werknemers se e-posrekeninge in die gedrang te bring om 'n aanval uit te voer. Hulle teiken dikwels vertroude individue of begrotingshouers en probeer hulle mislei om bedrieglike finansiële transaksies te doen of sensitiewe inligting te openbaar. Misdadigers kan selfs 'n verskaffer of verkoper in die gedrang bring deur fakture te stuur wat wettig lyk. BEC is so algemeen dat die FBI beweer het dat BEC-aanvalle kos Amerikaanse en globale organisasies byna $55.5 miljard tussen 2013 Oktober en 2023 Desember.

Voorbeelde van BEC-pogings sluit in:

HUB-bedrog: 'Dringende' e-posse, vermoedelik van 'n senior uitvoerende beampte se e-posadres, maar eintlik beheer deur die bedreigingsakteur
Faktuurbedrog: Vals of gewysigde fakture wat betalings na 'n aanvaller se rekening herlei
Derdeparty-bedrog: Onverwagte fakture of versoeke om bankbesonderhede van u bestaande verskaffers te verander, wat dui op 'n moontlike kompromie.

Kloon uitvissing

Aanvallers wat kloon-phishing gebruik, sal 'n regte e-pos neem en dit amper identies kopieer, en dit weer aan die beoogde slagoffer stuur met 'n nuwe, kwaadwillige aanhangsel of skakel. Bedreigingsakteurs gebruik dikwels vals e-posse met 'n soortgelyke spelling as die e-pos wat hulle naboots, maar hulle kan gesofistikeerde e-pos-spoofing gebruik om dit te laat lyk asof die e-pos deur die wettige sender gestuur is.

Voorbeelde om na op te let, sluit in:

Duplikaat e-posse, veral dié met nuwe of gewysigde skakels.

Hoe om phishing-e-posse te identifiseer

Alhoewel die aanpak van phishing soos 'n oorweldigende taak kan lyk, is daar verskeie maniere om phishing-e-posse te identifiseer.

Nie-ooreenstemmende e-posdomeine: Is die e-posdomein dieselfde as dié van die besigheid wat die sender beweer te verteenwoordig? Bv. 'n amptelike e-pos van ISMS.online sou wees: voornaam.van@ISMS.online, ondersteuning@isms.online, ens.

Dringende oproepe tot aksie: E-posse wat dringende of onmiddellike optrede vereis, kan potensiële phishing-pogings wees; 'n valse gevoel van dringendheid is bedoel om die ontvanger paniekerig te maak. Oorweeg dit om die sender amptelik te kontak, bv. deur die telefoonnommer op 'n maatskappy se amptelike webwerf op te soek.

Spelling en grammatika: Spelfoute en grammatikale foute kan 'n phishing-poging aandui, aangesien baie besighede speltoetsinstrumente in hul e-possagteware het.

Links: Deur jou muis oor 'n skakel te beweeg, kan jy die URL sien waarheen die skakel jou sal lei. In phishing-e-posse verskil dit dikwels van die teks wat in die e-pos vertoon word.

Versoeke om persoonlike of finansiële inligting te stuur: Aanmeldbesonderhede, betalingsinligting en ander sensitiewe data moet nie per e-pos gedeel word nie. Net so, as 'n e-pos 'n skakel na 'n eksterne webwerf bevat vir die invoer van daardie inligting, maak seker dat u verifieer dat die webwerf wettig is.

Beskerm jou organisasie teen phishing-aanvalle met ISO 27001

Vestiging van beste praktyke vir kuberveiligheid, soos dié wat in die inligtingsekuriteitstandaard uiteengesit word ISO 27001, stel jou besigheid in staat om risiko te verminder, sekuriteit te versterk en die impak van phishing-aanvalle te beperk.

Werknemersopleiding en -bewustheid

Jou werknemers is jou eerste verdedigingslinie wanneer dit by kuberveiligheid kom. Die implementering van 'n opleidings- en bewustheidsprogram vir kuberveiligheid kan jou span bemagtig om potensiële phishing-pogings, sowel as ander kuberaanvalle, te identifiseer en aan te meld.

Jou opleidings- en bewustheidsprogram moet ook prosesse uiteensit wat gevolg moet word, soos die proses wat werknemers moet volg om vermoedelike phishing-pogings aan te meld. Die opleiding van jou personeel om tekens van 'n phishing-aanval te herken en te verseker dat jou besigheid streng rapporterings- en reaksieprosesse het, vorm deel van 'n robuuste sekuriteitshouding.

