Met phishing wordt bedoeld dat cybercriminelen aan het vissen zijn naar onschuldige mensen die in hun val trappen. Om mensen in een val te laten lopen, moet je als crimineel steeds meer begrijpen hoe het menselijk brein werkt. De cybercriminelen zijn op zoek naar mensen die gebrek hebben aan kennis over een betreffend onderwerp, zoals bankieren. Op deze manier krijgen ze deze mensen zo ver om dingen te doen die ze eigenlijk niet willen of zouden moeten doen.
Bij 20% van de datalekken in 2022 is er te maken geweest met phishing, volgens VDBI. Houd er wel rekening mee dat phishing een ruim begrip is en dat hier veel verschillende vormen van zijn. In deze blog gaan we verder in op wat phishing is, hoe het werkt en verschillende vormen.
Wat is phishing?
Om phishing te begrijpen, moet je ook de term 'social engineering' kennen. Social engineering verwijst naar alle technieken die erop gericht zijn een doelwit over te halen om specifieke informatie te onthullen of een specifieke actie uit te voeren om onwettige redenen. Phishing is hierom ook een vorm van social engineering.
De cybercriminelen doen zich voor als legitieme organisaties of personen die in de ogen van het slachtoffer te vertrouwen zijn. Door vertrouwen te winnen van het slachtoffer, kan de cybercrimineel vragen om gevoelige informatie. Denk hierbij aan BSN-nummer, rekeningnummer, adresgegevens, wachtwoorden en nog veel meer. Ook kan het slachtoffer gevraagd worden om op een link te klikken, waarmee hun laptop of telefoon gehackt kan worden.
In alle bedrijven speelt phishing een grote rol als we kijken naar beveiligingsincidenten. Dit soort IT-dreigingen gaan gepaard met andere type dreigingen zoals malware, ransomware, netwerkaanvallen, DDOS-aanvallen en nog veel meer.
Zo werkt phishing
Cybercriminelen kopen of verzamelen illegaal verkregen gegevens van hun slachtoffers, zoals namen, functies, interesses en e-mailadressen. Vervolgens zetten zij deze informatie in via nepberichten of andere phishing-methoden om nog meer vertrouwelijke bedrijfs- en persoonsgegevens te verkrijgen, zoals gebruikersnamen, wachtwoorden, bankgegevens, etc. Dat zijn hiermee uitermate succesvol zijn, blijkt wel uit het feit dat ‘cyberschaamte’ volgens IT-beveiligingsspecialisten het woord van het jaar 2022 is. Cybercriminelen hebben zodoende vrije toegang tot bedrijfsnetwerken die plat kunnen leggen of leeg kunnen roven.
5 soorten phishing
Phishing kent veel verschillende vormen. De volgende 5 vormen worden het meest gebruikt door cybercriminelen om hun slachtoffers te manipuleren.
Deceptive phishing
De meest voorkomende vorm van phishing is Deceptive phishing. Bij dit type phishing verstuurd de cybercrimineel een bericht uit naam van een vertrouwde organisatie. De cybercriminelen zijn hier ontzettend goed in geworden over de jaren heen. Ze kopiëren bijvoorbeeld e-mails die zij zelf ontvangen van hun bank en bewerken deze. Hierdoor zijn de berichten bijna niet meer van echt te onderscheiden.
De bewerking die zij doen in hun bericht, is bijvoorbeeld een schadelijke link of bijlage meesturen. Het slachtoffer klikt vrijwel uit nature op de bijlage of link aangezien het exact hetzelfde bericht is wat zij vaker ontvangen.
Het kunnen berichten zijn van jouw bank, ANWB, ziekenhuis, zorgverzekering, universiteit, werkgever of de overheid. Het kan ook zijn dat jij iedere maand in de mail een factuur binnen krijgt van jouw telefoonabonnement of thuisinternet. Open jij de bijlage zonder de afzenders e-mailadres te controleren? Dan ben jij een gemakkelijk doelwit.
Spear Phishing
Een doelgerichtere vorm van Deceptive Phishing is Spear Phishing. Hierbij verzamelen cybercriminelen openbaar beschikbare bedrijfsgegevens. Met de verkregen openbare informatie richt de cybercrimineel zich op specifieke gebruikers. Zij doen zich voor als iemand van de organisatie en sturen hen een bericht, waarin blijkt dat ze veel van de organisatie afweten. Hierdoor trekt het slachtoffer niet in twijfel of dat de afzender ook daadwerkelijk een collega is.
