Cybercriminelen buiten de kwetsbaarheid en het gebrek aan kennis van gebruikers uit via social engineering. Zo krijgen zij mensen zover dat ze dingen doen die tegen hun belangen ingaan. Phishing is een van de meest voorkomende vormen van social engineering en is volgens het Verizon Data Breach Investigation 2022-rapport betrokken bij 20% van de datalekken. ‘Phishing’ is echter een containerbegrip en het is belangrijk om de verschillende soorten hiervan te kennen om de organisatie optimaal te beschermen tegen deze dreiging.
Wat is phishing?
Phishing is een vorm van social engineering waarbij hackers zich voordoen als legitieme organisaties of vertrouwde personen. Zij winnen zodoende het vertrouwen van slachtoffers en vragen hen bijvoorbeeld gevoelige informatie te delen of te klikken op schadelijke links. Phishing speelt een rol in bijna alle IT-beveiligingsincidenten en gaat vaak gepaard met andere bedreigingen, zoals netwerkaanvallen, code-injectie, ransomware en malware.
Hoe werkt phishing?
Cybercriminelen kopen of verzamelen illegaal verkregen gegevens van hun slachtoffers, zoals namen, functies, interesses en e-mailadressen. Vervolgens zetten zij deze informatie in via nepberichten of andere phishing-methoden om nog meer vertrouwelijke bedrijfs- en persoonsgegevens te verkrijgen, zoals gebruikersnamen, wachtwoorden, bankgegevens, etc. Dat zijn hiermee uitermate succesvol zijn, blijkt wel uit het feit dat ‘cyberschaamte’ volgens IT-beveiligingsspecialisten het woord van het jaar 2022 is. Cybercriminelen hebben zodoende vrije toegang tot bedrijfsnetwerken die plat kunnen leggen of leeg kunnen roven.
Top 7 soorten phishing-aanvallen
Phishing kent veel vormen, maar de volgende 7 soorten phishing worden door cybercriminelen het meeste gebruikt voor het manipuleren van hun slachtoffers:
Deceptive phishing
Deceptive (misleidende) phishing is de meest voorkomende vorm van phishing. Hierbij versturen aanvallers een nepbericht uit naam van een vertrouwde organisatie. Daar zijn zij inmiddels heel goed in; de nepberichten van banken, werkgevers, universiteiten of overheden zijn bijna niet meer van echt te onderscheiden. In deze berichten vragen zij de gebruiker schadelijke bijlagen te downloaden of op links naar schadelijke websites te klikken. De onachtzame gebruiker deelt zo persoonlijke of inloggegevens en daarmee toegang tot het netwerk.
Spear Phishing
Spear Phishing maakt ook gebruik van e-mail, maar werkt veel doelgerichter. Hackers verzamelen door middel van open-source intelligence (OSINT) openbaar beschikbare bedrijfsgegevens. Vervolgens richten zij zich op specifieke gebruikers en laten hen geloven dat het nepbericht afkomstig is van iemand binnen de organisatie. Zo wekken ze nog meer vertrouwen bij de ontvangen en worden hun verzoeken gemakkelijker uitgevoerd. Om Spear Phishing te herkennen, moet je letten op ongebruikelijke verzoeken van collega’s, links naar gedeelde schijven en documenten waarvoor een gebruikersnaam en wachtwoord nodig zijn.
Whaling
In Las Vegas is een ‘whale’ (walvis) een ‘big fish’: een vermogende speler die veel geld kan achterlaten op de pokertafel. Whaling gaat ook achter de grote spelers aan. De praktijk, ook wel Whale Phishing, Whale Fraud, of CEO Fraud genoemd, achterhaalt met OSINT de naam van de CEO, bijvoorbeeld op sociale media of bedrijfswebsites. Vervolgens ontvangen medewerkers een phishing-mail uit naam van de CEO en veel gebruikers tuinen snel in deze nepberichten. Om dit type aanval te herkennen, moet je letten op abnormale verzoeken van bijvoorbeeld directieleden die dit soort berichten nooit zouden versturen. Bovendien is het belangrijk na te gaan of het bericht niet naar of via een persoonlijke e-mail is verzonden.
Vishing
Vishing is voice phishing, een betekent dat een cybercrimineel telefonisch contact opneemt met slachtoffers. Dat geeft een gevoel van urgentie en zet meer druk om snel te reageren op de verzoeken. Om Vishing te herkennen, is het goed om te controleren of het gebruikte telefoonnummer afkomstig is van een ongebruikelijke of geblokkeerde locatie. Let ook op het tijdstip van de oproep, vaak valt dit samen met een stressvolle gebeurtenis, zoals een belastingaangifte. Check ook of de vraag naar de persoonsgegevens wel gebruikelijk is.