Toegangsbeheer

Beperk werknemers se regte en voorregte op 'n 'minste voorreg'-basis. Beperk byvoorbeeld 'n tipiese gebruiker se toegang tot slegs die hulpbronne wat nodig is om hul werk te doen. Dit help om die impak van 'n phishing-poging op jou organisasie te verminder indien 'n rekening gekompromitteer word.

Daarbenewens kan die vereiste van beheermaatreëls soos multifaktor-verifikasie op personeelrekeninge 'n belangrike verdediging teen ongemagtigde toegang en gekompromitteerde geloofsbriewe bied.

Insidentreaksie

ISO 27001-voldoenende besighede moet prosesse vir voorvalreaksie instel. Dit sluit in die insameling van bewyse, forensiese analise van inligtingsekuriteit, eskalasie met kliënte en relevante toesighoudende owerhede, logging van voorvalreaksieaktiwiteite, interne voorvalkommunikasie, voorvaloplossing en na-voorvalanalise. Doeltreffende reaksie op voorvalle help om vinniger oplossing te verseker en die impak van suksesvolle aanvalle te verminder.

Veilige konfigurasie

Die standaard vereis dat besighede van die begin af sekuriteit in hul bedrywighede inbou, eerder as 'n nagedagte. Hierdie benadering verminder potensiële toegangspunte vir bedreigingsakteurs, byvoorbeeld via onveilige e-posgateway-oplossings.

Bestuur van Derdeparty-verskaffers

ons Stand van inligtingsekuriteitsverslag 2024 het getoon dat byna vier uit vyf (79%) van die respondente geraak is as gevolg van 'n kuber- of inligtingsekuriteitsvoorval wat veroorsaak is deur 'n derdeparty-verskaffer of voorsieningskettingvennoot. 'n Risikogebaseerde benadering tot verskaffersverhoudings kan help om die impak van sulke voorvalle te beperk.

Byvoorbeeld, u besigheid mag kies om sterk te verkies om met verskaffers met ISO 27001-sertifisering te werk, verskaffers se toegang tot inligting te beperk gebaseer op inligtingklassifikasievlakke, en verskaffersrisiko dop te hou indien die aanboordneming van 'n verskaffer die vertroulikheid, integriteit en beskikbaarheid van u organisasie se inligting of prosesse kan beïnvloed.

Finale Gedagte

Phishing is 'n wydverspreide vorm van kuberaanvalle; gelukkig vir organisasies is baie van die tekens maklik om raak te sien. Deurlopende werknemersopleiding, die implementering van beste sekuriteitspraktyke en die volg van 'n robuuste benadering tot inligtingsekuriteit kan die waarskynlikheid – en impak – van suksesvolle phishing-aanvalle verminder en data oortredings.

Namate kuberbedreigings aanhou ontwikkel, sal proaktiewe besighede wat 'n veelvlakkige benadering tot inligtingsekuriteit implementeer en werknemers bemagtig om as hul eerste en belangrikste verdedigingslinie op te tree, ongetwyfeld die voordele pluk.

Christie Rae

Christie is 'n inhoudbemarkingspesialis by ISMS.online. Met meer as sewe jaar se ondervinding beoog sy om insiggewende, boeiende inhoud te skryf en het oor 'n reeks industrieë gewerk, insluitend kuberveiligheid, sagteware as 'n diens, tegnologie en farmaseutiese produkte.

Lees meer van Christie Rae

cyber Security 10 Desember 2025

Verslag oor die stand van inligtingsekuriteit: 11 belangrike statistieke en tendense vir die finansiële bedryf

IO se derde jaarlikse verslag oor die stand van inligtingsekuriteit het die belangrikste uitdagings onthul waarmee sekuriteitsleiers in 2025 te kampe het, van KI-aangedrewe aanvalle tot ...

Christie Rae

cyber Security 4 Desember 2025

IO Benoem as G2 Grid®-leier in Bestuur, Risiko en Nakoming vir Winter 2025

Ons is verheug om te deel dat IO as 'n Leier in die G2 Grid®-verslae vir Winter 2025 aangewys is. Hierdie kwartaal het IO agt kentekens in die Rep... behaal.

Christie Rae

cyber Security 28 November 2025

Bou Kuberveerkragtigheid Hoe om Jou Besigheid te Beskerm Hierdie Swart Vrydag-banier

Bou Kuberveerkragtigheid: Hoe om jou besigheid hierdie Swart Vrydag te beskerm

2025 is gekenmerk deur 'n aantal hoëprofiel-kubervoorvalle. 'n Verskafferbreuk het bedrywighede by die kleinhandelreus M&S tot stilstand gebring, met kliënte...

Christie Rae