In onze digitale samenleving krijgen wij steeds vaker te maken met ongewenste berichten. Individuen en malafide organisaties zijn uit op onze persoonlijke gegevens, met kwaadwillende bedoelingen. Krijg meer inzicht in phishing, de vormen die er zijn en hoe een organisatie zich beter kan weren tegen dit fenomeen.

Phishing is een soort cybercriminaliteit waarbij een persoon die zich als een echte organisatie voordoet contact opneemt met als doel via e-mail, telefoon of sms zijn slachtoffer te overtuigen gevoelige gegevens in te dienen, zoals persoonlijk identificeerbare informatie, bankgegevens, creditcardgegevens, en wachtwoorden.

De gegevens die worden verkregen na toegang tot systemen en accounts worden vaak gebruikt voor financieel gewin.

Phishing komt in veel vormen, zo bestaat er smishing, vishing en whaling. Twee bekendere vormen van phishing zullen wij hieronder toelichten: phishing mails en spear phishing.

1. Wat zijn phishing-mails? 

Phishing e-mails zijn populair onder cybercriminelen vanwege hun gebruiksgemak, lage kosten en hoge succespercentage.  Het verkrijgen van e-mailadressen is eenvoudig, en het versturen van e-mails is nagenoeg gratis.

Phishing mails zijn mails die van betrouwbare organisaties lijken te komen, zoals bijvoorbeeld een bank of postbedrijf. Doorgaans vraagt men om op een link te klikken en daarna in te loggen. Anderzijds wordt soms om persoonlijke informatie gevraagd waarmee identiteitsfraude kan worden gepleegd.

2. Wat is Spear-Phishing? 

Spear-phishing, net als phishing-brieven, is gericht op één individu. Met behulp van verzamelde informatie over de persoon in kwestie wordt een aanval zorgvuldig opgezet.  Spear-phishing e-mails kunnen lijken te zijn verzonden door een vertrouwde zakelijke collega of vriend. Informatie vanuit social media zoals Linkedin en Facebook kan gebruikt worden om meer vertrouwen te wekken.

3. Phishing herkennen

Het is mogelijk dat een organisatie miljoenen verliest, zijn merk beschadigt en het vertrouwen van de klant ondermijnt als een phishing- of spear-phishing-aanval succesvol is.  Om deze fatale gevolgen te voorkomen, is bewustzijn doorgaans de eerste stap naar een succesvolle verdedigingsstrategie. De start naar bewustzijn begint bij het leren van de volgende herkenningspunten:

3.1 De begroetingen zijn doorgaans algemeen

Wanneer een bank zijn of haar klanten een bericht stuurt, dan kun je er van uitgaan dat dit doorgaans gepersonaliseerd zal zijn met voornaam en achternaam. Bij het merendeel van de phishing aanvallen is dit echter niet het geval. De aanvallers beperken zich doorgaans tot: ‘Beste heer/mevrouw’.

Echter, wanneer iemand doelwit is van een spear phishing aanval, is er wel sprake van personalisatie.

3.2 Valse webpagina’s en URLs 

De website waarnaar verwezen wordt komt niet overeen met de website die het zou moeten zijn. Zo kan men bijvoorbeeld facebook schrijven als faceboook of fasebook. Het lijkt identiek, maar is het helaas niet. Sommige hackers spelen hier actief op in en leggen dit soort domeinen vast. Deze vorm van fraude noemt men ‘Typosquatting’. 

Voordat op een link geklikt wordt in een email is het raadzaam om de cursor over koppeling te bewgen. De bestemmings-url wordt dan weergegeven. Als de link niet overeenkomt met de verwachte url, is het ‘t beste deze email direct te verwijderen.

3.3 Grammatica en syntaxis 

Daarnaast zijn een slechte zinsstructuur, spelfouten en een vreemde opmaak duidelijke signalen van een phishing-poging.

3.4 Betrouwbare organisaties 

Oplichters maken vaak gebruik van populaire applicaties en software. Denk aan bedrijven zoals Wetransfer en DocuSign. Neem altijd eerst contact op met de afzender voordat u op een link klikt.

4. Phishing voorkomen 

In principe kan men niet enorm veel doen om phishing-aanvallen te voorkomen. Er zijn echter wel handelingen die uitgevoerd kunnen worden om de kans op een succesvolle phishing aanval te reduceren.

4.1 Geef al het personeel training.  

Onderwijs is de meest robuuste verdedigingslinie tegen gegevenslekken. Werknemers, en dus menselijke fouten, zijn doorgaans een van de grootste bronnen van een gegevenslek. Een gedegen training om het bewustzijn omtrent cyber security te vergroten is dan ook cruciaal. Onze cyber security awareness training helpt organisaties hierbij.

4.2 Controleer de website 

In phishing-e-mails wordt vaak gevraagd een bestand te downloaden of op een koppeling te klikken. Als dit laatste het geval is, controleer dan de bestemmings-URL voordat op de link wordt geklikt. De URL wordt weergegeven in een kleine balk aan de onderkant van de browser. Op een mobiel apparaat kan men de vinger op de koppeling houden waarna het als pop-up wordt weergegeven.

4.3 Klik niet op koppelingen

Een essentieel element om werknemers te laten beseffen is een gezond niveau van scepsis te behouden.Of de communicatie nu via e-mail, tekst of sociale media verloopt, men dient rekening te houden met een phishing aanval.  Personeel moet elke koppeling negeren die hen naar een (onbekende) website brengt die hen verplicht wachtwoorden, gevoelige informatie of accountgegevens in te voeren.

4.4 Maak gebruik van e-mailfilters. 

Hoewel software kan helpen bij de beveiliging van e-mailservers, moeten er al spamfilters zijn geïnstalleerd. Werknemers moeten worden aangemoedigd om spam-e-mails te markeren die in hun postvakken binnenkomen, zodat de filters hun taken efficiënter kunnen uitvoeren.

Andere artikelen in onze phishing database: