Wat Is Phishing En Hoe Voorkom Je Het?

Sara Ismar
By: Sara Ismar Cybersecurity | 2 februari

Definitie van phishing

Phishing is een vorm van internetfraude waarbij cybercriminelen misleidende e-mails gebruiken om je ertoe te verleiden gevoelige informatie te verstrekken. Deze informatie wordt vervolgens gebruikt om toegang te krijgen tot belangrijke accounts, wat weer kan leiden tot identiteitsdiefstal en aanzienlijke financiële verliezen. Aangezien phishing-aanvallen steeds vaker voorkomen en steeds geraffineerder worden, vormen ze een van de grootste veiligheidsrisico's voor bedrijven.  

Inhoudsopgave

Phishing-aanvallen nemen toe

Phishing-aanvallen nemen alleen maar toe. In 2020 was phishing zelfs de meest voorkomende vorm van cybercriminaliteit en verdubbelde het aantal incidenten bijna ten opzichte van het jaar daarvoor. In 2020 kreeg 75% van de organisaties over de hele wereld te maken met een phishing-aanval.  

Het staat buiten kijf dat de pandemie het ondernemingsklimaat enorm heeft veranderd door onzekerheid te creëren en nieuwe werkgewoonten aan te moedigen, zoals werken op afstand. Dit alles in combinatie met de beschikbaarheid van phishing-kits die het cybercriminelen makkelijker dan ooit maken om aanvallen uit te voeren, zorgt ervoor dat bedrijven worden geconfronteerd met een waar doemscenario.  

In dit blog leggen we uit wat phishing is, wat de belangrijkste kenmerken van een aanval zijn en voor welke vormen van phishing je moet oppassen. Daarna gaan we in op wat je kunt doen om te voorkomen dat je bedrijf het slachtoffer wordt van phishing. 

Algemene kenmerken van phishing-e-mails 

De meeste mensen weten inmiddels dat e-mails van een "Nigeriaanse prins" waarin een enorme som geld wordt aangeboden, een soort phishing-aanval zijn. Wanneer cybercriminelen echter tactieken gebruiken om misbruik te maken van je vertrouwen en angstgevoelens veroorzaken, kunnen zelfs de meest verstandige mensen ten prooi vallen aan een phishing-aanval!

Laten we eens kijken naar de veelvoorkomende kenmerken van een phishing-e-mail: 

  • De e-mail bevat slechte grammatica en spelfouten. Het meest voor de hand liggende teken van een phishing-e-mail is onjuist gebruik van grammatica en slechte spelling. De meeste bedrijven gebruiken autocorrectie- en spellingcontroleprogramma's voor uitgaande e-mails, dus wees op je hoede op het moment dat je een e-mail ontvangt die vol fouten staat. 

  • De e-mail is hoogst ongebruikelijk. Als het verzoek dat in de e-mail wordt gemaakt ongebruikelijk is en niet gangbaar is binnen je bedrijf, wees dan sceptisch. Bijvoorbeeld: iemand van de IT-afdeling stuurt je een e-mail over een programma dat geïnstalleerd moet worden, terwijl dit soort activiteiten normaal gesproken op een andere manier wordt afgehandeld. 

  • De e-mail vraagt om onmiddellijk handelen. Phishing-e-mails maken vaak gebruik van bedreigingen of geven een gevoel van urgentie dat ervoor zorgt dat je snel reageert voordat je rationeel nadenkt. Sterker nog, de vijf meest gehanteerde onderwerpregels voor phishing-aanvallen in 2019 bevatten de woorden dringend, verzoek, belangrijk, betaling of aandacht. 

  • De e-mail bevat verdachte bijlagen. Phishing-e-mails bevatten meestal kwaadaardige bijlagen of hyperlinks naar kwaadaardige websites. Eén impulsieve klik later en je computer is geïnfecteerd, of je hebt je persoonsgegevens, creditcardgegevens of wachtwoorden aan de cybercrimineel overhandigd.  

