Wat is phishing en hoe voorkom ik het?

Een recente onderzoek laat zien dat in Nederland heel veel medewerkers op het gebied van cybersecurity nog echt behoefte hebben aan extra security awareness training. Een simulatie van phishing of ransomware helpt hierbij.

Ook in uw organisatie is het belangrijk om te weten hoe mensen tegen cybersecurity aankijken. Welke signalen worden door uw medewerkers herkent en welke niet? En wat zou u ermee bereiken als u dat wél weet? Deze simulatie geeft antwoord op deze vragen én levert meer inzicht in hoe mensen klikgedrag vertonen. Hiermee creëren medewerkers bewustzijn rondom de gevaren van het internet.

Wat is phishing en hoe voorkom ik het?

Dat is de vraag u in deze video gaan beantwoorden. Bij phishing probeert een aanvaller veelal via de mail te communiceren met een mogelijk slachtoffer. De aanvaller wil hiermee het slachtoffer overhalen tot het afgeven van persoonlijke informatie die hij vervolgens kan gebruiken voor eigen doeleinden. Denk aan onder andere identiteitsfraude, afpersing of financieel gewin.

Waar komt de term phishing vandaan

Phishing is afkomstig van de engelse term voor de visspoort fishing waarbij met een vishaak wordt geprobeerd een vis uit het water te halen. Bij de digitale variant worden internetgebruikers gezien als het water waarin de aanvaller met zijn haak gaat vissen. Verreweg de meeste internetgebruikers zullen net als bij echte vissen niet aan de haak worden geslagen. Een klein percentage zal wel bijten en slachtoffer worden van phishing. Dit kleine percentage is voor een hacker vaak voldoende omdat de gestolen hoeveelheden geld groot zijn, of de gestolen gegevens van hoge waarde zijn.

Bij de digitale variant is de f vervangen door ph als verwijzing naar een andere vorm van hacken dat via de telefoon plaatsvond. Genaamd phone-freaking.

 

Cookies Phishing

Een op fraude gebaseerde aanval die het gedrag van cookies simuleert om gebruikersinformatie te stelen, inclusief inloggegevens en wachtwoorden. Al jaren is op het internet een toename van de aanvallen met phishing te zien. Cookies Phishing-aanvallen zijn waargenomen waarbij gebruikers worden verleid tot het klikken op valse popups die inlogpagina’s simuleren en hun eigen cookies bevatten om de gegevens te pakken die de gebruiker heeft ingevoerd als hij is ingelogd.

 

Waar maken aanvallers gebruik van?

Om potentiële slachtoffers te overtuigen maken internetcriminelen gebruik van veel verschillende methoden. Zo maken ze mailtjes na die bijvoorbeeld vanuit banken of bekende bedrijven lijken te komen, maken zijn websites na van banken of bedrijven, of toen zij zich voor als een collega van ontvanger. Een aanvaller kan ervoor kiezen om een algemene aanval op te zetten of ik specifiek op een persoon of organisatie te richten. Bij dit laatste spreken we ook wel over spear phishing. Een veel voorkomende vorm van spear phishing is CEO fraude waarbij een aanvaller zich veelal voordoet als de directeur van het bedrijf. De aanvaller vraagt dan bijvoorbeeld aan een van de medewerkers van de financiële afdeling een geld bedrag over te maken naar meestal een buitenlandse rekening. Over het algemeen hebben de aanvallers vooraf op internet gezocht wie welke functie vervult. Dit om de e-mail zo overtuigend mogelijk te maken en gericht te kunnen versturen. Door het gebruiken van de naam van de directeur hopen aanvallers dat een medewerker snel geneigd is om te luisteren en eventuele procedures die dergelijke transacties onmogelijk maken te omzeilen.

Ook maken internetcriminelen steeds vaker gebruik van sms of andere chat apps om potentiële slachtoffers te benaderen. Voorbeelden hiervan zijn een nep sms van uw bank versturen om inloggegevens buiten maken, of het op WhatsApp imiteren van een dierbare om geld afhandig te maken.

Hoe voorkom ik dat ik slachtoffer wordt van een phishing mail?

