De moderne IT-professional wordt overspoeld door digitale communicatie. E-mails, appjes, sms’jes en berichten op sociale media wisselen elkaar voortdurend af. In die enorme bulk aan communicatie kom je ook regelmatig rotte appels tegen. Die nemen vaak de vorm aan van frauduleuze phishingmails: berichten die je in de verleiding brengen om op een gevaarlijke link te klikken en zo je persoons- en/of inloggegevens prijs te geven.
Waar phishingmails vroeger makkelijk te herkennen waren (veel spelfouten, onnatuurlijk taalgebruik, een weinig plausibele inhoud), zien ze er tegenwoordig echter en professioneler uit. Sommige nepberichten zijn zelfs voor doorgewinterde IT-professionals lastig te herkennen als phishing. Het is belangrijk dat je als IT-professional en organisatie serieus aandacht besteedt aan het herkennen, voorkomen en bestrijden van phishing.
Een geslaagde phishingaanval heeft vaak vervelende gevolgen. Privacygevoelige informatie kan in verkeerde handen vallen of komt op straat te liggen en de performance van je IT-middelen kan aangetast worden. In het slechtste geval leidt een phishingaanval zelfs tot een ransomware-aanval die bestanden versleutelt waardoor systemen niet meer gebruikt kunnen worden en bedrijfsprocessen stil komen te liggen.
Het goede nieuws is dat IT-professionals zich met een combinatie van kennis en gezond verstand prima kunnen wapenen tegen phishing, zeker omdat het geen vorm van cybercriminaliteit is die gebruikmaakt van hele geavanceerde, ondoorgrondelijke technologie. Het aloude adagium ‘kennis is macht’ gaat ook op voor de strijd tegen phishing. In dit artikel nemen we je mee in de wereld van phishing en lees je alles wat je moet weten over dit actuele en belangrijke onderwerp.
Waarom jezelf beschermen tegen phishing belangrijker is geworden
Er zijn verschillende reden waarom de noodzaak groter is geworden om te strijden tegen phishing. Allereerst groeit het leger cybercriminelen snel. De reden: het wordt voor kwaadwillenden steeds makkelijker om cybercrimineel te worden. Waar je vroeger een echte whizzkid moest zijn om je te ontwikkelen tot een goede hacker of serieuze cybercrimineel, ligt de drempel tegenwoordig een stukje lager. Met wat basale kennis van hacktechnieken, gratis opensourcetools en malware-as-a-service is het niet moeilijk om een overtuigende phishingaanval te arrangeren. De ‘democratisering’ van techniek speelt dus ook hackers en cybercriminelen in de kaart.
Daarnaast verandert de manier waarop we ons werk organiseren. De vaste werkplek op kantoor maakt steeds meer plaats voor hybride werkvormen waarbij mensen grotendeels locatieonafhankelijk werken. Dit betekent dat directies, managers en collega’s ook minder zicht hebben op het klikgedrag van medewerkers, en mogelijk pas in een laat stadium ontdekken dat iemand in een phishingval is getrapt.
Tot slot is IT tegenwoordig het kloppende hart van elke organisatie, ook als je geen techbedrijf bent. Veel downtime en een beperkte beschikbaarheid van belangrijke applicaties verstoren essentiële bedrijfsprocessen en hebben een nadelige invloed op klantervaringen. Waar IT voor de meeste bedrijven vroeger vooral een ondersteunende dienst was, is het tegenwoordig een nutsvoorziening die essentiële waarde toevoegt aan de diensten van een organisatie. Des te meer reden dus om extra alert te zijn op phishing.
De verschillende soorten phishingaanvallen
Phishingaanvallen zijn er in diverse soorten en gedaanten. Om phishing adequaat tegen te gaan, is het belangrijk dat IT-professionals de verschillende soorten phishingaanvallen herkennen.
