Wat is phishing?
Phishing is een vorm van cybercriminaliteit waarbij criminelen proberen gevoelige informatie van je te verkrijgen via e-mail met frauduleuze links die je aansporen om een formulier in te vullen met je persoonlijk identificeerbare informatie. Ze kunnen vervolgens deze informatie gebruiken om je online inloggegevens voor sociale mediaprofielen, bankrekeningen en meer te bemachtigen.
Hoe werkt phishing?
Phishing kan via e-mails, telefoontjes of sms'jes plaatsvinden. De oplichters verzenden berichten die echt en dringend lijken, waarbij ze de persoon vragen actie te ondernemen. Bijvoorbeeld, een e-mail kan lijken alsof het van een betrouwbare bank komt, die de persoon vertelt zijn accountgegevens bij te werken om problemen te voorkomen. Omdat het bericht urgent en echt lijkt, kunnen mensen gevoelige informatie zoals wachtwoorden en creditcardnummers delen, die de oplichters vervolgens kunnen misbruiken.
Door zich voor te doen als een legitiem bedrijf lokt de aanvaller slachtoffers naar een nagemaakte website, waar ze worden overgehaald om vertrouwelijke informatie in te voeren. Deze goed opgezette façade, samen met een gevoel van urgentie, stelt de phishing-zwendel in staat om met succes waardevolle persoonlijke gegevens te verzamelen, waardoor het nietsvermoedende slachtoffer kwetsbaar is voor identiteitsdiefstal en financieel verlies.
De afzender: Bij een phishingaanval imiteert (of "spooft") de afzender iemand die betrouwbaar lijkt voor de ontvanger. Afhankelijk van het type phishingaanval kan het een individu zijn, zoals een familielid van de ontvanger, de CEO van het bedrijf waar ze werken, of zelfs iemand beroemds die zogenaamd iets weggeeft. Vaak bootsen phishingberichten e-mails na van grote bedrijven zoals PayPal, Amazon of Microsoft, en banken of overheidsinstanties.
Het bericht: Onder het mom van iemand die vertrouwd lijkt, zal de aanvaller de ontvanger vragen om op een link te klikken, een bijlage te downloaden of geld te sturen. Wanneer het slachtoffer het bericht opent, treffen ze een angstaanjagende boodschap aan die bedoeld is om hun gezonde verstand te overstemmen door hen met angst te vullen. Het bericht kan eisen dat het slachtoffer naar een website gaat en onmiddellijk actie onderneemt om bepaalde gevolgen te voorkomen.
De bestemming: Als gebruikers het aas happen en op de link klikken, worden ze naar een imitatie van een legitieme website gestuurd. Hier worden ze gevraagd in te loggen met hun gebruikersnaam en wachtwoord. Als ze daar naïef genoeg in toegaan, gaan de inloggegevens naar de aanvaller, die deze gebruikt om identiteiten te stelen, bankrekeningen te plunderen en persoonlijke informatie op de zwarte markt te verkopen. De bestemmings-URL in de phishing e-mail lijkt vaak erg op de legitieme URL, wat het slachtoffer verder kan misleiden.
Hoe herken je phishing?
Phishing pogingen zijn frauduleuze activiteiten waarbij oplichters e-mail of sms-berichten gebruiken die gericht zijn op het misleiden van individuen om gevoelige informatie zoals wachtwoorden, bankrekeningnummers of burgerservicenummers vrij te geven. Phishing herkennen kan worden bereikt door alert te zijn op bepaalde rode vlaggen.
Typisch lijken phishingberichten afkomstig te zijn van betrouwbare bronnen zoals banken, creditcardbedrijven of bekende online platforms. Ze geven vaak een gevoel van urgentie, suggereren verdachte activiteiten of problemen met uw account en dringen er bij u op aan om snel te handelen.
Enkele veelvoorkomende indicatoren van phishing zijn onverwachte communicatie die vraagt om persoonlijke of financiële informatie, onbekende afzender e-mailadressen, algemene begroetingen, spel- en grammaticafouten en misleidende URL's. Door voorzichtig te zijn en verdachte communicatie rechtstreeks bij de betrokken instellingen te verifiëren voordat je reageert, kunnen individuen zich beter beschermen tegen phishingpogingen. Nu willen we dieper ingaan op de tekenen van phishing en u helpen ze te herkennen.
Tekenen van phishing
Het opsporen van phishingpogingen kan een uitdaging zijn, maar met enige waakzaamheid, basisrichtlijnen en een dosis gezond verstand kan u de risico's aanzienlijk verkleinen. Let op onregelmatigheden of eigenaardigheden in de e-mail. Gebruik de "geurtest" om te bepalen of er iets niet klopt met u. Vertrouw op uw instincten, maar blijf uit de buurt van angst, want phishing scams maken vaak gebruik van angst om het oordeel van uw te beïnvloeden.
Hier zijn nog meer tekenen van phishingpogingen:
Teken 1: De e-mail bevat een aanbod dat te mooi is om waar te zijn.
Het kan beweren dat je de hoofdprijs hebt gewonnen, een extravagant cadeau, of andere onwaarschijnlijke beloningen.
Teken 2: De afzender is herkenbaar, maar niet iemand met wie u normaal gesproken contact heeft.
Zelfs als je de naam van de afzender herkent, wees voorzichtig als het niet iemand is met wie je regelmatig communiceert, vooral als de inhoud van de e-mail niets te maken heeft met je gebruikelijke taken. Wees ook op je hoede als je op c.c. staat met onbekende personen of collega's uit niet-gerelateerde afdelingen.
Teken 3: De boodschap boezemt angst in.
Wees voorzichtig als de e-mail geladen of alarmerende taal gebruikt om een gevoel van urgentie op te wekken, waarbij u wordt aangespoord om te klikken en "onmiddellijk te handelen" om te voorkomen dat de account wordt beëindigd. Onthoud dat legitieme organisaties niet om persoonlijke informatie vragen via e-mail.
Teken 4: Het bericht bevat onverwachte of vreemde bijlagen.
Deze bijlagen kunnen malware, ransomware of andere online dreigingen bevatten.
Teken 5: Het bericht bevat links die twijfelachtig lijken.
Zelfs als de bovenstaande indicatoren geen argwaan wekken, vertrouw ingebedde hyperlinks nooit blindelings. Beweeg je cursor over de link om de werkelijke URL te onthullen. Let vooral op subtiele spelfouten in een ogenschijnlijk bekende URL van een website, want dat is een waarschuwingssignaal voor bedrog. Het is altijd veiliger om de URL handmatig in je browser in te voeren in plaats van op de ingesloten link te klikken.
Wie is het doelwit van phishing?
Phishing is een bedreiging voor iedereen, gericht op diverse individuen en sectoren, van bedrijfsleiders tot gewone gebruikers van sociale media en klanten van online bankieren. De brede scope van phishing maakt het cruciaal om online voorzichtig te zijn en preventieve maatregelen te treffen. Waakzaam en proactief zijn kan het risico aanzienlijk verminderen om slachtoffer te worden van phishingfraudes, wat zorgt voor een veilige online ervaring voor iedereen.
Hoe bescherm je jezelf tegen phishing-aanvallen
Zoals eerder gezegd, is phishing een bedreiging van gelijke kansen, die kan verschijnen op desktops, laptops, tablets en smartphones. De meeste internetbrowsers hebben manieren om te controleren of een link veilig is, maar de eerste verdedigingslinie tegen phishing is uw beoordelingsvermogen. Train jezelf om de tekenen van phishing te herkennen en probeer veilig te computeren wanneer u e-mail controleert uw , Facebook berichten leest of uw favoriete online game speelt.
Malwarebytes Labs deelde enkele van de belangrijkste praktijken om jezelf tegen phishing-aanvallen te beschermen:
- Open geen e-mails van afzenders die u niet kent.
- Klik nooit op een link in een e-mail tenzij u precies weet waar de link naartoe gaat.
- Als u wordt gevraagd om gevoelige informatie te verstrekken, controleer dan of de URL van de pagina begint met "HTTPS" in plaats van alleen "HTTP". De "S" staat voor "secure". Het is geen garantie dat een site legitiem is, maar de meeste legitieme sites gebruiken HTTPS omdat het veiliger is. HTTP-sites, zelfs legitieme, zijn kwetsbaar voor hackers.
- Schakel Multi-Factor Authenticatie (MFA) in: Gebruik waar mogelijk MFA om een extra beveiligingslaag toe te voegen. Zelfs als phishers uw wachtwoord bemachtigen, moeten ze extra verificatiestappen omzeilen om toegang te krijgen tot uw account.
- Kijk uit naar het digitale certificaat van een website.
- Om die bescherming te versterken, als u een e-mail krijgt van een bron waar u niet zeker van is, navigeer dan handmatig naar de gegeven link door het legitieme websiteadres in te voeren in uw browser.
- Beweeg de muis over de link om te zien of het een legitieme link is.
- Als u vermoedt dat een e-mail niet legitiem is, neem dan een naam of een tekst uit het bericht en voer die in een zoekmachine in om te zien of er bekende phishing-aanvallen bestaan waarbij dezelfde methoden worden gebruikt.
We raden sterk aan betrouwbare antivirus/anti-malware oplossingen te gebruiken, zoals Malwarebytes Premium, om je digitale veiligheid te verbeteren. De meeste moderne cybersecurity tools, uitgerust met slimme algoritmen, kunnen schadelijke links of bijlagen identificeren, en bieden een waakzaam schild zelfs tegen slimme phishing pogingen.
Als een phishing tactiek aan je aandacht ontsnapt, houdt onze robuuste beveiligingssoftware je informatie veilig in je controle. We bieden een gratis proefversie van Malwarebytes aan, zodat je de superieure bescherming kunt ervaren voordat je tot aankoop overgaat.
Verschillende soorten phishing-aanvallen
Phishingaanvallen gebruiken bedrieglijke methoden om illegaal gevoelige informatie te vergaren, en ze komen in verschillende vormen, elk met zijn eigen unieke kenmerken. Dit zijn specifieke manieren waarop phishing-aanvallers proberen hun doelwitten te misleiden:
Spear Phishing
Spear phishing is een gerichte vorm van phishing waarbij aanvallers berichten op maat maken voor specifieke personen of organisaties, met behulp van verzamelde gegevens om het bedrog overtuigender te maken. Dit vereist verkenning voorafgaand aan de aanval om namen, functietitels, e-mailadressen en dergelijke te achterhalen.
De hackers struinen het internet af om deze informatie te matchen met andere onderzochte kennis over de collega's van het doelwit, samen met de namen en professionele relaties van belangrijke werknemers in hun organisaties. Op basis hiervan maakt de phisher een geloofwaardige e-mail.
Voorbeeld: Fraudeurs kunnen zich voordoen als leidinggevenden om werknemers te verleiden tot het autoriseren van frauduleuze betalingen.
Walvis phishing
Whale phishing richt zich op prominente personen, zoals leidinggevenden, beroemdheden of C-level zakenmensen. Het probeert hen te misleiden om persoonlijke informatie of professionele details prijs te geven.
Het begrijpen en identificeren van de verschillende vormen van phishingaanvallen is cruciaal om effectieve beschermingsmaatregelen te implementeren, zodat de beveiliging en integriteit van persoonlijke en organisatorische bezittingen gewaarborgd blijven.
E-mailphishing
Phishing-e-mails, die sinds de introductie van e-mail vaak worden gezien, zijn misleidende e-mails die van gerenommeerde bronnen (zoals banken of online retailers) lijken te komen en ontvangers aansporen op links te klikken of bijlagen te downloaden.
Voorbeelden:
- Business email compromise (BEC): Een business email compromise (BEC) aanval richt zich op iemand in de financiële afdeling van een organisatie, vaak de CFO, met de bedoeling hen te misleiden grote geldbedragen over te maken. Aanvallers gebruiken vaak social engineering technieken om de ontvanger ervan te overtuigen dat het sturen van het geld urgent en noodzakelijk is.
- Clone phishing: Bij deze aanval maken criminelen een kopie—of clone—van eerder ontvangen, legitieme e-mails die een link of een bijlage bevatten. De phisher vervangt vervolgens de links of bijgevoegde bestanden door schadelijke vervangingen, vermomd als het echte werk. Nietsvermoedende gebruikers klikken op de link of openen de bijlage, wat vaak toestaat dat hun systemen worden overgenomen. Vervolgens kan de phisher de identiteit van het slachtoffer vervalsen om zich voor te doen als een vertrouwde afzender voor andere slachtoffers binnen dezelfde organisatie.
- 419/Nigeriaanse oplichting: Een uitgebreide phishing e-mail van iemand die beweert een Nigeriaanse prins te zijn, is een van de oudste en langstlopende oplichtingen op internet. Deze "prins" biedt je ofwel geld aan, maar zegt dat je eerst een klein bedrag moet sturen om het te claimen, of hij zegt in de problemen te zitten en geld nodig te hebben om het op te lossen. Het nummer "419" wordt geassocieerd met deze scam. Het verwijst naar het artikel van het Nigeriaanse Wetboek van Strafrecht dat handelt over fraude, de aanklachten en straffen voor overtreders.
Vishing (Voice Phishing)
Aanvallers doen zich voor als gezaghebbende figuren (bijvoorbeeld bankfunctionarissen, wetshandhavers) aan de telefoon om individuen bang te maken zodat ze gevoelige informatie delen of geld overmaken.
Smishing (SMS Phishing)
Vergelijkbaar met vishing, maar uitgevoerd via SMS, stuurt smishing frauduleuze berichten die ontvangers aansporen om op schadelijke links te klikken of persoonlijke gegevens te delen.
Catphishing
Een misleidende tactiek waarbij aanvallers nep online persona's creëren om individuen te lokken in romantische relaties voor financiële uitbuiting of toegang tot persoonlijke informatie.
Voorbeelden van phishing-aanvallen
Hier is een voorbeeld van een phishing poging die een bericht van PayPal nabootst, met het verzoek aan de ontvanger om op de "Nu bevestigen"-knop te klikken. Bij het over de knop bewegen met de muis wordt de werkelijke URL-bestemming zichtbaar in de rode rechthoek.
Hier is nog een afbeelding van een phishing-aanval, deze keer zogenaamd van Amazon. Let op de dreiging om het account te sluiten als er binnen 48 uur geen reactie is.
Als je op de link klikt, kom je bij dit formulier, waarin je wordt uitgenodigd om precies datgene weg te geven wat de phisher nodig heeft om je waardevolle zaken te plunderen:
Waarom is phishing effectief?
Phishing is bijzonder effectief omdat het misbruik maakt van de menselijke psychologie in plaats van geavanceerde technische tactieken te gebruiken. Vaak vermomd als dringende mededelingen van gezaghebbende figuren, maken phishing-oplichtingen gebruik van het vertrouwen en de angst van mensen.
Adam Kujawa, voorheen van Malwarebytes Labs, vat het samen: "Phishing valt op als de eenvoudigste maar tegelijk ook meest krachtige cyberaanval, voornamelijk gericht op het meest kwetsbare maar ook krachtigste element: het menselijke brein." Het gebrek aan technische verfijning en de mogelijkheid om directe reacties uit te lokken, benadrukt waarom phishing nog steeds een wijdverbreide en ernstige online bedreiging is.
"Phishing is de eenvoudigste vorm van cyberaanval en tegelijkertijd de gevaarlijkste en meest effectieve."
Phishers proberen geen technische kwetsbaarheid in het besturingssysteem van je apparaat uit te buiten – ze gebruiken social engineering. Van Windows en iPhones tot Macs en Androids, geen enkel besturingssysteem is volledig veilig voor phishing, hoe sterk de beveiliging ook is. In feite wenden aanvallers zich vaak tot phishing omdat ze geen technische kwetsbaarheden kunnen vinden.
Waarom tijd verspillen met het kraken van beveiligingslagen als je iemand kunt misleiden om je de sleutel over te dragen? Vaak is de zwakste schakel in een beveiligingssysteem niet een fout diep in computercode, maar een mens die niet dubbelcheckt waar een e-mail vandaan komt.
Nu we hebben uitgelegd wat phishing is en hoe het werkt, laten we eens kijken waar het allemaal begon, teruggaand naar de jaren '70 met het hacken van telefoonsystemen, ook bekend als 'phreaking'.
De geschiedenis van phishing
De term "phishing" vergelijkt scam pogingen met vissen, waarbij aas wordt gebruikt om slachtoffers te lokken. Het wordt verondersteld te zijn ontstaan uit de '70s "phreaking" cultuur, die telefoonsystemen hackte. Voordat de term "phishing"
ng” werd bedacht, werd een vergelijkbare techniek gepresenteerd op een technisch congres in 1987. Het eerste bekende gebruik van de term dateert uit 1996, geassocieerd met hacker Khan C Smith, tijdens een oplichting gericht op America Online (AOL) gebruikers, waarbij gebruik werd gemaakt van de populariteit van AOL door zich voor te doen als AOL-medewerkers om gebruikersinformatie te verzamelen.
Vanaf de jaren 2000 richtten phishers zich op online betalingssystemen, banken en sociale mediaplatforms. Ze creëerden overtuigende nepdomeinen, met name spoofen van eBay en PayPal, om gebruikers te misleiden gevoelige informatie te delen. De eerste bankgerichte phishing-aanval werd gerapporteerd in 2003. Halverwege de jaren 2000 was phishing uitgegroeid tot een grote cyberdreiging met geavanceerde, georganiseerde campagnes, die aanzienlijke financiële verliezen veroorzaakten.
De schade nam in de loop der jaren toe, met opmerkelijke incidenten zoals een door de staat gesponsorde campagne in 2011, de enorme gegevensinbreuk op Target in 2013 en prominente politieke phishingpogingen in 2016. De trend zette zich voort in 2017, toen een oplichting leidde tot meer dan 100 miljoen dollar die werden omgeleid van technologische giganten als Google en Facebook.