# Geavanceerde phishingbescherming configureren [[TOC]] Gmail blokkeert dagelijks enorme hoeveelheden phishing automatisch. Toch glippen gerichte, goed gemaakte aanvallen er soms doorheen, juist die die de meeste schade doen. Als beheerder heb je geavanceerde instellingen tot je beschikking die de standaardbescherming versterken. Ze activeren is een van de meest waardevolle dingen die je voor je organisatie kunt doen. ## Waar standaardfilters tekortschieten De automatische filters van Gmail vangen massa-phishing uitstekend. Het probleem zit bij doelgerichte aanvallen: een mail die exact lijkt op je bank, een lookalike-domein dat een letter verschilt, of een bericht dat zogenaamd van je directeur komt. Die zijn lastiger automatisch te herkennen. Voor deze categorie biedt Workspace extra controles die je expliciet aanzet. Ze staan niet allemaal standaard aan omdat ze soms strenger zijn dan een gemiddelde organisatie nodig heeft, maar voor de meeste situaties zijn ze de moeite waard. :::info title="Waar vind je deze instellingen" De geavanceerde phishinginstellingen staan in de Admin-console onder de Gmail-beveiligingsinstellingen, in het onderdeel **Spoofing en authenticatie** en **Spam, phishing en malware**. Per controle kies je wat er gebeurt bij een match: de mail markeren met een waarschuwing, naar spam sturen of in quarantaine plaatsen. Begin met markeren of quarantaine voordat je hard blokkeert, zo voorkom je dat legitieme mail verdwijnt. ::: ## De extra controles activeren Een reeks specifieke beschermingen pakt de gerichte aanvalstechnieken aan. Je zet ze samen aan voor een sterke verdedigingslaag. :::howto title="Geavanceerde controles aanzetten" 1. Open de **Admin-console** en ga naar **Apps**, **Google Workspace**, **Gmail**, **Spam, phishing en malware**. 2. Activeer bescherming tegen spoofing van je eigen **domeinnaam**. 3. Zet detectie aan van **lookalike-domeinen** die op je domein of contacten lijken. 4. Schakel bescherming in tegen spoofing van **werknemersnamen** uit je directory. 5. Activeer detectie van **ongeauthenticeerde mail** die zich voordoet als legitiem. 6. Zet extra scanning van **verdachte links en externe afbeeldingen** aan. 7. Kies per controle of verdachte mail wordt gemarkeerd, naar spam gaat of in **quarantaine** belandt. ::: :::tip title="Toekomstige aanbevelingen automatisch toepassen" Google voegt regelmatig nieuwe aanbevolen beveiligingsinstellingen toe. In hetzelfde scherm kun je aanvinken dat toekomstige aanbevolen instellingen automatisch worden toegepast. Zo loop je niet achter zonder dat je het handmatig hoeft bij te houden. ::: ## Lookalike en spoofing Twee van de gevaarlijkste technieken zijn spoofing van je eigen domein en lookalike-domeinen. Bij spoofing doet een aanvaller alsof de mail van een collega of van je eigen domein komt, een klassieke aanpak bij CEO-fraude en factuurfraude. Bij lookalike gebruikt hij een domein dat bijna identiek is, met een omgewisselde of toegevoegde letter. De geavanceerde instellingen herkennen beide en kunnen waarschuwen of blokkeren. :::warn title="DMARC is het fundament" Bescherming tegen spoofing van je eigen domein werkt het best in combinatie met een handhavend DMARC-beleid. Staat DMARC nog op `p=none`, dan kan een aanvaller je domein nabootsen zonder dat handhaving ingrijpt. Stel een handhavend beleid (`p=quarantine` of `p=reject`) in als fundament onder je phishingbescherming, anders blijft de voordeur openstaan. ::: ## Security Sandbox Voor de zwaarste bescherming bestaat Security Sandbox, beschikbaar in bepaalde abonnementen zoals Enterprise. Verdachte bijlagen worden in een geisoleerde omgeving daadwerkelijk geopend en uitgevoerd om te zien of ze kwaadaardig gedrag vertonen, voordat ze de gebruiker bereiken. Zo vang je onbekende malware die een gewone virusscan mist. De analyse dekt onder andere Office-documenten, PDF's en uitvoerbare bestanden, en voegt doorgaans hooguit een paar minuten vertraging toe. ## Wie doet wat Een gelaagde aanpak werkt alleen als duidelijk is wie welke rol heeft. Verdeel de verantwoordelijkheden zo: - **Beheerder**: activeert de geavanceerde controles en bepaalt per type wat er met verdachte mail gebeurt. - **Beveiligingsteam**: beoordeelt mail in quarantaine en past instellingen aan op basis van actuele dreigingen. - **Gebruiker**: meldt verdachte mail die toch doorkomt en volgt de phishingtraining. ## Techniek plus training Geen filter is perfect. De sterkste bescherming combineert techniek met bewustzijn. Train medewerkers om phishingkenmerken te herkennen: onverwachte urgentie, vreemde afzenderadressen, verzoeken om gegevens of betalingen. Een getrainde gebruiker is de laatste verdedigingslinie als techniek faalt. :::tip title="Test je weerbaarheid met een simulatie" Voer periodiek een gecontroleerde phishingsimulatie uit om te zien hoe weerbaar je organisatie echt is. Wie erin trapt, krijgt gerichte training in plaats van een berisping. Zo'n simulatie laat de zwakke plekken zien voordat een echte aanvaller dat doet, en houdt het onderwerp levend in plaats van een eenmalige cursus die vervaagt. ::: :::faq ### Vangt Gmail niet al alle phishing? De automatische filters vangen het overgrote deel, vooral massa-phishing. Gerichte aanvallen, zoals spoofing van je directeur of een lookalike-domein, vragen om de geavanceerde instellingen die je als beheerder expliciet aanzet. ### Wat is Security Sandbox precies? Het is een functie die verdachte bijlagen in een geisoleerde omgeving daadwerkelijk uitvoert. Daarmee ontmaskert het onbekende malware die nog niet in virusdatabases zit, voordat de bijlage de gebruiker bereikt. ### Werkt spoofingbescherming zonder DMARC? Minder goed. Een handhavend DMARC-beleid (`p=quarantine` of `p=reject`) is het noodzakelijke fundament. Zonder handhaving kan een aanvaller je domein nabootsen zonder dat er wordt ingegrepen. ### Moet ik meteen alles in quarantaine zetten? Nee. Begin met markeren of quarantaine en kijk een paar weken mee wat er binnenkomt. Zo voorkom je dat legitieme mail verdwijnt voordat je vertrouwd bent met wat de controles oppikken. ### Is gebruikerstraining echt nodig naast deze techniek? Ja. Techniek is nooit perfect, en een getrainde gebruiker herkent wat erdoor glipt. De combinatie van filters, authenticatie en bewustzijn levert de sterkste bescherming. ::: Geavanceerde phishingbescherming sluit de gaten die standaardfilters openlaten bij gerichte aanvallen. Activeer de controles tegen spoofing en lookalike-domeinen, leg een handhavend DMARC-beleid eronder, overweeg Security Sandbox en combineer alles met training. Dan bouw je een gelaagde verdediging waar zelfs zorgvuldig gemaakte phishing op stukloopt.