Wat is phishing en welke vormen zijn er?
E-mails, appjes, sms’jes en berichten op sociale media: we zijn inmiddels gewend aan een overload aan digitale communicatie. Tussen alle betrouwbare zakelijke berichten zitten soms ook verraderlijke varianten. Phishing is een beproefde vorm van cybercrime en bestaat uit het versturen van berichten die je in de verleiding brengen om op een gevaarlijke link te klikken en zo persoons- en inloggegevens of andere gevoelige informatie prijs te geven.
Waar phishingmails vroeger makkelijk te herkennen waren aan de kromme zinnen, slechte spelling en meestal weinig plausibele inhoud (denk aan de Nigeriaanse prins of overleden oudtante die je miljoenen schenkt), zien ze er tegenwoordig echter en professioneler uit. Sommige nepberichten zijn zelfs voor doorgewinterde IT-professionals lastig te herkennen als phishing.
Een phishingaanval kan je opzadelen met allerlei problemen. Denk bijvoorbeeld aan reputatieschade door het lekken van bedrijfskritische of privacygevoelige data. Of aan haperende IT-systemen door virussen en zelfs versleutelde apparaten, bestanden en netwerken door ransomware. In dit artikel lees je meer over phishing en de diverse varianten van deze aanvalsmethode. We laten ook zien wat je ertegen kunt ondernemen en hoe je het gevaar van phishing attacks minimaliseert met de juiste trainingen op het gebied van cybersecurity.
Phishing: de verschillende varianten
De phishingaanval is een vorm van cybercrime die in de loop der jaren geëvolueerd en gediversifieerd is. Er zijn inmiddels verschillende varianten op de klassieke phishingaanval. Tijd om de belangrijkste en vaakst voorkomende nader toe te lichten.
Bulk phishing
Bulk phishing is de meest wijdverspreide, klassieke vorm van phishing. Bij deze variant sturen aanvallers grote hoeveelheden e-mails naar zoveel mogelijk adressen, in de hoop dat iemand toehapt. Zie het als schieten met hagel: door het hoge volume aan phishingmails, is de kans groot dat je als aanvaller altijd wel een paar keer raak schiet. Zelfs als slechts 1 op de 100.000 mensen op een link klikt en persoonlijke informatie of inloggegevens prijsgeeft, hebben de cybercriminelen succes.
De berichten zijn meestal lokkertjes of waarschuwingen. Ze vertellen bijvoorbeeld dat je een groot geldbedrag hebt gewonnen, in aanmerking komt voor een spectaculaire korting of snel actie moet ondernemen om te voorkomen dat je account wordt stopgezet of je bankpas wordt ingetrokken. Bulk phishing is niet gericht op specifieke personen of organisaties.
Spear fishing
In tegenstelling tot bulk phishing, richt spear phishing zich wel op specifieke doelwitten. Voordat hij een phishingmail stuurt, speurt de spear phisher actief het internet af naar interessante slachtoffers. Hij zoekt naar namen, functies, contactgegevens en profielen op sociale media van personen binnen specifieke organisaties.
Het doel: de phishingmail persoonlijker en authentieker maken, zodat de ontvanger in de veronderstelling is dat hij met een legitieme afzender te maken heeft. Als een aanvaller die gebruikmaakt van dit type phishing attack eenmaal beet heeft en medewerkers zijn berichten verder verspreiden, infiltreert de aanvaller steeds dieper in de digitale infrastructuur van een organisatie.
Whale phishing/whaling attack
Whale phishing (ook bekend als een whaling attack) is een variant op spear phishing. Dit type phishing-aanval richt zich specifiek op hooggeplaatste personen binnen een organisatie. Denk bijvoorbeeld aan CEO’s, CFO’s, topmanagers of grootaandeelhouders. Veelal mensen met sleutelfuncties, beslissingsbevoegdheid en toegang tot gevoelige informatie dus.
In het geval van een whaling attack is de phishingmail afkomstig van een mailadres dat bekend is bij de ontvanger. Het bericht is bovendien volledig gepersonaliseerd, vaak op basis van informatie die de cybercrimineel op sociale media heeft gevonden en verzameld. Vaak bevat de mail ook nog officiële bedrijfslogo’s of website-info die het bericht een nog authentieker en geloofwaardiger karakter geven.
Treft de digitale harpoen van de whaler doel? Dan kan hij met de inloggegevens van het bedrijfskopstuk allerlei frauduleuze handelingen uitvoeren. Denk bijvoorbeeld aan identiteitsfraude plegen, geld aftroggelen van andere medewerkers binnen de organisatie of kritische bedrijfsinformatie en privacygevoelige informatie stelen.
Clone phishing
Clone phishing is een bijzonder geniepige en gemene phishing-aanval die vaak lang onder de radar blijft. Cybercriminelen maken een kopie van eerder bezorgde en legitieme berichten en vervangen de koppelingen door schadelijke software. Hiermee kunnen de cyberboeven systemen van gebruikers overnemen zodra het slachtoffer op de koppeling klikt. Om zo’n aanval te kunnen uitvoeren, moet de cybercrimineel overigens wel in het bezit zijn van de inloggegevens van het doelwit.
