Wat is phishing?
Phishing is een vorm van cybercriminaliteit waarbij criminelen gevoelige informatie proberen te verkrijgen van u via e-mail met frauduleuze koppelingen, waarbij u wordt gevraagd een formulier in te vullen met uw persoonlijk identificeerbare informatie. Ze kunnen deze informatie vervolgens gebruiken om uw onlinegegevens te verkrijgen voor sociale mediaprofielen, bankrekeningen en meer.
Hoe werkt phishing?
Phishing kan gebeuren via e-mails, telefoontjes of sms-berichten. De bedriegers sturen berichten die er echt en dringend uitzien en vragen de persoon om actie te ondernemen. Een e-mail kan bijvoorbeeld lijken te komen van een betrouwbare bank en de persoon vertellen dat hij zijn rekeninggegevens moet bijwerken om problemen te voorkomen. Omdat het bericht dringend en echt lijkt, kunnen mensen gevoelige informatie zoals wachtwoorden en creditcardnummers delen, die de bedriegers vervolgens kunnen misbruiken.
De aanvaller doet zich voor als een legitieme entiteit en lokt slachtoffers naar een vervalste website waar ze worden overgehaald vertrouwelijke informatie in te voeren. Deze goed opgezette façade, gekoppeld aan een gevoel van urgentie, stelt de phishing-zwendel in staat om met succes waardevolle persoonlijke gegevens te verzamelen, waardoor het nietsvermoedende slachtoffer kwetsbaar wordt voor identiteitsdiefstal en financieel verlies.
De afzender: Bij een phishingaanval imiteert (of "spooft") de afzender een betrouwbaar persoon die de ontvanger waarschijnlijk zou kennen. Afhankelijk van het type phishingaanval kan dit een individu zijn, zoals een familielid van de ontvanger, de CEO van het bedrijf waar hij/zij werkt of zelfs een beroemd iemand die zogenaamd iets weggeeft. Vaak bootsen phishingberichten e-mails na van grote bedrijven zoals PayPal, Amazon of Microsoft, en van banken of overheidskantoren.
De boodschap: Onder het mom van een vertrouwd persoon vraagt de aanvaller de ontvanger op een link te klikken, een bijlage te downloaden of geld te sturen. Als het slachtoffer het bericht opent, ziet hij een eng bericht dat bedoeld is om hem te overmeesteren door hem angst aan te jagen. Het bericht kan eisen dat het slachtoffer naar een website gaat en onmiddellijk actie onderneemt of een of andere consequentie riskeert.
De bestemming: Als gebruikers toehappen en op de link klikken, worden ze naar een imitatie van een legitieme website gestuurd. Hier worden ze gevraagd om in te loggen met hun gebruikersnaam en wachtwoord. Als ze zo goedgelovig zijn om in te loggen, gaan de inloggegevens naar de aanvaller die ze gebruikt om identiteiten te stelen, bankrekeningen te plunderen en persoonlijke informatie op de zwarte markt te verkopen. De bestemmings-URL in de phishing-e-mail lijkt vaak erg op de legitieme URL, wat het slachtoffer nog meer kan misleiden.
Hoe herken je phishing?
Phishing-pogingen zijn frauduleuze activiteiten waarbij oplichters e-mails of sms-berichten gebruiken om mensen te verleiden tot het vrijgeven van gevoelige informatie zoals wachtwoorden, bankrekeningnummers of sociale Security nummers. U kunt phishing herkennen door alert te zijn op bepaalde rode vlaggen.
Typisch lijken phishingberichten afkomstig te zijn van betrouwbare bronnen zoals banken, creditcardbedrijven of bekende online platforms. Ze geven vaak een gevoel van urgentie, suggereren verdachte activiteiten of problemen met uw account en dringen er bij u op aan om snel te handelen.
Enkele veelvoorkomende indicatoren van phishing zijn onverwachte berichten waarin om persoonlijke of financiële informatie wordt gevraagd, onbekende e-mailadressen van afzenders, algemene begroetingen, spel- en grammaticafouten en misleidende URL's. Door voorzichtig te zijn en verdachte communicatie direct te verifiëren bij de betrokken instellingen voordat er wordt gereageerd, kunnen mensen zichzelf beter beschermen tegen pogingen tot phishing. Nu willen we dieper ingaan op de tekenen van phishing en u helpen ze te herkennen.
Tekenen van phishing
Het opsporen van phishingpogingen kan een uitdaging zijn, maar met enige waakzaamheid, basisrichtlijnen en een dosis gezond verstand kan u de risico's aanzienlijk verkleinen. Let op onregelmatigheden of eigenaardigheden in de e-mail. Gebruik de "geurtest" om te bepalen of er iets niet klopt met u. Vertrouw op uw instincten, maar blijf uit de buurt van angst, want phishing scams maken vaak gebruik van angst om het oordeel van uw te beïnvloeden.
Hier zijn nog meer tekenen van phishingpogingen:
Teken 1: De e-mail bevat een aanbieding die te mooi lijkt om waar te zijn.
Het kan beweren dat u'de jackpot heeft gewonnen, een extravagante prijs heeft gewonnen, of andere onwaarschijnlijke beloningen.
Teken 2: De afzender is herkenbaar, maar niet iemand met wie u normaal gesproken contact heeft.
Zelfs als u de naam van de afzender herkent, wees dan voorzichtig als het niet iemand is met wie u regelmatig communiceert, vooral als de inhoud van de e-mail geen verband houdt met uw gebruikelijke taken. Wees ook op uw hoede als u'cc'd staat op een e-mail met onbekende personen of collega's van niet-gerelateerde afdelingen.
Teken 3: De boodschap boezemt angst in.
Wees voorzichtig als de e-mail geladen of alarmerende taal gebruikt om een gevoel van urgentie op te wekken, waarbij u wordt aangespoord om te klikken en "onmiddellijk te handelen" om te voorkomen dat de account wordt beëindigd. Onthoud dat legitieme organisaties niet om persoonlijke informatie vragen via e-mail.
Teken 4: Het bericht bevat onverwachte of vreemde bijlagen.
Deze bijlagen kunnen malware, ransomware of andere online bedreigingen bevatten.
Teken 5: Het bericht bevat links die dubieus lijken.
Zelfs als de bovenstaande indicatoren geen argwaan wekken, vertrouw dan nooit blindelings op ingesloten hyperlinks. Beweeg de cursor uw over de link om de echte URL te zien. Let vooral op subtiele spelfouten in een ogenschijnlijk bekende website-URL, want dit is een rode vlag voor bedrog. Het is altijd veiliger om de URL handmatig in te voeren in de browser uw in plaats van op de ingesloten link te klikken.
Wie is het doelwit van phishing?
Phishing is een bedreiging voor iedereen en richt zich op verschillende individuen en sectoren, van bedrijfsleiders tot alledaagse gebruikers van sociale media en klanten van online bankieren. Het brede bereik van phishing maakt het cruciaal om voorzichtig te zijn online en preventieve maatregelen te nemen. Waakzaam en proactief zijn kan het risico om slachtoffer te worden van phishing-zwendel aanzienlijk verkleinen en zo zorgen voor een veiligere online ervaring voor iedereen.
Hoe bescherm je jezelf tegen phishing-aanvallen
Zoals eerder gezegd, is phishing een bedreiging van gelijke kansen, die kan verschijnen op desktops, laptops, tablets en smartphones. De meeste internetbrowsers hebben manieren om te controleren of een link veilig is, maar de eerste verdedigingslinie tegen phishing is uw beoordelingsvermogen. Train jezelf om de tekenen van phishing te herkennen en probeer veilig te computeren wanneer u e-mail controleert uw , Facebook berichten leest of uw favoriete online game speelt.
Malwarebytes Labs deelde een aantal van de belangrijkste manieren om jezelf te beschermen tegen phishing-aanvallen:
- Open geen e-mails van afzenders die u niet kent.
- Klik nooit op een link in een e-mail tenzij u precies weet waar de link naartoe gaat.
- Als u wordt gevraagd om gevoelige informatie te verstrekken, controleer dan of de URL van de pagina begint met "HTTPS" in plaats van alleen "HTTP". De "S" staat voor "secure". Het is geen garantie dat een site legitiem is, maar de meeste legitieme sites gebruiken HTTPS omdat het veiliger is. HTTP-sites, zelfs legitieme, zijn kwetsbaar voor hackers.
- Schakel Multi-Factor Authenticatie (MFA) in: Gebruik waar mogelijk MFA om een extra beveiligingslaag toe te voegen. Zelfs als phishers uw wachtwoord bemachtigen, moeten ze extra verificatiestappen omzeilen om toegang te krijgen tot uw account.
- Kijk uit naar het digitale certificaat van een website.
- Om die bescherming te versterken, als u een e-mail krijgt van een bron waar u niet zeker van is, navigeer dan handmatig naar de gegeven link door het legitieme websiteadres in te voeren in uw browser.
- Beweeg de muis over de link om te zien of het een legitieme link is.
- Als u vermoedt dat een e-mail niet legitiem is, neem dan een naam of een tekst uit het bericht en voer die in een zoekmachine in om te zien of er bekende phishing-aanvallen bestaan waarbij dezelfde methoden worden gebruikt.
We raden het gebruik van betrouwbare antivirus/anti-malwareoplossingen zoals Malwarebytes Premium om uw digitale beveiliging te verbeteren. De meeste moderne cyberbeveiligingsprogramma's, uitgerust met slimme algoritmes, kunnen kwaadaardige koppelingen of bijlagen herkennen en zo een waakzaam schild vormen, zelfs tegen slimme phishingpogingen.
Als een phishingtactiek voorbij uw glipt, houdt onze robuuste beveiligingssoftware uw informatie veilig onder controle op uw . We bieden een gratis proefversie van Malwarebytes, zodat u de superieure bescherming kan ervaren voordat u overgaat tot aankoop.
Verschillende soorten phishing-aanvallen
Phishing-aanvallen gebruiken bedrieglijke methoden om op illegale wijze gevoelige informatie te verzamelen, en ze zijn er in verschillende vormen, elk met zijn eigen unieke kenmerken. Dit zijn specifieke manieren waarop phishing-aanvallers hun doelwitten willen misleiden:
Spear Phishing
Spear phishing is een gerichte vorm van phishing waarbij aanvallers berichten op maat maken voor specifieke personen of organisaties, met behulp van verzamelde gegevens om het bedrog overtuigender te maken. Dit vereist verkenning voorafgaand aan de aanval om namen, functietitels, e-mailadressen en dergelijke te achterhalen.
De hackers struinen het internet af om deze informatie te matchen met andere onderzochte kennis over de collega's van het doelwit, samen met de namen en professionele relaties van belangrijke werknemers in hun organisaties. Op basis hiervan maakt de phisher een geloofwaardige e-mail.
Voorbeeld: Fraudeurs kunnen zich voordoen als leidinggevenden om werknemers te verleiden tot het autoriseren van frauduleuze betalingen.
Walvis phishing
Whale phishing is gericht op hooggeplaatste personen, zoals leidinggevenden, beroemdheden of zakenmensen op C-niveau. Er wordt geprobeerd hen persoonlijke informatie of professionele details te ontfutselen.
Het begrijpen en identificeren van de verschillende vormen van phishingaanvallen is cruciaal voor het implementeren van effectieve beschermingsmaatregelen, die de veiligheid en integriteit van persoonlijke en organisatorische bezittingen waarborgen.
E-mail phishing
Bij phishingmails, die al sinds het begin van e-mail voorkomen, gaat het om bedrieglijke e-mails die afkomstig lijken te zijn van gerenommeerde bronnen (zoals banken en online verkopers) en waarin ontvangers worden aangespoord om op koppelingen te klikken of bijlagen te downloaden.
Voorbeelden:
- Compromittering van zakelijke e-mail (BEC): Een BEC-aanval (Business Email Compromittering) richt zich op iemand op de financiële afdeling van een organisatie, vaak de CFO, en probeert deze persoon te misleiden tot het versturen van grote sommen geld. Aanvallers gebruiken vaak social engineering-tactieken om de ontvanger ervan te overtuigen dat het verzenden van het geld dringend en noodzakelijk is.
- Kloon phishing: Bij deze aanval maken criminelen een kopie of kloon van eerder afgeleverde maar legitieme e-mails die een link of bijlage bevatten. Vervolgens vervangt de phisher de links of bijgevoegde bestanden door kwaadaardige substituten die zijn vermomd als de echte. Nietsvermoedende gebruikers klikken op de link of openen de bijlage, waardoor hun systemen vaak worden overgenomen. Vervolgens kan de phisher de identiteit van het slachtoffer namaken om zich voor te doen als een vertrouwde afzender voor andere slachtoffers in dezelfde organisatie.
- 419/Nigeriaanse oplichting: Een overdreven phishing-e-mail van iemand die beweert een Nigeriaanse prins te zijn, is een van de vroegste en langstlopende oplichtingspraktijken op het internet. Deze "prins" biedt u geld aan, maar zegt dat u hem eerst een klein bedrag moet sturen om het op te eisen, of hij zegt dat hij in de problemen zit en geld nodig heeft om het op te lossen. Het nummer "419" wordt geassocieerd met deze zwendel. Het verwijst naar het deel van het Nigeriaanse wetboek van strafrecht dat gaat over fraude, de aanklachten en straffen voor overtreders.
Vishing (Voice Phishing)
Aanvallers doen zich via de telefoon voor als gezagsdragers (bijv. bankfunctionarissen, wetshandhavers) om mensen bang te maken zodat ze gevoelige informatie delen of geld overmaken.
Smishing (SMS Phishing)
Vergelijkbaar met vishing, maar dan via sms, smishing stuurt frauduleuze berichten waarin ontvangers worden aangespoord om op schadelijke koppelingen te klikken of persoonlijke gegevens te delen.
Catphishing
Een bedrieglijke tactiek waarbij aanvallers valse online personages creëren om personen te verleiden tot romantische relaties voor geldelijk misbruik of toegang tot persoonlijke informatie.
Voorbeelden van phishing-aanvallen
Hier is een voorbeeld van een phishing-poging waarbij een bericht van PayPal wordt nagebootst en de ontvanger wordt gevraagd op de knop "Nu bevestigen" te klikken. Als je met de muis over de knop beweegt, zie je de echte URL-bestemming in de rode rechthoek.
Hier is nog een afbeelding van een phishing-aanval, deze keer zogenaamd van Amazon. Let op het dreigement om de account te sluiten als er niet binnen 48 uur wordt gereageerd.
Klikken op de link leidt u naar dit formulier, waarin u wordt uitgenodigd om weg te geven wat de phisher nodig heeft om uw kostbaarheden te plunderen:
Waarom is phishing effectief?
Phishing is vooral effectief omdat het gebruik maakt van de menselijke psychologie in plaats van te vertrouwen op advanced technische tactieken. Phishing-zwendel, vaak vermomd als dringende berichten van gezaghebbende figuren, aast op het vertrouwen en de angst van mensen.
Adam Kujawa, voorheen van Malwarebytes Labs , vat het samen: "Phishing onderscheidt zich als de eenvoudigste maar krachtigste cyberaanval, vooral gericht op het meest vatbare maar krachtige element: de menselijke geest." Het gebrek aan technische verfijning en het potentieel om onmiddellijke reacties op te roepen, benadrukken waarom phishing een wijdverspreide en ernstige online bedreiging blijft.
"Phishing is de eenvoudigste vorm van cyberaanval en tegelijkertijd de gevaarlijkste en effectiefste."
Phishers proberen geen technische kwetsbaarheid in het besturingssysteem van uw apparaten uit te buiten, ze gebruiken social engineering. Van Windows en iPhones tot Macs en Androids, geen enkel besturingssysteem is volledig veilig voor phishing, hoe sterk de beveiliging ook is. Het is zelfs zo dat aanvallers vaak hun toevlucht nemen tot phishing omdat ze geen technische kwetsbaarheden kunnen vinden.
Waarom tijd verspillen aan het kraken van beveiligingslagen als u iemand kan verleiden om u de sleutel te geven? Vaak is de zwakste schakel in een beveiligingssysteem niet een fout in de computercode, maar een mens die niet dubbel controleert waar een e-mail vandaan komt.
Nu we hebben onderzocht wat phishing is en hoe het werkt, laten we eens kijken waar het allemaal begon, terug naar de jaren 1970 met het hacken van telefoonsystemen, ook bekend als 'phreaking'.
De geschiedenis van phishing
De term "phishing" vergelijkt pogingen tot oplichting met vissen, waarbij aas wordt gebruikt om slachtoffers te lokken. Men denkt dat de term afkomstig is uit de "phreaking"-cultuur in de jaren '70, waarbij telefoonsystemen werden gehackt. Voordat de term "phishi
ng" werd bedacht, werd een soortgelijke techniek gepresenteerd op een technische conferentie in 1987. De term werd voor het eerst gebruikt in 1996 en werd in verband gebracht met hacker Khan C Smith die America Online (AOL) oplichtte door misbruik te maken van de populariteit van AOL door zich voor te doen als AOL-medewerkers om informatie over gebruikers te verzamelen.
Aan het begin van de jaren 2000 verlegden phishers hun focus naar online betaalsystemen, bankieren en sociale mediaplatforms. Ze creëerden overtuigende nepdomeinen, vooral eBay en PayPal, om gebruikers gevoelige informatie te ontfutselen. De eerste bankgerichte phishingaanval werd gemeld in 2003. Tegen het midden van de jaren 2000 was phishing een grote cyberbedreiging geworden met geraffineerde, georganiseerde campagnes die aanzienlijke financiële verliezen veroorzaakten.
De schade escaleerde in de loop der jaren, met opvallende incidenten waaronder een door de staat gesponsorde campagne in 2011, het enorme datalek bij Target in 2013 en opvallende politieke phishingpogingen in 2016. De trend zette zich voort in 2017, met een zwendel waarbij meer dan 100 miljoen dollar van techgiganten als Google en Facebook verkeerd werd besteed.