Smishing
Smishing gaat een stapje verder dan Vishing en betekent het versturen van sms-berichten, vaak namens legitieme organisaties of bekende personen, die de gebruiker vragen een bepaalde actie te ondernemen. Bijvoorbeeld het klikken op een link die malware installeert op het apparaat. Vaak hebben deze sms-berichten betrekking op een zogenaamde levering waarvan de status via een link gecheckt moet worden. Je kunt dit herkennen door direct, via de eigen browser, naar de website van de organisatie te gaan en de status van de levering te controleren. Vergelijk ook het land- en netnummer met dat van de leverancier.
Angler Phishing
Angler Phishing probeert gebruikers van sociale media en online forums te misleiden. Bijvoorbeeld door kwaadwaardige links te vermelden in reacties op berichten. Pas ook op als je opeens directe berichten krijgt van mensen die de platformen nauwelijks gebruiken. Klik nooit direct op links in reacties of directe berichten, check eerst of deze verwijzen naar een betrouwbare URL.
Pharming
Pharming is een van de moeilijkst te herkennen vormen van phishing. Deze methode kaapt een Domain Name Server (DNS) en leidt de gebruiker die de URL invoert naar een kwaadaardig domein. Om je tegen deze aanval te beschermen, moet je controleren of de URL voorafgaat met HTTPS (niet HTTP), en letten op aanwijzingen dat de website vals is, zoals vreemde lettertypen, spelfouten of afwijkende vormgeving.
Top 7 maatregelen die phishing-aanvallen voorkomen
Train de werknemers
Het opleiden van werknemers is de eerste stap in de verdediging tegen phishing-aanvallen; onwetende mensen zijn immers een gemakkelijk doelwit voor cybercriminelen. De training moet echter verder gaan dan de traditionele ‘informatiesessie’ en ook ingaan op recente en geavanceerde bedreigingen.
Gebruik e-mailfilters
Wie aan e-mailfilters denkt, denkt aan spam, maar deze oplossingen kunnen veel meer dan alleen ongewenst berichten tegenhouden. Ze brengen ook bedreigingen aan het licht die verband houden met phishing-aanvallen. Bovendien voorkomt een goed e-mailfilter dat gebruikers überhaupt veel phishing-e-mails ontvangen.
Gebruik webfilters
Nu veel organisaties e-mails filteren op phishing-aanvallen, zetten cybercriminelen vaker in op het vervalsen van websitecode om gebruikers te misleiden. Zorg ervoor dat gebruikers waarschuwingen activeren in browsers, die wijzen op mogelijke risico’s.
Internettoegang beperken
Een andere manier om de risico’s van kwaadaardige websites te beperken is het opstellen van lijsten voor toegangscontrole. Deze kunnen voorkomen dat onbevoegden verbinding maken met bepaalde websites en online toepassingen.
Gebruik multi-factor authenticatie
Cybercriminelen azen vooral op inloggegevens van gebruikers. Multi-factor authenticatie (MFA) vermindert het risico dat deze in de verkeerde handen vallen. MFA vereist dat de gebruiker zich authentiseert door een combinatie van “iets dat men weet” (zoals een wachtwoord), “iets dat men heeft” (zoals een token) en “iets dat aantoont wie men is” (zoals een vingerafdruk of gezichtsherkenning).
Maak back-ups
Het is verstandig om regelmatig back-ups te maken en het herstel hiervan te controleren en te testen. Dit voorkomt dat phishing-aanvallen die gepaard gaan met malware, zoals ransomware, de productiviteit, en zelfs continuïteit, van de organisatie in gevaar brengen.
Gebruik een Endpoint Manager
Een Endpoint Manager is een van de meest effectieve toepassingen voor het voorkomen van de verschillende soorten phishing. Deze oplossing beschermt alle apparaten die op afstand zijn aangesloten op het bedrijfsnetwerk. Een Endpoint Manager maakt het mogelijk om lijsten met geautoriseerde, gemelde en geblokkeerde acties te beheren voor elke gebruiker. Dit vermindert het aantal bedreigingen dat malware installeert en privileges misbruiken. Daarmee zorgt de oplossing ook voor de naleving van wet- en regelgeving en beleidsregels.
Marcus Scharra, CEO van Senhasegura