Door het vertrouwen gewonnen te hebben, kunnen ze of om nog meer informatie vragen of acties door het slachtoffer uit laten voeren.
Net als bij Deceptive Phishing, kan je Spear Phishing herkennen door te kijken naar het mailadres waarvandaan de berichten worden gestuurd.
Vishing
Vishing (ook wel bekend als Voice Phishing) wordt bedoelt dat de cybercrimineel telefonisch contact opneemt met een slachtoffer. Bellen geeft een bepaalde mate van urgentie niveau bij het slachtoffer. Via de telefoon kan de cybercrimineel informatie afhanden maken of acties door het slachtoffer uit laten voeren.
Om Vishing te herkennen kan je allereerst het telefoonnummer waarmee wordt gebeld opzoeken op het internet. Wellicht wordt er gebeld vanuit een ongebruikelijke locatie. Ook het tijdstip kan aangeven dat het om Vishing gaat.
Geef via de telefoon nooit informatie als ze daarom vragen. Als de beller vraagt om jouw woonadres te verifiëren, kan je vragen wat zij hebben staan. Vervolgens kan je aangeven of dat wel of niet klopt. Als het woonadres dat ze hebben staan niet jouw adres is en nooit is geweest, dan gaat het om Vishing.
Smishing
In plaats van te bellen, stappen cybercriminelen bij Smishing over op het versturen van SMS-berichten. Ook hierbij doen zij zich voor als legitieme organisaties of een bekend persoon. In de SMS wordt een mate van urgentie aangegeven of wordt er ingespeeld op het verwachtingspatroon van het slachtoffer.
In de SMS wordt altijd een link meegestuurd, waarop je dient te klikken voor meer informatie. Denk bijvoorbeeld aan een SMS waarin staat dat jouw pakketje eraan komt. Hierin staat een link welke 'aangeeft hoe laat jouw pakket wordt bezorgd'. Door op dergelijke linkjes te klikken, wordt er zonder dat je het door hebt malware op jouw telefoon geïnstalleerd.
Controleer de status van jouw pakketjes nooit via een SMS. Log in plaats daarvan in op de website van de organisatie waar jij iets hebt besteld en controleer de leverdatum -en tijd.
Whaling
De term Whaling Phishing komt van het dier walvis af. Een walvis staat voor een grote vis en in dit geval richt de cybercrimineel zich ook op de grote spelers. Bij dit type phishing wordt de CEO van een groot bedrijf geïmiteerd, om op deze wijze informatie of acties uit te laten voeren door slachtoffers.
Zo mailt de cybercrimineel onder de naam van de CEO naar de Finance-medewerker met het verzoek om even een ton over te maken naar een bankrekening. Of wordt vanuit naam van de CEO een mail gestuurd met een bijlage, waarin malware zit.
Whaling kan je herkennen door abnormale verzoeken van de CEO. Natuurlijk kan je ook altijd kijken wat het mailadres is waar vandaan wordt verzonden.
Maatregelen om phishing aanvallen te voorkomen
Training
Het allerbelangrijkste is dat je mensen goed opleid om phishing aanvallen herkennen en hier adequaat op reageren. Mensen die niet weten wat verdacht is of kan zijn, zijn een gemakkelijk doelwit. De training dient ook echt praktijk voorbeelden te laten zien inclusief opdrachten en een eindtoets.
Je kan er zelfs voor kiezen om een jaarlijkse toets af te dwingen in een organisatie.
Websites blokkeren
Je kan er verder ook voor zorgen dat specifieke websites niet bezocht mogen worden. Dit kunnen websites zijn waar veel malware op rond zwerft. Denk bijvoorbeeld aan een website die overladen is met allerlei reclames. Door de websites te blokkeren zorg je ervoor dat mensen niet per ongeluk een link kunnen aanklikken.
Multi-Factor Authenticatie (MFA)
Sommige wachtwoorden zijn snel geraden. Hierom is het instellen van een extra identificatie wijze perfect om jouw account te beschermen. MFA kan door middel van een sms-code, bellend accorderen of een app op je telefoon.
Houd er rekening mee dat het sturen van de SMS-code het meest veilig is. Bellend accorderen of via een app akkoord geven is al snel gedaan. Sommige cybercriminelen wachten namelijk totdat de gebruiker inlogt en sturen daarmee ook een MFA af. Een gebruiker denkt dat het om zijn eigen inlog gaat en klikt twee keer op akkoord. Dit komt nu steeds vaker voor.