Q&A: zo herken je een phishing-aanval

Wat is phishing?

Je zal al weleens een e-mail hebben gekregen die leek te komen van de bank of het telecombedrijf waar je klant bij bent. In de mail wordt – al dan niet met een armzalige taalgebruik – gevraagd om op een link te klikken, en je gegevens in te vullen. Waarschijnlijk word je aangemaand om het snel te doen, bijvoorbeeld omdat je achterstaande betalingen hebt en bijna tegen een boete aankijkt, of omdat er verdachte activiteiten zijn opgemerkt omtrent het gebruik van je kredietkaart. Misschien wordt er gedreigd om je account volledig af te sluiten als je niet meteen doet wat ze vragen.

Eens je echter op de link klikt, word je naar een valse website geleid die lijkt op het officiële portaal: een gespoofte website. Indien je daar je gegevens zou invullen, worden ze rechtstreeks naar een cybercrimineel gestuurd die uit is op je informatie. Het kan ook dat je via de link malware op je computer krijgt, zoals een keylogger die je informatie bijhoudt, of ransomware, die je computer versleutelt.

Dat is een voorbeeld van phishing, maar het fenomeen beperkt zich allerminst tot die exacte situatie. Phishing is een vorm van social engineering waarbij een cybercrimineel gegevens of geld van een gebruiker probeert te stelen. En dat kan op heel veel verschillende manieren.

Hoe vaak komt phishing voor?

Phishing gebeurt heel vaak. In tegenstelling tot complexe hacks, zijn er voor phishing-campagnes weinig geld, tijd of middelen nodig. Oplichters zien er dan ook een makkelijke manier in om snel veel geld te verdienen.

Volgens het Wombat Security-rapport rond phishing werd 85 procent van de ondervraagden in 2015 al slachtoffer van een phishing-mail. In dat geval was er bij 42 procent sprake van een malware-infectie, bij 22 procent werden bepaalde accounts misbruikt, en 4 procent zag dataverlies als een direct gevolg van een succesvolle phishing-aanval. Zo’n 60 procent zei dat ze het aantal e-mails bovendien zagen stijgen tegenover de vorige jaren. Vooral gepersonaliseerde e-mails werden meer gesignaleerd.

Welke soorten phishing bestaan er?

Phishing gebeurt meestal via e-mail, hoewel het ook via een app, valse website, of zelfs via telefoon kan. Hieronder de meest voorkomende soorten:

Spearphishing: Leunt erg aan bij standaardphishing, alleen gaat het hier niet om een willekeurig doelwit. Een specifiek slachtoffer wordt uitgekozen en het bericht wordt gepersonaliseerd om de persoon te doen geloven dat het om een legitieme boodschap gaat. Via LinkedIn kan bijvoorbeeld de naam, functie, werktelefoonnummer, werk-evenementen en andere informatie worden geplunderd. Zo kan een e-mail op maat worden gemaakt door enkel wat hokjes in te vullen: [de baas van je baas van je baas] bijvoorbeeld, die je laat weten dat [die ene goede klant] van [dat laatste belangrijke project] nog geld te goed heeft, en of jij dat stande pede in orde wilt maken?

Whaling: Spearphishing, maar dan gericht op de “grote vissen”: managers, directeurs, CEO’s, CFO’s, en dergelijke. In plaats van één werknemer in de luren te leggen, mikt deze aanval op het groffe geld. De login-gegevens van de managers kunnen immers gebruikt worden om bedrijfskritische gegevens te stelen of phishing-mails naar honderden werknemers tegelijkertijd te sturen. Wie gaat er ooit een mail weigeren die effectief van de CEO komt?

Pharming: In plaats van te vissen, kiezen sommige cybercriminelen er ook voor om te oogsten. Met pharming worden nietsvermoedende gebruikers bij het surfen omgeleid worden. Dat kan bijvoorbeeld door een gehackte DNS-server. Zelfs wanneer de gebruiker dan de juiste url ingeeft, wordt hij nog omgeleid naar een valse website. Doelwitten zijn bijvoorbeeld de website van je bank, of van een sociaal netwerk. Wanneer je inlogt, zijn je gegevens niet langer privé.

Hoe herken je phishing?

Enkele jaren terug was het nog niet eens bijster moeilijk om een phishing-mail te herkennen, vooral niet in het Nederlands. De taal die werd gebruikt in de mail was vaak doorspekt met spelfouten en grammaticale flaters op een manier die zelfs de grootste taalbarbaar nauwelijks kon ontgaan. De huidige trend geeft echter aan dat cybercriminelen iets meer werk steken in de geloofwaardigheid van hun phishingmails. Veel van die mails zijn haast niet te onderscheiden van de real deal. Je kan wel een paar stappen overlopen om twijfel uit te sluiten.

Let op de begroeting: Rudimentaire phishing-mails die in bulk worden verzonden, beginnen vaak met een heel generische begroeting, zoals “Geachte klant” of “Beste collega”. Het is geen waterdicht signaal, aangezien spearphishing-mails wel gepersonaliseerd zijn, maar er moet een lampje gaan branden als het zo is.

Wat wordt er gevraagd: Een echte bank, telecombedrijf of andere instantie zal nooit via e-mail vragen om je gegevens te bevestigen, of andere informatie in te geven, via een link. Als het bovendien dringend moet, kan je ervanuit gaan dat ze zullen bellen.

Check de link: De link in phishing-mails beschrijft vaak de officiële pagina in de linktekst, maar leidt eigenlijk naar een heel andere website. Controleer de eindbestemming door over de link te zweven. Je kan de url dan linksonder in de hoek van je scherm bekijken.

Bij twijfel kan je altijd bellen naar de officiële instantie zelf. Doe dat dan aan de hand van een telefoonnummer dat je op een onafhankelijke website vindt, en dus niet het nummer dat eventueel in de mail te vinden is. Als je belt, kan de organisatie makkelijk zeggen of de mail legitiem is, of niet, en kunnen ze toekomstige klanten sneller waarschuwen voor frauduleuze e-mails.