‘Phishing’ is een van de grootste dreigingen waar individuen en organisaties mee worden geconfronteerd. Weet je echter wat phishing inhoudt en hoe je een phishing-aanval herkent?
In de ruimste zin van het woord, kun je phishing definiëren als een poging zich te presenteren als een betrouwbare bron, wanneer het eigenlijke doeleinde is om mensen persoonlijke gegevens te laten delen. Phishing neemt meestal de vorm aan van massale e-mails die naar honderden of duizenden mensen worden gestuurd. Criminelen kunnen ook andere vormen van communicatie gebruiken, of meer genuanceerde aanvallen verrichten.
We hebben hier de meest voorkomende vormen van phishing vermeld, samen met voorbeelden om je te helpen deze aanvallen te herkennen.
E-mail phishing
De meeste mensen hebben een idee van hoe e-mail phishing-aanvallen er ongeveer uit zien. Het zijn de slecht geschreven en onverwachte berichten die je proberen te laten denken dat er iets mis is gegaan. Misschien is je account gehackt, moet je een creditcardbetaling bevestigen of is je bankrekening mogelijk aangetast.
Welke vorm de berichten ook innemen, ze bevatten altijd een verzoek om informatie, een bijlage om te openen (vaak een .zip-bestand) of een koppeling om op te klikken.
Als een e-mail niet persoonlijk aan jou geadresseerd is, verdachte bijlagen of links bevat, of wordt verzonden vanaf een nep e-mailadres, is dit waarschijnlijk een phishing-scam.
Spear phishing
Er zijn twee andere, meer geavanceerde, soorten phishing met betrekking tot e-mail. De eerste, ‘spear phishing’, beschrijft kwaadwillende e-mails die naar een specifieke persoon zijn verzonden. Criminelen die dit doen hebben vaak al de volgende informatie tot hun beschikking: de naam, werkplek, functie en e-mailadres van het slachtoffer, inclusief specifieke informatie over zijn of haar baan.
Een van de beroemdste datalekkages in de recente geschiedenis, het hacken van The Democratic National Committee, gebeurde met behulp van spear phishing. De eerste aanval stuurde e-mails met kwaadaardige bijlagen naar meer dan 1.000 e-mailadressen. Het succes leidde tot een nieuwe campagne die leden van de commissie misleide in het delen van hun wachtwoorden.
Whaling
‘Whaling’-aanvallen zijn nóg doelgerichter en richten zich op personen binnen een organisatie met hogere posities. Hoewel het uiteindelijke doel van whaling hetzelfde is als een phishing-aanval, is de techniek vaak subtieler. Tactieken zoals neplinks en verdachte URL’s zijn in dit geval niet nuttig, omdat cybercriminelen juist de personen met hogere posities proberen te imiteren.
Oplichting met behulp van valse belastingaangiften is een steeds vaker voorkomende vorm van whaling. Belastingformulieren zijn erg in trek onder cybercriminelen, omdat ze veel nuttige informatie bevatten, zoals namen, adressen, bugerservicenummers en bankrekeninggegevens.
Smishing en vishing
Met zowel ‘smishing’ als ‘vishing’ word e-mails door telefoons vervangen. Smishing houdt in dat cybercriminelen sms’en versturen (waarvan de inhoud grotendeels hetzelfde is als bij e-mail phishing), en bij vishing vindt een telefoongesprek plaats.
Een veelvoorkomende vishing daad onder cybercriminelen is waarbij zij zich voordoen als fraude-onderzoeker (bijvoorbeeld van de kaartmaatschappij of bank) die het slachtoffer vertelt dat zijn of haar account is geschonden. De cybercrimineel zal vervolgens het slachtoffer vragen de gegevens van de betaalkaart te delen om de identiteit te verifiëren of geld over te maken naar een ‘veilig’ account – waarmee hij het account van de cybercrimineel bedoelt.
Social media phishing
Een relatief nieuwe aanvalsfocus onder cybercriminelen is social media, aangezien het een aantal makkelijke mogelijkheden biedt om mensen te misleiden. Nep-URL’s; gekloonde websites, berichten en tweets; en instant messaging (wat in essentie hetzelfde is als smishing) kunnen allemaal worden gebruikt om mensen over te halen vertrouwelijke informatie te onthullen of malware te downloaden.
Daarnaast kunnen criminelen de gegevens die mensen vrijwillig op sociale media plaatsen gebruiken voor zeer gerichte aanvallen.
In 2016 ontvingen duizenden Facebook-gebruikers meldingen waarin stond dat ze in een openbaar bericht waren genoemd. Het bericht was geïnitieerd door criminelen en veroorzaakte een aanval in twee fasen. In de eerste fase is een Trojaans paard virus met een schadelijke Chrome-browserextensie gedownload op de computer van de gebruiker.
Als de gebruiker vervolgens in ging loggen op Facebook via de besmette browser, werd de cybercrimineel in staat gesteld om het gebruikersaccount te kapen. Op die manier konden ze de privacy-instellingen wijzigen, gegevens stelen en het virus verspreiden via de Facebook-vrienden van het slachtoffer.
Je werknemers zijn je laatste verdedigingslinie
Organisaties kunnen het risico van phishing met technologische middelen beperken, zoals het gebruik van spamfilters, maar deze hebben bewezen niet altijd betrouwbaar te zijn. Schadelijke e-mails komen nog steeds regelmatig binnen, en zodra dat gebeurt, is het voor een organisatie behulpzaam om op hun werknemers te kunnen bouwen om de frauduleuze aard van dit soort e-mails te ontdekken en hier vervolgens adequaat op te reageren.
Onze Phishing Staff Awareness Course helpt medewerkers precies dat te doen, evenals uit te leggen wat er gebeurt wanneer mensen het slachtoffer worden en hoe ze de dreiging van een aanval kunnen verminderen.
Als je deze cursus combineert met onze Simulated Phishing Attack, kun je zien hoeveel informatie je werknemers opgestoken hebben. We sturen een phishing-aanval naar je organisatie (uiteraard zonder schadelijke inhoud) en geven je aan de hand daarvan een onafhankelijke beoordeling van de vatbaarheid onder je werknemers voor een aanval. Het vergelijkt ook je beveiligingsbewustmakingscampagnes en helpt je om:
- Te voldoen aan naleving en wettelijke vereisten;
- Toekomstige testen toe te passen op afdelingen en medewerkers met het grootste risico; en
- Het aantal kliks van medewerkers op verdachte e-mails te verminderen.
Wellicht komt onze phishing infographic ook van pas. Deze handleiding beschrijft de verschillende vormen die phishing-aanvallen kunnen aannemen, verklaart de schade die ze kunnen veroorzaken en biedt een geannoteerd voorbeeld van een verdachte e-mail, waarin uitgelegd wordt waarop gelet moet worden.
