Er zijn vele vormen van phishing en spear phishing is daar een voorbeeld van. Maar wat is het precies? En hoe werkt het precies? Dit zijn vragen waar wij in dit artikel antwoord op geven. Ook een uitleg over het verschil tussen phishing en spear phishing komt aan bod. Lees ons artikel indien je niet bekend bent met dit fenomeen en graag wil weten hoe je jouw organisatie hiertegen kunt beschermen.

1. Wat is phishing?

Om te begrijpen wat spear phishing is, dient eerst een omschrijving gegeven te worden van phishing.

Phishing is een algemene uitdrukking die verwijst naar elke poging om slachtoffers ertoe te bewegen persoonlijke informatie, zoals wachtwoorden, gebruikersnamen en creditcardgegevens, te verstrekken om fraude te plegen. Phishing-aanvallen zijn, in tegenstelling tot spear-phishing-aanvallen, niet hoofdzakelijk gericht op individuen en worden vaak tegelijkertijd naar grote groepen mensen verzonden.

De aanvallers imiteren vaak de identiteit van een legitieme organisatie en communiceren met hun slachtoffer via e-mail, sociale media, telefoongesprekken (ook bekend als ‘vishing‘ voor voice-phishing), en zelfs tekstberichten (vaak aangeduid als ‘smishing’ voor SMS-phishing).

2. Spear phishing in het kort

Spear phishing is een vorm van phishing cq. fraude welke gericht is op een specifiek persoon, bedrijf of organisatie. Het is een verfijnde techniek en eist doorgaans meer aandacht en inspanning dan phishing. Spear-phishing aanvallers verzamelen zoveel mogelijk persoonlijke informatie over hun slachtoffers om hun e-mails er authentiek uit te laten zien en hun kansen om ontvangers met succes te misleiden te maximaliseren. Het is om die reden ook moeilijker om dit soort aanvallen te detecteren dan grootschalige phishing operaties, omdat deze e-mails persoonlijker zijn.

3. Phishing v/s Spear Phishing 

De termen phishing en spear phishing lijken dus veel op elkaar. Sterker, spear phishing is een vorm van phishing. Wat is dan het verschil?

Het verschil zit hem voornamelijk in de manier waarop de aanval plaatsvindt. Bij de algemene vorm van phishing is er doorgaans sprake van een groot verzend volume, met weinig personalisatie. Denk bijvoorbeeld aan een email van een bank dat jouw bankpas binnenkort verloopt. De kans is aannemelijk dat je niet eens aangesloten bent bij deze bank. Bij spear phishing is er sprake van een aanval op een specifiek persoon, bedrijf of organisatie.

4. Hoe werkt spear phishing?

Net als phishing vindt spear phishing vaak per e-mail plaats. Het kan echter, zoals eerder aangegeven, ook per telefoon (vishing) of per sms (smishing) uitgevoerd worden.

Bij spear phishing maakt men gebruik van persoonlijke gegevens om de communicatie betrouwbaarder te laten lijken. Zo kan de aanvaller gegevens vanuit social media halen, of wellicht zelfs informatie van collega’s. Voorbeelden van spear phishing zijn:

  • een CEO die zogezegd naar kantoor belt voor een urgente betaling van een openstaande factuur;
  • een frauduleuze email van een ‘collega’ die foto’s wil delen van het bedrijfsfeest van afgelopen week.

Vaak wordt urgentie gebruikt om succes te vergroten. Niemand wil immers zijn directeur teleurstellen.

Berichten en websites worden vaak met succes nagemaakt door gebruik van speciaal ontworpen tools en social engineering-procedures.

5. Waarom wordt spear phishing gebruikt?

De intentie is bij nagenoeg alle vormen van phishing hetzelfde: geld. Hetzij door het doorverkopen van gevoelige informatie, het ontzeggen van toegang tot documenten/systemen (ransomware) of het direct overmaken van geld op een frauduleuze rekening.

6. Hoe bescherm ik mijn organisatie tegen spear phishing? 

Criminelen gebruiken sociale media en andere openbaar beschikbare informatie om een specifiek doel binnen een organisatie te identificeren en een frauduleuze e-mail te maken die aan dat individu is gericht.

Het is om die reden te adviseren dat medewerkers zo min mogelijk informatie delen op het internet en sociale media.

Vanwege de nauwkeurigheid waarmee deze aanvallen worden uitgevoerd, worden deze doorgaans niet door standaard beveiligingsmaatregelen tegengehouden.  Als gevolg hiervan wordt het ontdekken ervan steeds complexer. Werknemers moeten zich daarom ook bewust zijn van de mogelijke vormen van spear-phishing en hoe zij dit kunnen herkennen. Een security awareness training is hiervoor het meest geschikte middel.