Wat is phishing?
De definitie van phishing
Phishing is een vorm van cybercriminaliteit die vandaag de dag maar liefst tweederde van de beveiligingslekken per jaar veroorzaakt. Criminelen phishen naar uw geld, persoonlijke informatie, of andere bezittingen, door u hierom te vragen via frauduleuze e-mails of andere vormen van communicatie. Phishing-e-mails treffen alle soorten werkomgevingen, zowel kleine bedrijven als grote ondernemingen, en kunnen zich zelfs voordoen als persoonlijk aan u gericht e-mails.
Veelgebruikte methoden bij phishing-aanvallen
Bij een phishingscam sturen cybercriminelen meestal e-mails, berichten of sms'jes die bedoeld zijn om mensen te misleiden tot het delen van financiële gegevens of persoonlijke informatie. Een phishing-e-mail of -bericht geeft de indruk dat de communicatie afkomstig is van een betrouwbare bron, gezaghebbend persoon of iemand die in de problemen zit. Een nietsvermoedende ontvanger zal hierdoor ongerust raken, of gewoon nieuwsgierig zijn om te reageren.
We spreken dan ook van een phishingscam of een phishingfraude omdat het doel is te profiteren van iemands goedgelovigheid, emotionele reacties of gebrek aan kennis over phishing. Maar ook het simpelweg te weinig aandacht besteden aan details in de communicatie kan er al voor zorgen dat iemand slachtoffer wordt van een phishing-aanval.
Voorbeelden van phishingscams
Veel grote beveiligingslekken beginnen met phishing-aanvallen.
- Tijdens 'Operatie Phish Phry' van de FBI in 2009 werden 100 mensen beschuldigd van cybermisdrijven. De FBI werd getipt toen klanten phishing-e-mails ontvingen die eruit zagen alsof ze afkomstig waren van hun vaste bank. Klanten werden in die e-mails gevraagd om hun rekeninggegevens en wachtwoorden in te voeren op officieel uitziende, maar in feite frauduleuze websites. Dit heeft geleid tot enorme financiële schade voor zowel de klanten als hun banken.
- Een bekende phishingscam was de Target/FMS Scam van 2013. Bij deze phishingfraude verkregen hackers toegang tot de creditcardgegevens van 40 miljoen klanten van het bedrijf Target, waardoor 70 miljoen klantgegevens gecompromitteerd raakten. Cybercriminelen hadden een phishing-e-mail verstuurd naar werknemers van een HVAC-bedrijf dat door Target was ingehuurd, waarmee malware op de betaalautomaten kon worden geïnstalleerd. De werknemers hadden de criminelen zo zonder dat ze het wisten via de phishing-e-mail toegang verleend tot de servers van het bedrijf.
- In 2016 werd FACC, een Oostenrijkse fabrikant van luchtvaartonderdelen met wereldberoemde klanten als Boeing en Airbus, het slachtoffer van een phishing-aanval toen hackers zich voordeden als de CEO van het bedrijf, de Canadese Walter Stephen. Tijdens deze phishingscam gaven hackers die zich voordeden als Stephen een werknemer de opdracht om $ 61 miljoen over te maken naar de bankrekening van een crimineel in China. Toen de phishingfraude aan het licht kwam, ontsloeg het bedrijf zowel de CEO als de CFO, en werd het aangeklaagd voor schadevergoeding wegens het incorrect implementeren van beveiligingscontroles en het onvoldoende bewaken van het beveiligingsproces. De nasleep was aanzienlijk.
Soorten phishing-aanvallen
Overzicht van verschillende soorten phishing-aanvallen
Er zijn verschillende soorten van phishing, en meerdere stijlen van phishing-aanvallen. Phishing vindt plaats via e-mails, maar ook via sms'jes, berichten via sociale media, en telefoongesprekken. De meeste phishing-aanvallen zijn ontworpen om zoveel mogelijk mensen op te lichten en leveren meestal weinig op. Sommige phishing-aanvallen zijn echter technisch complexer ingericht en kunnen verstrekkende problemen veroorzaken en gericht zijn op specifieke personen en organisaties. Voorbeelden van dit soort aanvallen zijn spear phishing, clone phishing en whaling. E-mail-phishing is echter de meest voorkomende phishing-aanval.