De kenmerken die zijn opgesteld door het centrum voor criminaliteitspreventie en veiligheid, geven aan dan een phishingmail opvalt door vier kenmerken:

  1. De aanhef, het merendeel van de phishingmails wordt in grote aantallen verstuurd waardoor de aanvaller niet bij elk mailtje de naam van de ontvanger zal neerzetten in de aanhef. Hierdoor bevatten veel phishingmails een algemene aanhef zoals beste heer mevrouw of beste klant. Als een mail echter wel een persoonlijke aanhef heeft betekend het niet dat de mail geen phishing is.
    Bij het eerder genoemde spear phishing wordt vaak wel de naam gebruikt in de aanhef.
  2. Tekst, in phishingmails komen vaak taal en spelfouten voor. Vooral vroeger waren en mails heel slecht opgesteld qua taal en vielen ze echt op. Tegenwoordig maken de aanvallers gebruik van Nederlanders om de tekst zo goed mogelijk te maken. Maar ook nu bevatten phishingmails vaak nog taal en spelfouten. Bedenk altijd goed dat een bank naar zijn klanten geen meel zal sturen met daarin een taal of een typefout.
  3. Inhoud, daarnaast valt een phishingmail op door de inhoud. Als u een mail ontvangt over een pakketje wat bezorgd zal worden, maar u heeft niets besteld, dan is dat natuurlijk vreemd. Hetzelfde geldt voor een geld bedrag dat u gewonnen zou hebben zonder dat u zich erg voor heeft aangemeld. Een openstaande rekening van een niet bij u bekend bedrijf, of de belofte voor een groot geldbedrag als u de notaris kosten betaald. Kijk dan ook goed of het verhaal wat in de mail staat wel logisch is. Als het een mooi lijkt om waar te zijn, dan is dat meestal ook zo.
  4. Afzender, het vierde punt van het ccv is dat je goed naar de afzender moet kijken. Bij de afzender staat vanaf welk emailadres u de mail heeft ontvangen. Zo mailt PostNL met een e-mailadres dat eindigt op het @postnl.nl. Een aanvaller kan er voor kiezen om een mail te sturen vanaf het e-mailadres dat eindigt op @nlpost.nl. Dat lijkt er sterk op maar is in werkelijkheid een hele andere afzender. Aanvallers maken vaak gebruik van werkelijk spelfout domeinen waarbij ze een domeinnaam kiezen die sterk lijkt op de naam van een bedrijf, of wat gelinkt is aan de inhoud van de mail. Een aanvaller kan dan doen alsof hij vanuit een energiemaatschappij mailt door gebruik te maken van het domein energie.ru. Maar let op, tegenwoordig zijn aanvallen slim genoeg om het te doen laten lijken dat de e-mail toch echt van de juiste instantie afkomstig is.
    Daarom hebben wij zelf nog een vijfde punt toegevoegd:
  5. De link, dat is de link in de mail zelf. Het doel van aanvallers is om u op de link in de e-mail te klikken zodat u naar een website wordt geleid waar uw gegevens kunt invullen. De aanvallers maken bijvoorbeeld de website van uw bank na. Vragen vervolgens de inloggegevens voor bankaccount . Een nagemaakte website is bijna niet meer van echt te onderscheiden alleen de domeinnaam kunnen de aanvallers niet namaken. Kijk daarom voor dat u op de link in de e-mail klikt altijd goed waar deze naartoe gaat. Dit kunt u doen door uw muis op de link te plaatsen zonder te klikken. Er verschijnt dan een tekstvlak waarin de url staat van de website waar u naar toe zou worden geleid. Als deze afwijkt van het domein dat bij u bekend is, moet u nooit op de link klikken voor de zekerheid kunt u altijd zelf in uw browser naar de website van de bank gaan om vervolgens in te loggen en uw bericht het controleren.

Wat belangrijk is om te onthouden is dat u bij het ontvangen van mails altijd scherp dient te blijven. Een foutje is zo gemaakt. Als u een e-mail niet vertrouwt heeft u het vaak bij het rechte eind. Het is beter om een keer te veel na te vragen of de e-mail wel echt van de afzender is dan te weinig. Lijkt de mail afkomstig van een collega of een vriend van u, bel deze persoon dan even op als het mailtje toch een beetje vreemd lijkt. Dit was een video over wat phishing is en hoe u er geen slachtoffer van wordt. Wilt u nog beter beveiligd zijn kijk dan een van onze andere video’s

Security awareness voor beveiligingsbewustzijn op de werkvloer

9 NUTTIGE VIDEO’S OVER DIVERSE IT SECURITY ONDERWERPEN

Scroll naar top