Smishing
Het is niet verrassend dat cybercriminelen inmiddels ook de potentie van sms en WhatsApp hebben ontdekt. Volgens de Fraudehelpdesk komt phishing via WhatsApp steeds vaker voor. Bij de meeste gevallen van WhatsApp-fraude doet de oplichter zich voor als een bekende van het slachtoffer. De crimineel speelt dan vaak in op de goedheid van het slachtoffer, die bereid is veel te doen voor een kennis of collega in nood. Maar ook crises zoals een natuurramp of humanitaire tragedie (bijvoorbeeld door je als cybercrimineel voor te doen als medewerker van een hulporganisatie) zijn welkome inspiratiebronnen voor phishingberichten per app of sms.
Hoe bescherm je jouw organisatie tegen phishing?
De kans dat je tegenwoordig op enig moment te maken krijgt met het fenomeen phishing is levensgroot. Gelukkig zijn er diverse manieren om een sterke verdedigingslinie op te trekken tegen phishing attacks.
Phishingberichten leren herkennen
Bewustzijn is de beste verdediging tegen phishing. Als medewerkers phishing-aanvallen leren herkennen, klikken ze minder snel op een malicieuze link. Hoewel phishingberichten professioneler ogen dan in het verleden, hebben ze toch meestal een aantal kenmerken die je gerust kunt beschouwen als potentiële rode vlaggen.
- Een urgente oproep of het benadrukken van een bedreiging. Het bericht beweert bijvoorbeeld dat je snel moet handelen om een boete of claim te voorkomen, de toegang tot een dienst te behouden of een mooie prijs in de wacht te slepen. Dit gevoel van urgentie gaat gepaard met het uitdrukkelijke verzoek om een link aan te klikken of een bijlage te openen.
- Algemene begroetingen zonder verdere personalisatie. Mails die beginnen met een algemene aanhef (‘Beste meneer/mevrouw’), maar inhoudelijk vragen om persoonlijke informatie, zijn verdacht.
- Niet overeenkomende maildomeinen. Denk bijvoorbeeld aan een mail die afkomstig lijkt te zijn van de bank of een directielid, maar verzonden is vanuit een ander e-maildomein. Let ook op subtiele spelfouten in de domeinnaam.
- Verdachte koppelingen. Beweeg altijd eerst de muisaanwijzer over de koppeling om deze te controleren voordat je hem opent.
Speciale antispam- en antivirussoftware gebruiken
Benut de kracht van firewalls en goede antispam- en antivirussoftware. Er is software die speciaal ontwikkeld is om jezelf te beschermen tegen de meeste complexe malwarevarianten en cyberdreigingen. Daarnaast helpt het om met behulp van een wachtwoordmanager verschillende wachtwoorden te gebruiken voor verschillende diensten, websites en omgevingen. Bovendien kun je met zo’n manager regelmatig wachtwoorden veranderen en rouleren zonder dat je ze vergeet.
Creëer securitybewustzijn
De meeste geslaagde phishing-aanvallen komen voort uit een matig ontwikkeld securitybewustzijn bij een organisatie of individuele medewerkers. Je kunt dit verbeteren door medewerkers gerichte trainingen aan te bieden, maar bijvoorbeeld ook door phishingaanvallen te simuleren en vervolgens te monitoren hoe mensen omgaan met verdachte berichten en bijlagen. Zorg ook voor een duidelijk handelingsprotocol. Met een snelle en gepaste reactie op een phishing attack houd je de schade vaak binnen de perken.
Beter bedacht op phishing met de trainingen van Master IT
Zeker met het creëren van bewustzijn en vergroten van kennis kan Master IT jou uitstekend helpen. Ons aanbod herbergt namelijk diverse cybersecuritytrainingen op verschillende niveaus (van beginner tot expert).
Denk bijvoorbeeld aan de populaire training ‘CEH Certified Ethical Hacker v12’. Die leert je om aanvalsstrategieën en phishingtactieken te begrijpen, maar toont ook hoe je de vaardigheden van kwaadwillende hackers nabootst. De training ‘Certified Information Systems Auditor’ biedt alles wat je nodig hebt om je te onderscheiden als specialist op het gebied van audit, controle, risicoanalyse en beveiliging.
Meer weten?
Phishing is een verraderlijke en veelvoorkomende vorm van cybercriminaliteit die menig bedrijf veel geld kost. Wil jij ook serieus werk maken van de strijd tegen phishing? En kun je daar wel wat hulp bij gebruiken in de vorm van goede training? Neem dan gerust contact op met Master IT. Bel ons op 06 48 94 37 60/040 23 23 390, stuur een e-mail naar info@master-it.nl of vul het contactformulier op onze website in.