Spear phishing: wat het is en hoe het werkt
Spear-phishing-aanvallen zijn gericht op specifieke personen, in tegenstelling tot aanvallen waarbij een breed net wordt uitgeworpen om zoveel mogelijk slachtoffers te maken. Bij dit type phishing-aanval krijgt een crimineel toegang krijgt tot de interne e-mail van een organisatie, vaak via gewone phishing of kwetsbaarheden in het systeem. Vervolgens wordt het doelwit geselecteerd en een plan uitgewerkt, waarna de hackers zich voordoen als iemand binnen de organisatie, zoals een collega of gezaghebbend persoon, en namens deze persoon realistisch ogende e-mails versturen naar het slachtoffer. Zo'n phishing-e-mail kan bijvoorbeeld instructies bevatten om een bepaalde taak uit te voeren, of geschreven zijn om een bepaalde emotionele reacties te ontlokken om het doelwit te motiveren die taak uit te voeren. Deze e-mails zijn te herkennen aan subtiele afwijkingen, die het slachtoffer door zijn emotionele reactie of nieuwsgierigheid misschien niet opmerkt. Het is dan ook van cruciaal belang om bij twijfel het zekere voor het onzekere te nemen.
Clone phishing: wat het is en hoe het werkt
Bij clone phishing worden simpele phishingtechnieken gebruikt om toegang te krijgen tot originele e-mails met bijlagen, waarvan kopieën worden gemaakt. Zo kan een cybercrimineel bijlagen verzenden in e-mails die lijken op originele berichten van de organisatie, maar in feite malware bevatten die wordt gebruikt om gevoelige informatie te stelen. De phishing-e-mails worden meestal verzonden als urgente berichten met 'bijgewerkte' bijlagen, waarbij deze urgentie wordt gebruikt om het slachtoffer snel te laten reageren, zodat hij geen tijd heeft op te letten op de kleine details. In tegenstelling tot spear phishing, dat gericht is op een specifieke organisatie of specifiek persoon, is het doel van clone phishing om het bericht geloofwaardig te laten overkomen voor iedereen die het leest.
Phishing-e-mails herkennen
Algemene kenmerken van phishing-e-mails
Phishing-e-mails bevatten over het algemeen grammaticale fouten, ongebruikelijke e-mailadressen of hyperlinks, verdachte downloads in bijlagen, en zijn vaak afkomstig zijn van een onbekend e-mailadres. Bedrijven vereisen vaak specifieke cyberbeveiligingstraining om werknemers phishing-e-mails te helpen te herkennen.
Verdachte inhoud identificeren
Wanneer in een e-mail rechtstreeks om gevoelige informatie wordt gevraagd, gebruik dan alleen goedgekeurde en veilige kanalen om die informatie te delen, en doe dit alleen als het nodig, raadzaam en veilig is. Dubbelcheck ongebruikelijke verzoeken, en als een e-mail u naar een website leidt, bestudeer dan eerst de URL in de adresbalk om er zeker van te zijn dat deze correct is voordat u persoonlijke gegevens invoert. E-mails van bekende personen of organisaties met ongebruikelijke kenmerken, zoals onverwachte content of een ongebruikelijke schrijfstijl, moeten als verdacht worden behandeld. Hetzelfde geldt voor e-mails met oproepen tot urgentie, of die emotioneel beladen uitdrukkingen, bedreigingen, of ongevraagde of plotselinge mededelingen bevatten.
Tips om niet in phishing-scams te trappen
Er zijn eenvoudige maatregelen die u kunt treffen om te voorkomen dat u het slachtoffer wordt van phishingfraude.
- Maak uzelf bekend met het onderwerp en lees u zo goed mogelijk in over hoe phishing werkt
- Volg een cursus of raadpleeg het cyberbeveiligings- of IT-team op uw werk.
- Blijf op de hoogte van het nieuws over bekende phishing-scams en cyberbeveiligingslekken. Dit kan een schat aan nuttige, bijgewerkte informatie opleveren over nieuwe phishing-strategieën en het herkennen van phishing-aanvallen in het algemeen.
- Zorg ervoor dat beveiligingsprincipes van uw organisatie nauwkeurig worden gedefinieerd, en houd u strikt aan de bijbehorende beveiligingsprotocollen en -controles.