Bulk phishing
Bulk phishing is de gangbaarste en meest wijdverspreide vorm van phishing. Aanvallers sturen grote hoeveelheden e-mails naar zoveel mogelijk adressen, in de hoop dat iemand toehapt. De berichten zijn meestal lokkertjes of waarschuwingen. Ze vertellen bijvoorbeeld dat je een groot geldbedrag hebt gewonnen, in aanmerking komt voor een spectaculaire korting of snel actie moet ondernemen om te voorkomen dat je account wordt stopgezet of je bankpas wordt ingetrokken.
Bulk phishing is niet gericht op specifieke personen of organisaties. De aanvallers schieten met digitale hagel en verwachten zo dat ze altijd wel wat raken. Zelfs als slechts 1 op de 100.000 mensen op een link klikt en persoonlijke informatie of inloggegevens prijsgeeft, boeken de cybercriminelen succes.
Spear fishing
Spear phishing werkt net een beetje anders dan bulk phishing. In het geval van spear phishing heeft de cybercrimineel namelijk wat meer huiswerk gedaan en richt hij zich op een specifiek doelwit. Voordat hij een phishingmail stuurt, speurt hij actief het internet af naar interessante doelwitten. Hij zoekt naar namen, functies, contactgegevens en profielen op sociale media van personen binnen specifieke organisaties. Het doel: de phishingmail persoonlijker en authentieker maken, zodat de ontvanger denkt dat hij met een legitieme afzender te maken heeft. Als een ‘spear phisher’ eenmaal beet heeft en medewerkers zijn berichten verder verspreiden, infiltreert hij steeds dieper in de digitale infrastructuur van een organisatie.
Whale phishing/whaling attack
Whale phishing (ook vaak whaling attack genoemd) is feitelijk een variant op spear phishing en richt zich op hooggeplaatste personen binnen een organisatie. Denk bijvoorbeeld aan CEO’s, CFO’s, topmanagers of grootaandeelhouders. In het geval van een whaling attack is de phishingmail afkomstig van een mailadres dat bekend is bij de ontvanger. Het bericht is bovendien volledig gepersonaliseerd, vaak op basis van informatie die de cybercrimineel op sociale media heeft gevonden en verzameld. Vaak bevat de mail ook nog officiële bedrijfslogo’s of website-info die het bericht nog geloofwaardiger maken.
Treft de digitale harpoen van de whaler doel? Dan kan hij met de inloggegevens van het bedrijfskopstuk identiteitsfraude plegen, andere medewerkers geld afhandig maken of kritische bedrijfsinformatie en privacygevoelige informatie stelen.
Clone phishing
Clone phishing is een bijzonder gemene, vaak lastig te spotten phishingvariant. Cybercriminelen maken namelijk een kopie van eerder bezorgde en legitieme berichten. Een mail waarin wordt aangegeven dat je “een update stuurt op deze email van vorige week omdat je nog even wat hebt aangepast”. De legitieme koppelingen vervangen ze door schadelijke software, waarmee de boeven systemen van gebruikers kunnen overnemen zodra het slachtoffer op de link of het attachement klikt. Om zo’n aanval te kunnen uitvoeren, moet de cybercrimineel overigens wel in het bezit zijn van de inloggegevens van het doelwit. Het risico op deze vorm van phishing verhoogd is als een organisatie slachtoffer is geworden van een BEC (Business Email Compromise).
Smishing
E-mail is al lang niet meer het enige zakelijk gebruikte digitale communicatiemiddel. Het is dan ook niet verrassend dat cybercriminelen inmiddels ook de potentie van sms en WhatsApp hebben ontdekt. Volgens de Fraudehelpdesk komt phishing via WhatsApp steeds vaker voor. Bij de meeste gevallen van WhatsApp-fraude doet de oplichter zich voor als een bekende van het slachtoffer. De crimineel speelt dan vaak in op de goedheid van het slachtoffer, die bereid is veel te doen voor een kennis of collega in nood. Maar ook crises zoals de coronapandemie (bijvoorbeeld door je als cybercrimineel voor te doen als medewerker van een noodsteunorganisatie) zijn welkome inspiratiebronnen voor phishingberichten per app of sms.