  • De e-mail is te mooi om waar te zijn. Net als in het voorbeeld van de Nigeriaanse prins, als de e-mail je aanspoort om op een link te klikken of een bijlage te openen om aanspraak te maken op een beloning, is het hoogstwaarschijnlijk een phishing-poging. Als iets te mooi klinkt om waar te zijn, is dat waarschijnlijk ook zo.  

Smart CTA_phishingcase NL

Phishing-e-mails zijn vaak gericht aan werknemers

Cybercriminelen richten zich vaak op de "zwakste schakel" binnen een bedrijf, en zonder de juiste online veiligheidstraining zijn dat vaak werknemers. Hieronder volgt een voorbeeld van een phishing-e-mail die is ontworpen om misbruik te maken van het feit dat werknemers vaak blind vertrouwen in een autoriteit. De e-mail informeert de werknemers over een nieuw evacuatieplan als gevolg van gewijzigde overheidsvoorschriften, en de werknemer krijgt een strakke deadline om het plan te lezen en te ondertekenen door op een link te klikken. 

Wat is een phishing-kit? 

Een van de redenen dat phishing-aanvallen toenemen, is de beschikbaarheid van phishing-kits. Een phishing-kit is een softwarepakket waarmee cybercriminelen, ongeacht hun technische vaardigheden, op eenvoudige wijze phishing-campagnes kunnen opzetten. Dit komt doordat de kits meestal worden geleverd met e-mail templates, afbeeldingen en scripts waarmee overtuigende imitaties van legitieme websites kunnen worden gemaakt. Als phishing-kits beschikbaar blijven op the dark web, zullen phishing-aanvallen waarschijnlijk alleen maar toenemen. 

Bekende phishing-aanvallen 

Soms komen phishing-aanvallen volop in het nieuws. De onderstaande voorbeelden illustreren hoe zelfs de meest technisch onderlegde bedrijven het slachtoffer kunnen worden van phishing-e-mails. Maar wat nog belangrijker is, ze laten zien dat de aanvallen hadden kunnen worden voorkomen als de bedrijven iets proactiever waren geweest in het vergroten van de bewustwording rond phishing. 

Een paar jaar geleden vielen Facebook en Google ten prooi aan een phishing-aanval die hen meer dan 100 miljoen dollar kostte. Een cybercrimineel zette een nepbedrijf op dat zich voordeed als een leverancier van computeronderdelen die verbonden was aan deze tech reuzen en stuurde phishing-e-mails naar specifieke werknemers om hen te factureren voor goederen en diensten. 

Een ander voorbeeld is Sony Pictures, waar werknemers phishing-e-mails ontvingen die van Apple afkomstig leken te zijn. Slachtoffers werden gevraagd om hun Apple ID in te vullen op een nepformulier, en van hieruit kon de aanvaller de inloggegevens van hun Sony-netwerk achterhalen. De aanval kostte het bedrijf meer dan 100 terabyte aan bedrijfsgegevens, waaronder gegevens over hun financiën en klanten.  

Consequences of phishing - Infographic

Soorten phishing 

Spear phishing, vishing, smishing en ga zo maar door. Phishing heeft zich inmiddels ontwikkeld tot vele soorten. Deze soorten onderscheiden zich op basis van het doelwit van de aanval en de methode die wordt gebruikt om de aanval uit te voeren. Wat ze echter allemaal gemeen hebben, is hetzelfde einddoel: het verkrijgen van gevoelige informatie van het slachtoffer. Laten we de verschillende soorten phishing-aanvallen eens onder de loep nemen:  

  • Smishing  

  • Vishing 

  • CEO-fraude 

  • Spear phishing 

  • Whaling 

  • Barrel phishing  

  • Pharming 

  • Quishing

Smishing - phishing via sms  

Smishing is in feite phishing via een sms-bericht. Net als bij phishing heeft het sms-bericht een gevoel van urgentie en lijkt het afkomstig te zijn van een betrouwbare partij. Het bericht bevat een URL-link waarmee je naar een phishing-tool wordt geleid waar je wordt gevraagd om je persoonsgegevens bekend te maken. Hier is een voorbeeld van een VISA creditcard smishing-aanval.