Bestudeer en analyseer de informatie in e-mails, sms'jes, berichten op sociale media en telefoongesprekken zorgvuldig om de herkomst ervan te bepalen, en bepaal op basis daarvan of het veilig genoeg is om op het verzoek in te gaan.
Controleer communicatie te allen tijde, maak er tijd voor. Bent u het gesprek begonnen of heeft de andere persoon dat gedaan? Wat was het doel van de communicatie, en vond u de manier waarop u benaderd werd passen bij dat doel? Kunt u eigenaardige kenmerken identificeren, zoals onverwachte urgentie, emotioneel beladen verzoeken, ongebruikelijk opgestelde zinnen, grammaticale fouten, of verdachte links of instructies? Elk van deze zaken kan wijzen op een phishing-aanval.
Het gebruik van een wachtwoordmanager zoals LastPass is een van de meest eenvoudige maatregelen om te voorkomen dat hackers toegang krijgen tot e-mailcommunicatie en dat eindgebruikers frauduleuze formulieren invullen.
Uzelf beschermen tegen phishing
Best practices om phishing-aanvallen te voorkomen
Er zijn eenvoudige best practices om phishing-aanvallen te helpen voorkomen. Om te beginnen: neem de tijd. Bestudeer uw e-mail grondig, controleer of de afzender en het adres overeenkomen, en let op tekenen van verdachte activiteiten voordat u reageert.
Gebruik sterke en unieke wachtwoorden
Stel meervoudige verificatie (MFA) en sterke wachtwoorden in om inbreuken te voorkomen en gegevens te beschermen. Als u uw wachtwoorden regelmatig wijzigt of een wachtwoordmanager gebruikt, wordt het voor hackers moeilijker om toegang te krijgen en worden uw gegevens beschermd.
De rol van wachtwoordbeheerders als LastPass bij bescherming tegen phishing
Wachtwoordbeheerders zoals LastPass zijn ingericht om de 'wachtwoordmoeheid' bij eindgebruikers tegen te gaan en zo de beveiliging van communicatie te allen tijde te waarborgen. LastPass detecteert daarnaast valse websites, waardoor het invullen van formulieren met persoonlijke gegevens op frauduleuze sites wordt voorkomen.
Phishing melden en erop reageren
Wat u moet doen als u een phishing-e-mail ontvangt
Als u vermoedt dat u een phishing-e-mail hebt ontvangen, neem dan de tijd om grondig te kunnen observeren, rapporteren en reageren.
Klik nooit op links en download geen bijlagen. Neem contact op met de afzender voordat u actie onderneemt, en rapporteer uw vermoeden conform de rapportageprocessen van uw bedrijf.
Hoe u phishingscams kunt melden
Het melden van phishing helpt toekomstige oplichting te voorkomen en bekende oplichters te identificeren. Volg de meldingsprocedures van uw organisatie en vraag uw IT- of cyberbeveiligingsteams om advies. U kunt pogingen tot phishing ook melden bij overheidsinstanties zoals de Fraudehelpdesk of het Centraal Meldpunt Identiteitsfraude (CMI).
Te ondernemen acties als u denkt dat u bent gephisht
Als u vermoedt dat u het slachtoffer bent geworden van een phishing-aanval, koppel uw apparaat dan onmiddellijk los van het internet, scan het met antivirussoftware, en controleer e-mails en online accounts op verdachte transacties. Als de gebeurtenis plaatsvond op een werkgerelateerd netwerk of apparaat, meld dit dan direct en volg de standaard beveiligingsprocedures van uw organisatie.
Phishing is een ernstige bedreiging die alleen met enorme waakzaamheid en kennis van zaken kan worden bestreden. Voor zowel individuen als organisaties is het daarom cruciaal om het inzicht in phishing-aanvallen te vergroten, ter herkenning van veelvoorkomende technieken die worden gebruikt, de manier waarop u verdachte e-mails kunt herkennen, en de heersende best practices op het gebied van phishing en phishingscams.
Het allereerste waar u aan zou moeten denken? Gebruik een goede wachtwoordmanager. Start uw LastPass-proefversie vandaag nog om uw organisatie te versterken tegen phishing-aanvallen.
