Iedere medewerker krijgt vroeg of laat een e-mail die niet helemaal goed voelt. Misschien klopt de afzender niet. Misschien is de toon vreemd. Misschien staat er een link naar een inlogpagina of een bijlage die je niet verwacht. De vraag is dan: wat moet je doen?
Het belangrijkste is om niet automatisch verder te klikken. Een verdachte e-mail vraagt om een korte pauze. Die paar seconden kunnen veel schade voorkomen. Je hoeft geen technisch expert te zijn om verstandig te reageren. Een paar praktische stappen zijn vaak genoeg.
Bij twijfel is niet klikken geen vertraging, maar bescherming.
Stap 1: klik niet op links of bijlagen
Open geen bijlagen en klik niet op knoppen of links zolang je twijfelt. Veel phishingmails proberen je naar een nepwebsite te sturen of schadelijke bestanden te laten openen. Ook een link die er normaal uitziet, kan naar een andere bestemming leiden.
Wil je controleren of er echt iets klaarstaat, open dan zelf de bekende website of app. Typ het adres in je browser of gebruik een opgeslagen bladwijzer. Als het bericht echt is, vind je de informatie vaak ook via de normale route.
Stap 2: controleer de context
Vraag jezelf af of je dit bericht verwacht. Ken je de afzender? Past het verzoek bij je werk? Is het normaal dat deze persoon of organisatie op deze manier contact opneemt? Wordt er gevraagd om snel te betalen, in te loggen, gegevens te delen of een bestand te downloaden?
Phishing draait vaak om een verzoek dat net logisch genoeg voelt. Daarom is context belangrijker dan alleen spelfouten. Moderne phishing kan foutloos en professioneel geschreven zijn.
Stap 3: controleer via een bekende route
Als het bericht belangrijk lijkt, controleer het dan via een kanaal dat je al kent. Bel de leverancier op een bekend nummer. Stuur een collega een nieuw bericht via Teams. Vraag intern na of dit verzoek klopt. Gebruik niet de contactgegevens uit de verdachte e-mail zelf.
Vooral bij betalingen, gewijzigde rekeningnummers en wachtwoordverzoeken is controle noodzakelijk. Dit zijn situaties waarin criminelen veel schade kunnen veroorzaken.
Stap 4: meld de e-mail
Melden is belangrijk, ook als je niet hebt geklikt. Een verdachte e-mail kan ook andere collega's hebben bereikt. Door te melden kan de organisatie maatregelen nemen, zoals de e-mail blokkeren of anderen waarschuwen.
Elke organisatie zou een duidelijke meldroute moeten hebben. Bijvoorbeeld een knop in Outlook, een securitymailbox of een intern contactpersoon. Als medewerkers niet weten waar ze moeten melden, blijven verdachte berichten vaker liggen.
Wat als je toch hebt geklikt?
Geen paniek, maar meld het direct. Sluit de pagina, vul niets verder in en geef aan wat er is gebeurd. Heb je een wachtwoord ingevuld, wijzig dat wachtwoord via de echte website en meld het intern. Hoe sneller je reageert, hoe beter schade beperkt kan worden.
Het is belangrijk dat medewerkers zich veilig voelen om fouten te melden. Een klik verzwijgen is gevaarlijker dan een klik toegeven.
Oefenen helpt
Security Awareness helpt medewerkers om verdachte e-mails sneller te herkennen en beter te reageren. SecuSnack gebruikt korte scenario's waarin medewerkers oefenen met keuzes rondom e-mail, links en bijlagen. Zo wordt de reactie bij twijfel steeds vanzelfsprekender.
Een verdachte e-mail vraagt dus om rust: niet klikken, context controleren, via een bekende route navragen en melden. Dat is simpel, maar krachtig.