Phishing is een methode waarmee cybercriminelen (gevoelige) informatie van u proberen te stelen. Dit gebeurt door u een frauduleus bericht te sturen, vaak in de vorm van een e-mail. Het kan ook dat aanvallers u kwaadaardige code of ransomware laten installeren. Phishing is de meest voorkomende cyberaanval.
‘86% van de bedrijven in 2020 werd aangevallen door een vorm van phishing.’
Mogelijk heeft u ook een phishing-aanval op uw persoonlijke account meegemaakt via e-mails, sms-berichten, op sociale media of andere platforms.
Het grootste persoonlijke risico van phishing is dat u belangrijke informatie aan criminelen kunt onthullen, zoals inloggegevens van uw online bankrekening. Voor bedrijven kan het verliezen van inloggegevens aan criminelen nog ernstiger zijn, omdat de veiligheid van het bedrijf in gevaar kan komen. Het is belangrijk om op de hoogte te zijn van veelvoorkomende phishing-tactieken en wat u kunt doen om uzelf hiertegen te beschermen.
Welke soorten phishing zijn er?
Bulkphishing
Dit is de klassieke methode van e-mailphishing, die de meeste mensen minstens één keer in hun leven hebben meegemaakt. U krijgt een e-mail waarin staat dat u een nieuwe iPhone heeft gewonnen en u hoeft alleen maar op de link te klikken en uw gegevens in te vullen om er een te krijgen.
Ook bekend zijn e-mails van ‘uw bank’, waarin u wordt gevraagd uw wachtwoord te wijzigen omdat er een frauduleuze activiteit op uw account is gevonden. Andere voorbeelden zijn e-mails van diensten die mensen vaak gebruiken, zoals Gmail, Microsoft, LinkedIn, PayPal of Dropbox. Dit zijn slechts enkele voorbeelden van de vele verschillende soorten bulkphishing. Wat deze e-mails allemaal gemeen hebben, is dat ze niet gepersonaliseerd zijn en naar veel mensen tegelijk worden gestuurd in de hoop u te misleiden.
Spear phishing
Spear phishing is het tegenovergestelde van bulk phishing, waarbij het niet gaat om veel generieke e-mails die worden verzonden, maar om één gerichte e-mail. Het doelwit is vaak een enkel persoon en er is onderzoek gedaan om de boodschap zo legitiem mogelijk te laten lijken door informatie op te nemen die alleen relevant zou zijn voor het doelwit. Spear phishing wordt vaak gebruikt tegen leidinggevenden binnen een bedrijf die toegang hebben tot gevoelige informatie en/of financiële diensten.
Smishing en vishing
Andere methoden van phishing zijn onder meer ‘smishing’ (phishing via sms) en ‘vishing’ (phishing via spraakberichten of oproepen).
Met ‘smishing’ kan het zijn dat u een sms ontvangt met een dringend bericht. De afzender van het bericht doet zich voor als uw bank, overheidsinstantie of andere instelling. Nadat u op de link in het bericht heeft geklikt, wordt u gevraagd uw inloggegevens op te geven. Het kan op een mobiel apparaat moeilijker zijn om te zien of een link betrouwbaar is of niet, waardoor het moeilijker is om te zien of het een legitieme link is.
‘Vishing’ is een phishing-methode waarbij vaak vooraf opgenomen spraakberichten worden gebruikt om u te laten denken dat u spreekt met iemand van een service die u gebruikt, zoals ‘Microsoft Windows’ of andere ‘ondersteuning’. Ze zullen u vaak doorverwijzen naar een vermeende medewerker die u zal helpen, maar die u vervolgens vraagt om uw referenties of andere informatie te verstrekken.
Hoe voorkomt u phishing?
Er zijn twee algemene manieren om phishing te bestrijden, een gebruikersbenadering en een technische benadering. Bij de gebruikersbenadering gaat het erom gebruikers bewust te maken hoe ze een phishingmail kunnen herkennen. Dit varieert van het controleren van het e-mailadres en verifiëren dat het van een geldig domein is, tot het valideren van de afzender.
Als u twijfelt over de rechtmatigheid van een e-mail of bericht, doet u het volgende:
- Controleer het domein van de afzender.
- Plaats de muisaanwijzer op een link in de e-mail om te zien waar u naartoe wordt gebracht.
- Neem contact op met de persoon die u zogenaamd een bericht heeft gestuurd via geverifieerde contactgegevens als u deze kent en controleer dat ze contact met u hebben opgenomen. Doe het niet via de contactgegevens vermeld in de mogelijke phishingmail.
- Bepaal of het redelijk is dat de afzender u op deze manier heeft benaderd, bijvoorbeeld een e-mail die schijnbaar afkomstig is van de bank waarin om uw inloggegevens wordt gevraagd.
‘Het belangrijkste bij phishing is om te blijven verifiëren! Verifieer de afzender, verifieer de link en denk na voordat u klikt.’
Kim Morgan Gilja, Security Manager bij Visma
Phishing-pogingen kunnen ook worden tegengegaan door ze te blokkeren door middel van techniek. Een goed voorbeeld hiervan is een spamfilter, die bij de meeste e-mailproviders wordt meegeleverd. Meer geavanceerde methoden zijn onder meer machine learning en AI, die zijn getraind om phishing-pogingen te herkennen en deze te blokkeren of u te laten weten dat dit een gevaarlijke e-mail kan zijn. Een derde methode, niet bedoeld om phishing te blokkeren, maar eerder om de negatieve effecten te verminderen, is Multi-Factor Authenticatie (MFA), waarbij u uw telefoon als extra stap moet gebruiken voordat u inlogt. Zelfs als een crimineel uw inloggegevens bemachtigt, is het nog steeds niet mogelijk om in te loggen, omdat hij geen toegang heeft tot uw telefoon.
Bij de meeste grote e-mailproviders krijgt u een melding als een e-mail er verdacht uitziet, en externe e-mails hebben gele tags die aangeven dat deze van buiten uw organisatie afkomstig zijn. Met een jaarlijkse phishingcampagne wil Visma mensen motiveren en helpen de gevaren van phishing te signaleren.