Vishing - voice phishing via de telefoon  

Ben je ooit weleens gebeld door iemand die zich voordeed als Microsoft? Dan heb je te maken gehad met vishing, ofwel voice phishing. Misschien denk je nu "welk mens trapt daar nou in?", maar met een vervalst beller-ID en wat overtuigingskracht, zou je ervan versteld staan hoeveel mensen worden overgehaald om software te installeren die eigenlijk malware is. Bekijk hier voorbeelden van veelvoorkomende vishing-aanvallen.

CEO-fraude - zich voordoen als een leidinggevende van een bedrijf 

CEO-fraude, oftewel executive phishing, is een vorm van cybercriminaliteit waarbij de aanvaller zich via e-mail voordoet als de CEO, CFO of een andere leidinggevende van het bedrijf. Het werkt omdat het misbruik maakt van je vertrouwen in autoriteit, waardoor je zonder na te denken ingaat op hun verzoek. 

Spear phishing - aanvallen die gericht zijn op specifieke werknemers 

Spear phishing is een gerichte vorm van phishing. In plaats van het versturen van doorsnee massamails, zal de aanvaller onderzoek doen om frauduleuze berichten op te stellen die een specifiek individu of een specifieke groep binnen een organisatie aanspreken. Hoewel dit meer werk vergt van de cybercrimineel, leidt het tot een hogere kans van slagen omdat mensen minder op hun hoede zijn als de e-mail afkomstig lijkt te zijn van iemand die ze kennen. 

Whaling - aanvallen gericht op senior executives 

Whaling, of whale phishing, is een vorm van spear phishing die gericht is op de "grote vissen", zoals CEO's of andere prominente personen. De cybercrimineel maakt gebruik van de publiekelijk beschikbare informatie over deze personen om zo zijn phishing-e-mail op te stellen. In een "whaling"-e-mail kan bijvoorbeeld worden vermeld dat het bedrijf wordt geconfronteerd met een rechtszaak of dat de reputatie van het bedrijf wordt aangetast als gevolg van een recente publieke gebeurtenis of actie die door de leidinggevende is ondernomen. Voor echte voorbeelden van whaling, kun je terecht op dit blog 

Barrel phishing - een "onschuldige" e-mail sturen vóór de phishing-e-mail  

Bij deze tactiek, ook wel "double-barreling" genoemd, worden twee afzonderlijke e-mails gestuurd, waarvan de eerste het lokaas is en de tweede de e-mail met de kwaadaardige bijlage. De eerste e-mail kan van een collega lijken te komen met de tekst "Hoi, ben je op kantoor? Ik heb snel iets nodig". Het doel van deze onschuldige e-mail is om vertrouwen en geloofwaardigheid te wekken, waardoor je niet meer op je hoede bent. Dan komt de tweede e-mail, die klinkt als "Nogmaals hoi, zou je dit rapport zo snel mogelijk willen bekijken?". Deze e-mail bevat een kwaadaardige link die je naar een nepwebsite brengt. 

Pharming 

Pharming houdt in dat de cybercrimineel onbewust je websiteverzoek omleidt naar een website die op de echte lijkt, zoals de website van je bank. Op die manier kan de cybercrimineel zich meester maken van je inloggegevens en die gebruiken om toegang te krijgen tot je rekening. In tegenstelling tot phishing, waarbij de aanval via elektronische communicatie verloopt, vindt pharming rechtstreeks in de browser plaats. Hoe werkt dit? Eenvoudig gezegd manipuleert de cybercrimineel het domeinnaamsysteem (DNS), het systeem dat webbrowsers met websites verbindt. Daarom is deze vorm van aanval uiterst geraffineerd en moeilijk te herkennen. 

Quishing

Quishing is phishing via QR-codes. In plaats van links in e-mails gebruiken de criminelen QR-codes om gegevens en inloggegevens van hun slachtoffers te krijgen of om malware te installeren. 

De quishing-aanvallen zijn moeilijk te herkennen omdat alle QR-codes er hetzelfde uitzien totdat je er met je scanner overheen gaat, je kunt dus niet controleren of de link er phishy uitziet.

Hoe kun je phishing voorkomen? 

Dus hoe zorg je ervoor dat je niet ten onder gaat aan phishing? Twee specifieke maatregelen die je bedrijf kunnen beschermen tegen phishing-aanvallen zijn sandboxing en penetratietesten door middel van simulaties.  

