Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    E-mailbeveiliging

    5 soorten phishing-aanvallen om voor op te passen

    Phishing komt in vele vormen voor, aangezien fraudeurs via e-mail en andere communicatiekanalen te werk gaan om van uw bedrijf te stelen.

    by Mercedes Cardona
    gettyimages-1027040180.png

    Hoofdpunten

    • De soorten phishing-aanvallen zijn geëvolueerd en uitgebreid van e-mail naar sms, spraak en sociale media.
    • Fraudeurs gebruiken social engineering-tactieken voor meer gesofisticeerde aanvallen waarbij zij zich voordoen als werknemers, supervisors en zakenpartners.
    • Opleiding is de sleutel tot het blokkeren van alle vormen van phishing, samen met automatisering en technologische hulpmiddelen die uw systemen beschermen en fraude in uitvoering signaleren.

    De term "phishing" deed officieel zijn intrede in het taalgebruik in 2005, toen het Oxford American Dictionary het woord toevoegde en het definieerde als "de activiteit waarbij mensen worden misleid door hen via internet of e-mail hun identiteit, bankrekeningnummers, enz. te laten geven, en deze vervolgens te gebruiken om geld van hen te stelen". Maar phishing-e-mails zijn zo oud als e-mail zelf. De eerste phishing e-mailaanvallen vonden plaats in het midden van de jaren negentig, [i] en phishing blijft ook in 2021 een groot probleem. Als gevolg van de verschuiving naar werken op afstand tijdens de COVID-19 pandemie, melden bedrijven een toename van alle verschillende soorten phishing-aanvallen. [ii]

    Wat is een phishing-aanval?

    Het opsommen van de verschillende soorten phishing begint met de voor de hand liggende spam-e-mails - bijvoorbeeld "klik hier en claim een prijs" - die de ontvanger lokken om op het lokaas te klikken en de slechteriken hun computer binnen te laten - en verder. Daarnaast zijn er meer geavanceerde vormen van phishing waarbij gebruik wordt gemaakt van social engineering-tactieken om het doelwit over te halen gevoelige informatie te delen of malware te uploaden. Social engineering - waarbij persoonlijke en bedrijfsgegevens worden gebruikt om gebruikers te manipuleren in verschillende soorten phishing-e-mails te trappen - is in feite een groeiend probleem. Zeven van de tien organisaties zijn van mening dat hun bedrijf door het gedrag van werknemers risico loopt op verschillende soorten phishing-e-mails, volgens Mimecast's State of Email Security 2021 (SOES).

    Hoe werkt phishing?

    De fraudeurs verzamelen vaak achtergrondinformatie zoals e-mailadressen van bedrijven en de namen en functietitels van doelwitten uit openbaar toegankelijke databases en sociale netwerken om hun berichten geloofwaardiger te maken. Ze bouwen ook valse websites om privégegevens zoals wachtwoorden en kredietkaartnummers te verzamelen.

    Het komt erop neer dat welk type phishingaanval zich op specifieke gebruikers richt, afhangt van de zwakke punten die de slechteriken kunnen vinden om uit te buiten. De verdediging tegen deze aanvallen vereist ook meerdere verdedigingsmechanismen.

    Soorten phishing-aanvallen

    Cyberbedreigingen via e-mail zijn in 2020 met ongeveer 64% toegenomen, maar e-mail is niet het enige communicatiekanaal voor phishing. Er zijn evenveel verschillende soorten phishingaanvallen als er communicatiemiddelen zijn om ze uit te voeren.

    Naast de vele soorten phishing-e-mails die wereldwijd worden bezorgd, hebben fraudeurs ook kanalen zoals sms- en voice-responssystemen ingezet om de soorten phishing uit te breiden en op verschillende personen en organisaties te richten. De vijf soorten phishingaanvallen waar uw organisatie in 2021 op moet letten, die hieronder in detail worden beschreven, zijn de volgende:

    1. Email phishing
    2. Spear phishing
    3. Walvisvaart
    4. Smishing en vishing
    5. Angler phishing

    Phishing via e-mail werpt een wijd net uit

    De oorspronkelijke phishing-zwendel, die dateert uit de tijd van de inbelmodems, is een spambericht dat naar honderden of duizenden ontvangers wordt gestuurd en dat de gebruiker ertoe moet aanzetten geld te sturen, op een link te klikken (die meestal malware op zijn computer achterlaat) of een website te bezoeken die door de fraudeurs is opgezet om geld te stelen, persoonlijke informatie te stelen of malware te installeren. Denk maar aan die oude e-mail die beweert afkomstig te zijn van een minister van een of andere woelige republiek en waarin miljoenen worden aangeboden in ruil voor een kleine aanbetaling. Verrassend genoeg trappen mensen nog steeds in dit soort zaken. En 40% van de bedrijven meldt dat hun e-mailbeveiliging tekortschiet, terwijl 13% geen e-mailbeveiligingssysteem heeft, zo blijkt uit het SOES-onderzoek.

