In onze digitale samenleving krijgen wij steeds vaker te maken met ongewenste berichten. Individuen en malafide organisaties zijn uit op onze persoonlijke gegevens, met kwaadwillende bedoelingen. Krijg meer inzicht in phishing, de vormen die er zijn en hoe een organisatie zich beter kan weren tegen dit fenomeen.
Phishing is een soort cybercriminaliteit waarbij een persoon die zich als een echte organisatie voordoet contact opneemt met als doel via e-mail, telefoon of sms zijn slachtoffer te overtuigen gevoelige gegevens in te dienen, zoals persoonlijk identificeerbare informatie, bankgegevens, creditcardgegevens, en wachtwoorden.
De gegevens die worden verkregen na toegang tot systemen en accounts worden vaak gebruikt voor financieel gewin.
Phishing komt in veel vormen, zo bestaat er smishing, vishing en whaling. Twee bekendere vormen van phishing zullen wij hieronder toelichten: phishing mails en spear phishing.
1. Wat zijn phishing-mails?
Phishing e-mails zijn populair onder cybercriminelen vanwege hun gebruiksgemak, lage kosten en hoge succespercentage. Het verkrijgen van e-mailadressen is eenvoudig, en het versturen van e-mails is nagenoeg gratis.
Phishing mails zijn mails die van betrouwbare organisaties lijken te komen, zoals bijvoorbeeld een bank of postbedrijf. Doorgaans vraagt men om op een link te klikken en daarna in te loggen. Anderzijds wordt soms om persoonlijke informatie gevraagd waarmee identiteitsfraude kan worden gepleegd.
2. Wat is Spear-Phishing?
Spear-phishing, net als phishing-brieven, is gericht op één individu. Met behulp van verzamelde informatie over de persoon in kwestie wordt een aanval zorgvuldig opgezet. Spear-phishing e-mails kunnen lijken te zijn verzonden door een vertrouwde zakelijke collega of vriend. Informatie vanuit social media zoals Linkedin en Facebook kan gebruikt worden om meer vertrouwen te wekken.
3. Phishing herkennen
Het is mogelijk dat een organisatie miljoenen verliest, zijn merk beschadigt en het vertrouwen van de klant ondermijnt als een phishing- of spear-phishing-aanval succesvol is. Om deze fatale gevolgen te voorkomen, is bewustzijn doorgaans de eerste stap naar een succesvolle verdedigingsstrategie. De start naar bewustzijn begint bij het leren van de volgende herkenningspunten:
3.1 De begroetingen zijn doorgaans algemeen
Wanneer een bank zijn of haar klanten een bericht stuurt, dan kun je er van uitgaan dat dit doorgaans gepersonaliseerd zal zijn met voornaam en achternaam. Bij het merendeel van de phishing aanvallen is dit echter niet het geval. De aanvallers beperken zich doorgaans tot: ‘Beste heer/mevrouw’.
Echter, wanneer iemand doelwit is van een spear phishing aanval, is er wel sprake van personalisatie.
3.2 Valse webpagina’s en URLs
De website waarnaar verwezen wordt komt niet overeen met de website die het zou moeten zijn. Zo kan men bijvoorbeeld facebook schrijven als faceboook of fasebook. Het lijkt identiek, maar is het helaas niet. Sommige hackers spelen hier actief op in en leggen dit soort domeinen vast. Deze vorm van fraude noemt men ‘Typosquatting’.
Voordat op een link geklikt wordt in een email is het raadzaam om de cursor over koppeling te bewgen. De bestemmings-url wordt dan weergegeven. Als de link niet overeenkomt met de verwachte url, is het ‘t beste deze email direct te verwijderen.
3.3 Grammatica en syntaxis
Daarnaast zijn een slechte zinsstructuur, spelfouten en een vreemde opmaak duidelijke signalen van een phishing-poging.
3.4 Betrouwbare organisaties
Oplichters maken vaak gebruik van populaire applicaties en software. Denk aan bedrijven zoals Wetransfer en DocuSign. Neem altijd eerst contact op met de afzender voordat u op een link klikt.