De realiteit is echter dat mensen het doelwit zijn van phishing-pogingen, en daarom moeten mensen ook de primaire verdediging ertegen zijn! Om deze reden is het creëren van bewustwording rond phishing en het creëren van een goede beveiligingscultuur in je bedrijf het eerste wat moet gebeuren om phishing-aanvallen te voorkomen. 

How to prevent Phishing - Infographic

Sandboxen van binnenkomende e-mail 

"Sandboxen" is een proactieve verdedigingstechniek die je IT-afdeling kan toepassen. Hierbij wordt de veiligheid van niet vertrouwde e-mails, URL's of bijlagen gecontroleerd in een geïsoleerde testomgeving, voordat ze op je netwerk of mailserver terechtkomen. Deze techniek biedt een extra beschermende laag bovenop de gebruikelijke filters die binnenkomende e-mails scannen. 

Penetratietesten door middel van phishing-simulaties 

Penetratietesten, of pentesten, zijn een vorm van beveiligingstraining waarbij wordt getest in hoeverre je organisatie is voorbereid op phishing. Een manier om dit te doen is door middel van gesimuleerde phishing-aanvallen waarmee je medewerkers kunnen oefenen om nep-e-mails te herkennen. Afhankelijk van je doelstellingen kun je deze oefening zelf uitvoeren, of samenwerken met een externe trainingspartner (zoals wij). Op basis van de resultaten kun je zwakke plekken identificeren en strategieën bedenken om je medewerkers verder op te leiden.  

Bewustwording over phishing 

Als je de signalen van phishing leert herkennen, kun je jezelf en je bedrijf beter beschermen tegen aanvallen. Daarom is bewustwording op het gebied van phishing essentieel als het gaat om preventie. Een eenmalige spoedcursus is echter niet genoeg; aangezien phishing-aanvallen zich blijven ontwikkelen, is voortdurende training essentieel om een alert team te creëren. Door simulaties te combineren met voortdurende bewustwordingstraining geef je je team de mogelijkheid om een sterke eerste verdedigingslinie te worden. Bewustwordingstraining kan plaatsvinden via online e-learning, fysiek onderwijs, of een combinatie van beide. 

Zorg voor een goede beveiligingscultuur 

Last but not least: zorg voor een bedrijfscultuur die veilig gedrag stimuleert en mensen in staat stelt om dingen te melden als er een vals luchtje aan zit. Zorg er bijvoorbeeld voor dat je een proces hebt dat je kunt doorlopen in het geval van een cyberaanval en dat je team weet tot wie ze zich kunnen wenden. Het vaststellen van dit proces en het bepalen van rollen en verwachtingen is een van de vele voordelen van het houden van een phishing-simulatie.  

Moedig je team bovendien aan om altijd om hulp te vragen als ze ergens over twijfelen en om niet bang te zijn om fouten te maken. Op deze manier voelen teamleden dat ze altijd iets kunnen melden, zelfs als het kwaad al geschied is en er op een phishing-e-mail is geklikt. Het resultaat hiervan is dat er sneller passende acties kunnen worden ondernomen waardoor de schade aanzienlijk kan worden beperkt.  

Beloon ten slotte teamleden die phishing-e-mails melden, bijvoorbeeld door een "vangst van de dag" onder de aandacht te brengen. Om je team te helpen goede digitale gewoonten aan te leren en alert te zijn, kun je ook onze gratis posters over internetveiligheid downloaden en op kantoor ophangen! 

Tot slot

In dit blog hebben we besproken wat phishing is en waarom het een van de grootste veiligheidsrisico's is waarmee bedrijven tegenwoordig te maken hebben. We hebben geleerd dat phishing in alle vormen en maten voorkomt en dat iedereen binnen een organisatie het doelwit van een phishing-aanval kan zijn. Daarom is het creëren van bewustwording rond phishing door middel van een online veiligheidstraining nog nooit zo belangrijk geweest. Door de menselijke laag te wapenen, verklein je immers de kans dat je bedrijf ten prooi valt aan een phisher!