Phone phishing
Bij phone phishing belt de cybercrimineel het slachtoffer en doet hij zich bijvoorbeeld voor als iemand van de Belastingdienst, politie of Microsoft. De bedrieger probeert meestal op een opdringerige manier duidelijk te maken dat de gebelde een probleem heeft en echt zijn rekening- of inloggegevens moet delen, zodat de zogenaamde barmhartige beller het probleem kan verhelpen. Hij laat je allerlei handelingen uitvoeren achter de computer of in je bank-app om gevoelige informatie (wachtwoorden, rekeningnummers) te bemachtigen.
Phishing via sociale media
Ook via sociale media worden phishingaanvallen ingezet. Oplichters doen zich bijvoorbeeld via het account van een vriend of collega als die persoon voor, en proberen zo om persoonlijke informatie of geld af te troggelen. Doordat ze vaak toegang hebben tot de historie van alle gesprekken, kunnen ze een berg aan informatie verzamelen om de communicatie een oprecht en authentiek karakter te geven.
Zo ga je phishing als IT-professional proactief tegen
Voorkomen is beter dan genezen, zeker in het geval van phishing. Investeren in veiligheid, zoals software die malware opspoort en doorlopende netwerkmonitoring, is een goed begin. Maar het is ook belangrijk om de techniek aan een stukje gezond verstand te koppelen. Officiële instanties vragen je bijvoorbeeld nooit om betalingen te doen of wachtwoorden en gebruikersnamen te delen via een link in een mail, sms of appbericht.
Twijfel je aan de echtheid van een bepaald bericht of een telefoonoproep? Kijk dan goed naar de URL en speur het internet af naar meer info op basis van de inhoud en/of verstrekte namen in het bericht. Er zijn verschillende sites te vinden die actuele lijsten met bekende en minder bekende scams en phishingmails publiceren. Denk bijvoorbeeld aan Fraudehelpdesk.nl. Het helpt ook om collega’s binnen je organisatie te benaderen als je denkt dat er een luchtje zit aan een bepaald bericht. Zorg ook voor een duidelijk vastgelegde procesgang bij het scannen van phishingmails en oplossen (wachtwoorden veranderen, aangifte doen) van phishingaanvallen.
Omdat phishingaanvallen zich voortdurend ontwikkelen, is het belangrijk dat je medewerkers blijft trainen in het herkennen ervan. Met phishingsimulaties (een gespecialiseerd bedrijf stelt phishingmails op en stuurt die rond binnen de organisatie om te zien hoe mensen hiermee omgaan) kun je periodiek het veiligheidsbewustzijn van medewerkers en afdelingen meten. Zorg ervoor dat dit bewustzijn zich niet beperkt tot de IT-afdeling, maar ook aanwezig is bij de directie, hogere managementlagen en andere mensen op de werkvloer.
Een gespecialiseerde externe partij kan een helpende hand bieden in de strijd tegen phishing. Zo’n partner beschikt over de bagage om je organisatie minder kwetsbaar te maken voor phishingaanvallen. Denk aan specialistische kennis (databases van phishingwebsites, het herkennen van phishingsoftware), tools voor het monitoren van netwerken en software tegen malware.
Meer weten?
Phishing is een verraderlijke en veelvoorkomende vorm van cybercriminaliteit die menig bedrijf veel geld kost. Wil jij ook serieus werk maken van de strijd tegen phishing? En kun je daar wel wat hulp bij gebruiken? Dan staat Tesorion je graag bij. Wij hebben veel specialistische expertise en een uitstekend trackrecord op het gebied van cybersecurity. Neem gerust contact met ons op voor meer informatie over onze diensten of een deskundig advies.