    Enkele eenvoudige preventieve stappen kunnen voorkomen dat gebruikers in phishing trappen. Het Center for Internet Security heeft een aantal basisadviezen: Wees voorzichtig met alle e-mails en klik niet op links of bijlagen die er verdacht uitzien. [iii] Een phishingfilter geïnstalleerd op uw e-mailprogramma en webbrowser zal phishingpogingen verminderen; een pop-up blocker kan ook helpen een ander hulpmiddel te stoppen dat vaak door fraudeurs wordt gebruikt om persoonlijke informatie te krijgen.

    Spear Phishing wordt persoonlijk

    Dit is een meer gespecialiseerde soort phishingaanval die gericht is op een specifieke gebruiker, dankzij persoonlijke informatie die uit online bronnen is verzameld. Naast de sociale media kunnen fraudeurs nu ook hele databanken met informatie kopen op het Dark Web, waardoor het gemakkelijker is een boodschap op te stellen die wel aankomt.

    De spear-phishing e-mail is vaak zo ontworpen dat het lijkt alsof hij afkomstig is van een vertrouwde collega of een bedrijf waarmee de beoogde gebruiker samenwerkt (bekend als "impersonatie-aanvallen"), met een vals adres of een website die op de echte lijkt. Dit kan worden opgespoord door goed te letten op de spelling en interpunctie van het adres. Sommige fraudeurs gebruiken een ander domein (.net in plaats van .com) of voegen extra tekens toe aan een legitiem adres, zoals een onderstrepingsteken of een streepje. Sommigen gebruiken tekens die er hetzelfde uitzien, zoals een nul in plaats van een "o" of een "l" in plaats van een "i" om het phishingdoelwit in verwarring te brengen.

    Technologie en automatisering kunnen nuttig zijn bij het blokkeren van dit soort e-mailaanvallen. E-mailverificatieprotocollen zoals Domain-based Message Authentication, Reporting & Conformance (DMARC) en Sender Policy Framework (SPF) kunnen helpen bij het uitsorteren van nepadressen die voor impersonatieaanvallen worden gebruikt. Kunstmatige intelligentie kan het scannen van e-mails die het systeem passeren automatiseren om anomalieën zoals valse websites te vinden. Bovendien kunnen sommige beveiligingstools dankzij machinaal leren communicatiepatronen herkennen die niet passen in de e-mailstroom van het bedrijf en vervolgens phishers signaleren.

    Walvisvangst treft hoger management

    Zoals de naam al doet vermoeden, is whaling een type phishing-e-mail gericht op een grote vis. Deze nog meer gespecialiseerde vorm van spear phishing is gericht op een specifieke gebruiker hoog in de hiërarchie van een organisatie. Dit staat ook bekend als CEO- of CFO-fraude, waarbij een frauduleuze e-mail wordt gestuurd naar de leidinggevende, die zich voordoet als een ondergeschikte of collega. De e-mail heeft vaak een dringende toon en vraagt om snelle toegang tot gevoelige informatie, een wachtwoord of een geldoverschrijving om een of andere bedrijfsfunctie uit te voeren.

    De verdediging tegen "whaling" is vergelijkbaar met die tegen "spear phishing" en andere vormen van phishing-e-mails, met inbegrip van opleiding inzake veiligheidsbewustzijn en filters om e-mailbijlagen op malware te scannen of de inhoud van e-mails te controleren op verkeerd gespelde adressen die phishing-e-mails verraden.

    Smishing en Vishing vallen mobiele telefoons aan

    Wereldwijd zijn er miljarden mobiele telefoons, en ze worden voor steeds meer functies gebruikt, zowel thuis als op het werk. Het was dus slechts een kwestie van tijd voordat fraudeurs een manier vonden om verschillende vormen van phishing te creëren met smartphones. Bij smishing wordt gebruik gemaakt van sms-berichten om het werk te doen dat bij traditionele phishing door e-mails wordt gedaan, terwijl bij vishing voor hetzelfde effect gebruik wordt gemaakt van spraakberichten en robocalls. Een telefoontje of sms, bijvoorbeeld, waarin wordt beweerd dat het van de Social Security Administration of de Internal Revenue Service komt en dringend om een reactie wordt gevraagd - of een fraudewaarschuwing van "Cardmember Services" - gaat meestal gepaard met een verzoek om persoonlijke informatie of een link om op te klikken.

