In dit artikel
Phishing we kennen allemaal de term wel en we hebben het allemaal wel eens ontvangen, maar welke soorten phishing zijn er? In deze blog vertellen we je er alles over.
Wist je bijvoorbeeld dat je phishing niet alleen per email ontvangt, maar ook via sms of Whatsapp. Dit noemen we dan smishing, de woorden phishing en sms zijn samengevoegd. Daarnaast kan phishing ook voorkomen middels een telefoongesprek, dan spreken we over vishing. Zo zie je maar, phishing richt zich niet alleen op email en er zijn verschillende soorten phishing.
De verschillende soorten phishing
Hackers proberen op verschillende manieren gegevens te stelen, malware te installeren of hun slachtoffers te bespioneren. Meestal begint een aanvaller met een phishingaanval waarbij hij social engineering gebruikt om toegang te krijgen tot de data van zijn slachtoffer.
Phishing kan in verschillende vormen voorkomen, waarvan e-mail (phishing), telefoon (vishing of voice phishing) en sms-berichten (smishing of SMS-phishing) de belangrijkste zijn. Het doel van phishing is om gevoelige informatie te verzamelen, variërend van wachtwoorden en identificeerbare informatie tot bankgegevens. Deze gegevens kunnen worden gebruikt voor identiteitsdiefstal, spam, fraude of bedrijfsspionage, om maar een paar voorbeelden te noemen.
Welke phishing soorten zijn er?
Laten we beginnen met de drie categorieën zoals we die hierboven hebben beschreven:
- Phishing
- Smishing
- Vishing
Phishing richt zich dus voornamelijk op email. Vaak zijn dit e-mails, bijvoorbeeld van CEO fraudeurs, waar je wordt gevraagd op een link te klikken of een bestand te downloaden/ openen. Daarmee hebben ook twee verschillende varianten te pakken en daarmee ook twee verschillende doelen van de cybercriminelen: proberen ze jouw inloggegevens te stelen of proberen ze jou te infecteren met een computervirus.
Smishing is vaak gericht op het bankzaken en dat kan zowel via sms of Whatsapp. Het gaat dan vaak om nepberichten van een bank of jouw zoon of dochter die een nieuw nummer heeft. In het bericht vind je dan een link wat leidt naar een nep internetbankieren site. Het invoeren van jouw gegevens kan uiteraard grote gevolgen hebben.
Vishing komt iets minder vaak voor dan de andere twee varianten. Wellicht heb je wel eens een telefoontje ontvangen waarbij iemand aan de andere kant van de lijn aangaf dat jouw computer een probleem heeft, vaak in het Engels, en dat deze persoon jou hierbij kan helpen. Tegenwoordig zien we veel telefoontjes voorbij komen waarbij wordt aangegeven dat “The Department of Justice” jouw BSN nodig heeft.
Deze verschillende varianten gaan we hieronder verder toelichten.
Hoe werken deze verschillende phishing soorten?
Om te kunnen begrijpen hoe phishing werkt, moeten we eigenlijk het perspectief van de aanvaller beter begrijpen. Stel jij bent cybercrimineel en je probeert hier je geld mee te verdienen. Dan is de hoeveelheid geld wat je kan verdienen afhankelijk van hoe succesvol je bent en daarmee ook hoeveel mensen je kan bereiken. En wat is nu net een methode om relatief simpel veel mensen te bereiken? Precies email, sms of Whatsapp. Je kan hier namelijk veel automatiseren en dus schieten met hagel.
De hoeveelheid mensen die vervolgens in jouw bericht trappen is afhankelijk van de kwaliteit van het bericht en de relevantie. Schieten met hagel, maar toch relevant, dat is een uitdaging. Vandaar ook dat veel phishing berichten zijn gefocust op Microsoft, LinkedIn, Facebook en andere bekende merken. Nu is het alleen nog zaak om het bericht zo goed mogelijk na te maken en je hebt een perfect phishing bericht.
Een goed scenario is essentieel voor zowel phishing, smishing als vishing. Een goed scenario maakt een bericht geloofwaardig en vergroot dus de kans van slagen voor de cybercrimineel. Een scenario heeft daarnaast een beperkte houdbaarheid.
Dit is bijvoorbeeld duidelijk te zien bij de smishing variant van kind in nood. Wellicht heb je zelf ook wel eens een WhatsApp bericht als deze ontvangen: jouw zoon of dochter heeft een nieuw nummer en stuurt je een bericht dat hij of zij een beetje krap zit deze maand. Wanneer je in gaat op verhaal komt er uiteindelijk een betaalverzoek en maak je dus eigenlijk geld over aan cybercriminelen. Dit scenario heeft veel publiciteit gehad en het succes voor de cybercriminelen is daardoor voor dit scenario sterk afgenomen. Het zal dus een kwestie van tijd zijn voordat er een nieuw scenario komt wat succesvol gaat zijn.
5 tips om deze soorten phishing te herkennen
Vaak kijken we alleen naar manieren hoe we phishing kunnen herkennen, maar eigenlijk moeten we een stap terug. Om phishing te kunnen herkennen moeten we überhaupt het bericht controleren. Dus alert zijn en je bewust zijn van de mogelijkheid dat het bericht dat je voor je hebt wel eens een phishing bericht kan zijn. Dit betekent uiteraard niet dat je ieder bericht moet controleren, maar een beetje gezonde argwaan kan geen kwaad.
Als je een email hebt waar je over twijfelt, begin dan met het controleren van de afzender. Vaak is dit al een indicator waarmee je veel phishing berichten zal herkennen. Let met name goed op het emailadres. De naam van de afzender kan goed zijn of lijken, maar het daadwerkelijke emailadres is vaak niet het juiste. Bevat jouw bericht een link? Controleer de link dan ook zorgvuldig.
