Wat is phishing? Soorten aanvallen en tips ter voorkoming

Phishing is een cyberaanval die zich erop richt om mogelijke slachtoffers vertrouwelijke informatie te ontfutselen, zoals wachtwoorden of creditcardnummers. Cybercriminelen doen dit door zich voor te doen als iemand anders en door hun verzoek urgentie te geven.

Hoe werkt phishing?

Phishing is een gevaarlijke en effectieve hackingmethode. Phishing werkt doordat cybercriminelen berichten sturen naar mensen of bedrijven met een kwaadwillende link of bijlage. Het doel is om de doelwitten over te halen om op de link te klikken, waardoor ze malware downloaden of worden doorgeleid naar een illegale website om hun persoonsgegevens te stelen. Phishing-aanvallen kunnen op een aantal verschillende manieren worden uitgevoerd, afhankelijk van de aanvaller en de informatie die deze probeert veilig te stellen.

In de loop der jaren is phishing veel verfijnder geworden. Naar schatting 32% van alle lekken heeft betrekking op phishing en zo'n 64% van de organisaties meldt phishing-pogingen minimaal eens in hun geschiedenis.

De uitdaging met phishing is dat het lastig kan zijn om te spotten, omdat de methoden steeds verfijnder worden, helemaal met de introductie van AI. Mogelijk hebt u wel eens een phishing-mail geopend en u dit niet gerealiseerd omdat cybercriminelen vertrouwen op social engineering om nietsvermoedende slachtoffers over te halen om verdachte bijlagen te openen.

Hoe werkt phishing?
Veelgebruikte phishing-technieken

Veelgebruikte phishing-technieken

Social engineering

Social engineering is een aanval die het slachtoffer manipuleert om snel actie te ondernemen via misleidende informatie. Een voorbeeld is inspelen op de angst dat de belastingdienst bezig is met een zaak tegen het slachtoffer. Dit type phishing-oplichting komt vaak voor tijdens de periode van belastingaangifte doen. Het phishing-bericht bevat een urgente oproep tot actie, zoals 'reageer nu, anders krijgt u een boete van de belastingdienst', wat ertoe leidt dat het slachtoffer de cybercrimineel vertrouwelijke informatie geeft.

Andere meer verfijnde voorbeelden zijn zaken als een nepbericht van een collega of leidinggevende van het werk, of een bericht met bevestigde ontvangstgegevens. Deze voorbeelden kunnen ertoe leiden dat allerlei soorten informatie worden prijsgegeven.

Link-nabootsing

Link-nabootsing wordt vaak samen met social engineering gebruikt. Als we de belastingdienstoplichting als voorbeeld nemen, wordt het slachtoffer gemanipuleerd om te geloven dat ze geld verschuldigd zijn aan de belastingdienst. Het slachtoffer kikt op de voorgestelde link. Op het eerste gezicht lijkt de link legitiem, misschien zelfs wel de correcte URL te zijn voor de website van de belastingdienst. Maar nadat het slachtoffer erop heeft geklikt, wordt deze doorgestuurd naar een illegale website waarop naar informatie wordt gevraagd. Wanneer het slachtoffer gegevens invoert, weet de cybercrimineel wat er wordt ingevoerd, om deze gegevens te gebruiken voor de eigen kwaadwillende doeleinden.

Wat gebeurt er als u op een phishing-link klikt?

Een phishing-link kan het slachtoffer doorsturen naar een illegale website, een kwaadwillende bijlage downloaden of malware installeren op het apparaat of netwerk.

Een phishing-aanval verstoort mogelijk het complete netwerk van een organisatie door informatie te gijzelen of stelen. Een aanval kan een organisatie dwingen om de online services te staken voor onbepaalde tijd, waardoor aanzienlijke verliezen worden geleden en overige schade door de malware. Daarnaast zijn er regelgevende boetes die bedrijven kunnen worden opgelegd en kan de reputatie van het bedrijf volgend op een lek aanzienlijke schade oplopen.

Een phishing-aanval is ook gevaarlijk voor gewone mensen, met financiële verliezen of resulterend in gestolen identiteiten.

Phishing-aanvallen via e-mail

Phishing-aanvallen via e-mail behoren tot de meest veelvoorkomende en veelzijdige phishing-aanvallen, en zijn vaak ook erg effectief. Phishing-aanvallen via e-mail zijn vaak afhankelijk van social engineering, waarbij gebruikers worden gemanipuleerd en overgehaald om op kwaadwillende links te klikken of malware te downloaden.

Soorten phishing via e-mail

Spear-phishing

Een spear-phishing-aanval is een doelgerichte phishing-aanval die gebruikmaakt van persoonsgegevens voor maximale schade. De aanvaller weet al dingen, zoals het telefoonnummer van het slachtoffer, het adres, de volledige naam en mogelijk zelfs het burgerservicenummer, en gebruikt die informatie vervolgens om phishing-bijlagen of -links er geloofwaardiger uit te laten zien.

Whale-phishing

Een whaling-aanval is vergelijkbaar met spear-phishing, behalve dat het doelwit een 'whale' (walvis) is, of een hoogwaardig doelwit in plaats van een doorsnee persoon of een netwerk van een klein bedrijf. Het doel is om toegang te krijgen tot hoogwaardige gegevens, interne systemen of vertrouwelijke informatie.

Clone-phishing

Bij een clone-phishing-aanval klonen cybercriminelen legitieme e-mails en sturen die opnieuw, maar dan met malware of kwaadwillende links in een poging om ontvangers ertoe te verleiden erop te klikken.

Phishing-aanvallen via e-mail
Andere soorten phishing-aanvallen

Andere soorten phishing-aanvallen

Smishing

Smishing is hetzelfde als phishing via e-mail, behalve dat het plaatsvindt via sms'jes. Een slachtoffer krijgt een bericht dat lijkt op een phishing-e-mail via een sms, met een link om te volgen of een bijlage om te downloaden.

Vishing

Vishing is een meer verfijnde en soms ook effectievere phishing-methode, aangezien er een echte persoon aan de andere kant van de telefoonlijn zit. Het doel van de aanvaller is om informatie te verkrijgen, vooral creditcardgegevens, om er financieel beter van te worden. Oudere mensen zijn vaak het slachtoffer van dit type aanval.

Social of angler-phishing

Bij angler-phishing doet de aanvaller zich voor als een legitieme medewerker van de klantenservice die slachtoffers overhaalt om persoonsgegevens te verstrekken.

Malvertising

Malvertising is wanneer cybercriminelen legitieme adverteerders betalen om advertenties weer te geven op hun websites of sociale media-pagina's. Als een gebruiker op een malvertisement klikt, wordt deze doorgestuurd naar kwaadwillende sites, waar malware naar hun apparaten wordt gedownload.

Zo beschermt u zichzelf tegen phishing-aanvallen

Gebruik een wachtwoordbeheerder

Een wachtwoordbeheerder kan u beschermen tegen phishing-aanvallen door u te helpen wachtwoorden te maken, beheren en veilig op te slaan. Wachtwoordbeheerders zoals Keeper bevatten een ingebouwde waarschuwing tegen phishing-sites. Als uw opgeslagen aanmeldingsgegevens niet verschijnen op de website die u bezoekt, zit u waarschijnlijk op de verkeerde site. Daarnaast helpt de geïntegreerde wachtwoordgenerator u om sterke, willekeurige wachtwoorden te maken om de gecompromitteerde te vervangen en de mogelijkheid van credential stuffing te beperken.

Klik niet op ongevraagde links of bijlagen

Als u ongevraagde links en bijlagen ontvangt via e-mail, sms of een ander berichtenplatform, moet u er niet op klikken. Deze links en bijlagen bevatten mogelijk malware die uw vertrouwelijke informatie kan stelen of gebruikt kan worden om u te bespioneren.

Als u niet zeker weet of een link veilig is, plaatst u uw muis op de link om het volledige websiteadres te zien of gebruikt u een tool zoals Google Transparency Report.

Gebruik een e-mailscanner

Een e-mailscanner is een tool die e-mailbijlagen scant op potentiële malware. Investeren in een e-mailscanner, helpt bij de bescherming tegen phishing-pogingen via e-mail.

Zo beschermt u zichzelf tegen phishing-aanvallen
Zo beschermt u uw bedrijf tegen phishing-aanvallen

Zo beschermt u uw bedrijf tegen phishing-aanvallen

Werknemerseducatie

Onderwijs werknemers over de gevaren van phishing, de verschillende typen phishing en hoe u een aanval voorkomt. U kunt ook willekeurige phishing-tests uitvoeren om uw team waakzaam te houden.

Gebruik een zakelijke wachtwoordbeheerder

Door een wachtwoordbeheeroplossing te gebruiken voor uw bedrijf, zorgt u ervoor dat de wachtwoorden van uw organisatie veilig en beschikbaar voor uitsluitend de juiste personen worden opgeslagen. Keeper Security, bijvoorbeeld, biedt rollenspecifieke toegangsopties en gedeelde mappen om te beperken wie bepaalde aanmeldingsgegevens en records kan zien. Onze robuuste zakelijke opties bevatten daarnaast wachtwoordcontrole en -rapportage, met handige updates over de wachtwoordhygiëne van uw team en een eenvoudige manier om wachtwoordbeleid af te dwingen.

Gebruik antivirussoftware

Antivirussoftware detecteert, isoleert en verwijdert malware die is gedownload naar apparaten van werknemers. Het kan ook e-mails, bepaalde bestanden of paden op apparaten scannen op malware en andere virussen. Er zijn veel gratis antivirusprogramma's voor grote organisaties online beschikbaar.

Keeper beschermt u, uw gezin en uw bedrijf tegen phishing-aanvallen.

Nederlands (NL) Bel ons