Wat is 'Phishing' en hoe herkennen bemanningsleden dit?
Je staat op het dek van een zware liftboot, de wind waait hard, en je telefoon trilt.
Een e-mail van de havenautoriteit? Of is het een valstrik? In de scheepvaart, heavy-lift en offshore is digitale veiligheid net zo belangrijk als je hijslijnen. Eén verkeerde klik kan je hele operatie stilleggen. Laten we samen uitzoeken wat phishing precies is en hoe jij het herkent, zonder ingewikkelde woorden.
Wat je nodig hebt voordat je begint
Je hebt een werkende laptop of tablet aan boord nodig, bijvoorbeeld een Panasonic Toughbook of een iPad die tegen water kan. Zorg dat je e-mailprogramma up-to-date is, zoals Outlook of de webversie van Microsoft 365.
Een stabiele satellietverbinding via Starlink of Inmarsat is handig, maar niet nodig voor de basis checks.
Een notitieblok en pen liggen altijd in de kombuis, gebruik die om verdachte e-mails te noteren. Tot slot heb je toegang tot je bedrijfs-WiFi nodig, beveiligd met een sterk wachtwoord van minimaal 12 tekens.
Stap 1: Begrijp wat phishing is
Phishing is een digitale valstrik. Iemand doet zich voor als een betrouwbare bron, zoals een havenmeester, een leverancier van hijsmateriaal of je rederij, om jouw gegevens te stelen.
Veelgemaakte fout
In de offshore werkt dit extra gevaarlijk, omdat je vaak onder tijdsdruk staat en snel moet handelen. Een typische phishing-e-mail vraagt om inloggegevens of een betaling, terwijl de afzender nep is.
Denk aan een mail die zogenaamd van Boskalis komt, met een factuur voor een nieuwe Liebherr-kraan. Veel bemanningsleden denken: "Ik ben geen doelwit." Maar in de zware liftvaart zijn juist grote projecten interessant voor criminelen. Een fout is om te snel te klikken zonder te checken. Neem 2 minuten de tijd om de afzender te controleren.
Stap 2: Controleer de afzender en het e-mailadres
Open de e-mail en kijk direct naar het e-mailadres van de afzender.
Tijdsindicatie
Een echte e-mail van je rederij, bijvoorbeeld van Boskalis, gebruikt een domein als @boskalis.nl, niet @boskalis-support.com of iets dergelijks. Klik op de afzender naam om het volledige adres te zien, dat doe je door in Outlook op de naam te drukken. Als het adres eindigt op @gmail.com of een vreemd domein, is het waarschijnlijk nep.
Noteer het adres in je notitieblok en vergelijk het met bekende adressen van je leveranciers, zoals Mammoet of Heerema. Dit checken duurt hooguit 30 seconden.
Veelgemaakte fout
Doe het altijd, zelfs als de e-mail urgent lijkt. Veel mensen lezen alleen de naam van de afzender, niet het e-mailadres.
Een criminelen kunnen de naam "Havenmeester Rotterdam" instellen, maar het adres is something@fake.com. Neem de tijd om te dubbelchecken.
Stap 3: Scan de inhoud op verdachte signalen
Lees de e-mail rustig door. Kijk naar de taal: zit er slordig Nederlands in, met fouten of rare vertalingen?
Specifieke voorbeelden uit de niche
Een echte e-mail van een offshore-bedrijf is professioneel. Check of er een gevoel van haast wordt gecreëerd, zoals "Betaal nu direct anders gaat de lading niet mee." Dat is een klassieke phishing-truc.
Klik nooit op links of bijlagen zonder verder te checken, vooral niet als het om een factuur of contract gaat voor een heavy-lift operatie. Een e-mail die zegt dat je nieuwe kabels voor je kraanschip moet bestellen via een link, maar de link gaat naar een onbekende site. Of een waarschuwing van "Satellietprovider" dat je verbinding afgesloten wordt, tenzij je inlogt via een bijlage.
Veelgemaakte fout
Dit zijn valstrikken die je operatie kunnen verstoren. Niet klikken op links is makkelijker gezegd dan gedaan.
Een fout is om te denken: "Ik ben wel voorzichtig." Maar onder druk, tijdens een zware lift, klik je sneller. Neem een adempauze van 1 minuut.
Stap 4: Verifieer via een apart kanaal
Als je twijfelt, neem dan contact op met de afzender via een ander kanaal. Bel bijvoorbeeld de havenmeester van Rotterdam rechtstreeks via het nummer op hun officiële website, niet via de e-mail.
Tijdsindicatie
Vergeet ook niet om de kosten voor een jaarlijkse cybersecurity audit van je schip in kaart te brengen.
Veelgemaakte fout
Of stuur een e-mail naar je collega aan wal via een known adres, vraag of ze de e-mail hebben gestuurd. Gebruik hiervoor je satelliettelefoon of de vaste lijn aan boord, niet de twijfelachtige e-mail zelf. Dit duurt 2-5 minuten, maar het voorkomt grote problemen.
Bel of app altijd binnen 10 minuten na ontvangst van de verdachte e-mail. Zo blijft je operatie soepel lopen. Antwoorden op de phishing-e-mail om verduidelijking vragen. Doe dit nooit, want het bevestigt alleen maar dat je e-mailadres actief is. Gebruik een apart kanaal.
Stap 5: Meld en blokkeer verdachte e-mails
Als je een phishing-poging herkent, meld het meteen bij je IT-team of kapitein.
Specifieke actie voor heavy-lift
In de offshore werkt dit vaak via een centrale helpdesk, bijvoorbeeld van je rederij of satellietprovider. Nu moderne satellietverbindingen de communicatie op zee hebben verbeterd, verloopt dit proces sneller. Forward de e-mail niet, maar maak een screenshot of kopieer de tekst naar een notitie.
Blokkeer de afzender in je e-mailprogramma, dat doe je in Outlook via "Afzender blokkeren". Rapporteer ook aan je e-mailprovider, zoals Microsoft, die kan het domein verder onderzoeken.
Veelgemaakte fout
Dit helpt je hele bemanning. Bij projecten met waardevolle lading, zoals een transformer voor een windmolenpark, rapporteer je aan je projectmanager.
Zij kunnen contact opnemen met leveranciers als Siemens of GE om te checken of er een echte update is. Vergeten te melden omdat "het maar een e-mail was". Doe het toch, want het voorkomt dat collega's in dezelfde val trappen. Gebruik een template van je bedrijf voor meldingen, als die beschikbaar is.
Verificatie-checklist
- Stap 1: Begrijp wat phishing is – check of de e-mail om gegevens vraagt of betaalgegevens probeert te stelen. Tijd: 1 minuut.
- Stap 2: Controleer afzender – vergelijk het e-mailadres met bekende adressen van bedrijven als Boskalis of Mammoet. Tijd: 30 seconden.
- Stap 3: Scan inhoud – let op taalfouten, haast of vreemde links. Voorbeeld: een link naar "boskalis-update.com" i.p.v. boskalis.nl. Tijd: 1 minuut.
- Stap 4: Verifieer apart – bel de havenmeester of rederij via known nummer. Tijd: 2-5 minuten.
- Stap 5: Meld en blokkeer – rapporteer aan IT en blokkeer de afzender. Tijd: 1 minuut.
Check deze lijst na elke verdachte e-mail. Als je alle stappen volgt, ben je veel veiliger aan boord.
Wil je meer weten? Volg dan een van de beste aanbieders van maritieme cybersecurity trainingen. Heb je vragen? Praat met je kapitein of IT-maat – samen houden we de operatie draaiend.