Ga met je muis op de link staan, hoover op de link zoals dit zo mooi heet, dus niet klikken en bekijk wat voor een link hier tevoorschijn komt. Het belangrijkste onderdeel van de link om te controleren is het domein, dit zegt namelijk iets over de betrouwbaarheid. Staat hier bijvoorbeeld microsoft.com of micro-soft.xyz. De eerste is wel juist en eigendom van Microsoft en de tweede niet.
Daarnaast is het ook belangrijk om alert te zijn op bijlage. Cybercriminelen kunnen ook een bijlage gebruiken om jou te phishen. Let bijvoorbeeld goed op met HTM of HTML bestanden. Als je een bestand als een van deze twee opent kan het maar zo zijn dat er een inlogpagina nagemaakt is. Bij het invoeren van jouw wachtwoord geef je dit dus eigenlijk aan de cybercriminelen. Let daarnaast ook op met zip bestanden of andere gecomprimeerde bestandstypen. Vanaf ‘de buitenkant’ kan je namelijk niet zien wat er in dit bestand zit. Ontvang je dus een gecomprimeerd bestand van een onbekende afzender, niet zomaar openen.
Tot slot nog extra aandacht voor QR-codes. Hartstikke handig en makkelijk in gebruik, maar daardoor ook heel handig voor cybercriminelen. We zien ook phishing berichten waarin QR-codes worden gebruikt en er dus een phishing pagina komt nadat de QR-code is gescand. Eigenlijk werkt het een beetje hetzelfde als bij een zip-bestand, je kan vanaf de buitenkant niet zien wat je opent. Controleer de link dus goed en open niet zomaar de pagina.
De meest voorkomende phishing soorten bij organisaties
Op zakelijk gebied zien we veel Microsoft gerelateerde phishing berichten. Voor cybercriminelen is dit natuurlijk een perfect merk om te gebruiken; vrijwel iedereen kent het en gebruikt het, er zijn veel producten en type berichten om te misbruiken en toegang krijgen tot het Microsoft account is een soort van de heilige graal voor cybercriminelen.
Daarnaast zien we geregeld nep betaalverzoeken voorbij komen uit naam van iemand die zich voor doet als een directielid. Dit soort berichten gaan vaak naar de financiële administratie en kunnen soms erg verraderlijk zijn.
Ook nep printjes die klaar staan of zelfs faxberichten zien we nog steeds voorbijkomen. Wees hier dus ook alert op.
De bovenstaande voorbeelden zijn voorbeelden van phishing berichten, dit komt immers het vaakst voor op zakelijk gebied. Dit betekent niet dat vishing en smishing geen risico vormt voor organisaties.
Herken jij een phishingmail?
Nu je weet welke soorten phishing er zijn. Zou jij een phishingmail herkennen? Doe de test en ontdek hoe goed jij bent in het herkennen van oplichters.
Doe de phishing test3 Voorbeelden van de verschillende phishing soorten
Hieronder geven we 3 voorbeelden die passen bij de verschillende soorten phishing: Vishing, Phishing en Smishing. Deze voorbeelden kun je daadwerkelijk als organisatie in je inbox ontvangen.
Microsoft teams phishing:
Vishing:
Vishing is een telefonisch gesprek en dus niet weer te geven in een afbeelding. Wel kan je Vishing vaak herkennen aan buitenlandse telefoonnummer of het onbekend bellen. De regel met vishing blijft altijd: geef nooit persoonlijke informatie via de telefoon door.
Smishing:
Hieronder hebben wij een voorbeeld van smishing nagebootst: “Goedemorgen, via deze weg brengen we je op de hoogte van de inkomstenbelasting 2023. Het bedrag dat openstaat en betaald moet worden in de aankomende maand is: €789,-. Gelieve dit bedrag zo snel mogelijk over te maken anders zullen wij extra kosten in rekening brengen.”
Je kunt het herkennen aan de relevantie je ontvangt het berichtje in maart de tijd voor de belastingaangifte, het bericht is van een voor jouw onbekende afzender, het bedrag moet snel overgemaakt worden anders komen er kosten bij kijken. Op deze manier ben je geneigd om het snel over te maken.
Hoe vergroot je awareness binnen jouw organisatie?
Zo is het voor de gebruikers ook nog eens relevant wat ze aan informatie voorgeschoteld krijgen en voor de beheerders maken we inzichtelijk waar de relevante risico’s zitten.
Bewustwording vergroot je met name door te herhalen. Een goede manier om dit te realiseren is gebruik maken van een security awareness programma met een phishing simulatie. Holmes is zo opgebouwd dat periodiek security onder de aandacht wordt gebracht en ook dat de juiste boodschap bij de juiste doelgroep terecht komt.
Conclusie
Wanneer je jouw medewerkers alerter wil maken voor phishing zal je moeten beginnen met risicoperceptie. Dat beetje argwaan creëren voor inkomende berichten en dat onderbuikgevoel als het bericht een beetje opvallend is. Dit onderdeel is essentieel om kennis te laten beklijven.
Vaak zie je dat het mis gaat bij risicoperceptie. Dit onderdeel wordt overgeslagen en er wordt direct overgegaan op kennis zenden. Dit blijft vervolgens niet hangen en het hele security awareness programma is een mislukking. Holmes is zo ingericht dat beide onderdelen een belangrijk onderdeel vormen van het programma, het een kan niet zonder het ander.
Geschreven door: Dim Gerssen
Door
security professional