    De Federal Communications Commission heeft een aantal verstandige richtlijnen om individuele gebruikers te helpen deze zwendel te voorkomen, zoals het installeren van anti-malware software en ervoor zorgen dat de besturingssystemen op alle apparaten zijn bijgewerkt tot de nieuwste versie. [iv] Organisaties kunnen hun systemen ook beveiligen door een bring-your-own-device (BYOD)-beleid voor alle werknemers op te stellen dat beveiligingsfuncties bevat en de acties en toegang van die apparaten beperkt, voor het geval ze ten prooi vallen aan smishing of vishing.

    Hengelsport Phishing mikt op sociale media

    Sociale media zijn een zegen voor klantenservicenetwerken, maar hebben fraudeurs ook een ander soort phishing-aanvalsmodel gegeven. Bij dit soort phishingaanvallen wordt de eigen sociale media-activiteit van de klant gebruikt als een social engineeringvector om toegang of persoonlijke informatie te krijgen.

    De oplichter ziet bijvoorbeeld een bericht op sociale media waarin wordt geklaagd over de service van een bedrijf en onderschept de communicatie, reageert per e-mail of via een direct bericht op sociale media op de ontevreden klant en biedt aan de zaken recht te zetten. Dat houdt in dat de klant persoonlijke informatie deelt, op een link klikt of naar een websiteadres gaat dat door de fraudeur is verstrekt. Net als bij de spear-phishingaanval zal de lookalike site persoonlijke informatie stelen, malware plaatsen en andere kwaadaardige handelingen op het systeem van het slachtoffer uitvoeren.

    Om zich tegen dit soort phishingaanvallen te verdedigen, moeten gebruikers alert zijn bij interacties via sociale media. Gebruikers moeten goed letten op tekenen die wijzen op een geverifieerd social media-account, zoals een blauw vinkje dat ontbreekt op geverifieerde Twitter-accounts. Het bedrijf dat wordt geparodieerd moet zijn aanwezigheid in sociale media beschermen en klanten op dezelfde sociale-mediakanalen waarschuwen wanneer het een phishingaanval door een visser opmerkt, zodat klanten alternatieven krijgen om contact op te nemen met de klantenservice.

    Opleiding blijkt essentieel

    Training is de eerste verdedigingslinie tegen alle vormen van phishing, om het personeel te helpen op hun hoede te blijven. Gebruikerstests, phishingoefeningen en andere ongeplande trainingen die een echte phishingaanval simuleren, kunnen helpen om de gebruikers alert te houden.

    Cybercriminelen zullen blijven zoeken naar manieren om in uw systemen in te breken, zolang het misdrijf loont. En naarmate nieuwe communicatiekanalen worden geopend, zullen fraudeurs niet ver achterblijven met verschillende soorten phishing-aanvallen. Hoe sneller uw organisatie zich bewust wordt van haar kwetsbaarheden, hoe beter zij zich in een positie bevindt om deze tegen te gaan.

    De kern van de zaak

    De dreiging van phishing-aanvallen is een vast gegeven voor bedrijven. U kunt phishing-aanvallen misschien niet helemaal voorkomen, maar u kunt wel voorkomen dat de meeste succesvol zijn. Met een combinatie van verdedigingsmiddelen om uw systemen te beveiligen en training om uw personeel te helpen fraude te herkennen, kan de kans dat uw organisatie het slachtoffer wordt van phishing sterk worden verkleind.

    [i] " De geschiedenis van phishing ," Verizon

    [ii] 2020 Data Breach Investigations Report , Verizon

    [iii] "Bescherm uzelf tegen phishing-zwendel", Center for Internet Security

    [iv] "Voorkom de verleiding van smishing-zwendel", Federal Communications Commission

    gettyimages-1128252197.png
    Up Next
    E-mailbeveiliging |
    Wereldwijde Ransomware golf eist slachtoffer van Amerikaanse oliepijplijn

    Verwante Artikelen

    E-mailbeveiliging
    Building Security Awareness: A Modular Approach
    E-mailbeveiliging
    When Cyberattackers Strike Again  ̶  and Again
    E-mailbeveiliging
    The Value of an Identity Management Platform 

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven