Phishing: Wat is het & wat kun je doen aan phishing mail?

| Leestijd: 12 minuten
Laatst bewerkt: 3 mei 2024

Phishing

Phishing behoort tot een van de meest gevaarlijke vormen van cybercriminaliteit, omdat het wijdspreid is, moeilijk te ontdekken valt en ernstige financiële schade kan veroorzaken. In deze blog leggen we uit wat phishing precies inhoudt en hoe het functioneert.

Elke maand talloze talloze bedrijven ten prooi aan phishingmails, met alle nadelige gevolgen van dien. Vaak had dit echter voorkomen kunnen worden door middel van security awareness training, externe ondersteuning of regelmatige simulaties van phishingaanvallen. Wij zijn stellig van mening dat iedereen die adequaat is opgeleid, in staat is om phishingmail te identificeren.

Maar hoe herken je nu een phishingmail? Of zorg je ervoor dat je organisatie niet in een phishingmail trapt? Geen zorgen, wij vertellen je de kneepjes van het vak.

Deze afbeelding laat een persoon zien die aan phishing doet. De afbeelding is in illustratie vorm en geeft verschillende vormen van phishing weer.

Wat is phishing precies?

Bij phishing probeert een aanvaller iemand te verleiden om belangrijke informatie door te geven, bijvoorbeeld inloggegevens of creditcardgegevens. Om slachtoffers te laten geloven dat ze te maken hebben met een echt bedrijf, worden er vaak websites en e-mails van bekende bedrijven nagemaakt. Een phishing-aanval wordt vaak uitgevoerd per e-mail waarbij het slachtoffer naar een nepwebsite wordt geleid. Daarnaast zijn er ook andere soorten phishing, zoals via WhatsApp sociaalmedia of sms.

Vaak gaat het dan om een bericht waarbij de oplichter zich voordoet als een vriend, familielid of andere bekende. In dat bericht schrijft de ‘bekende’ dat hij of zij dringend financiële hulp nodig heeft en vraagt je om snel geld over te maken. Achteraf blijkt vaak dat het account van deze vriend is gehackt of dat de oplichter een vals account of een nieuw telefoonnummer gebruikte. De echte bekende in kwestie is zich van geen kwaad bewust. Ondertussen heeft de oplichter wel geld ontvangen van het slachtoffer.

Doe de phishing test!

Voorbeelden van phishing mails

Een veel voorkomende vorm van phishing is het versturen van e-mails die lijken te zijn verstuurd door een pakketbezorgdienst, zoals PostNL of DPD. We ontvangen allemaal wel eens een e-mail van zo’n pakketbezorger met een trackinglink om te controleren wanneer je internetbestelling wordt bezorgd. Criminelen maken hier gebruik van door deze e-mails na te maken met een kwaadaardige link erin. Wie op de link klikt, wordt gevraagd in te loggen om bepaalde informatie te kunnen zien of om bepaalde verzendkosten te betalen. Als je hebt inlogt, ben je een prooi voor de cybercrimineel.

Een phishing mail die gebruikt wordt door cybercriminelen om zo mensen op te lichten. Deze phishingmail is afkomstig van PostNL en draagt een verkeerde URL met zich mee. Personen die in deze mail trappen wordt gevraagd om geld over te maken voor de verzendkosten. Dit is natuurlijk nep want het is een phsihingmail.
Een phishingmail afkomstig van Postnl

Een andere bekende manier van oplichting zijn e-mails die zogenaamd namens het Centraal Justitieel Incassobureau (CJIB) zijn verstuurd. Deze organisatie is vooral bekend om het versturen van verkeersboetes. Oplichters laten je in de e-mail geloven dat je nog een boete open hebt staan. Via de link in de e-mail kun je die direct betalen. Zo lijkt het althans. Wie op de link klikt en inlogt, komt niet echt in de online omgeving van zijn bank maar verstuurt zijn inloggegevens voor zijn bankrekening direct naar de oplichters. Zij kunnen vervolgens eenvoudig je rekening leeghalen.

Deze phishingmail is natuurlijk niet afkomstig van het CJIB maar doet zich wel zo voor. In de mail staat dat je je flitsfoto moet bekijken maar dit is nep. Wanneer je je bekeuring gaat bekijken log je in en heeft de cybercrimineel jouw inloggegevens gestolen.
Een phishingmail afkomstig van het CJIB.

Een ander voorbeeld van phishing is deze mail van Parkmobile. Dit mailtje was afkomstig van Parkmobile of beter gezegd info@parkeren.nl. Kan jij de phishingmail van Parkmobile onderscheiden van de echte? Waaraan is deze phishingmail nu te herkennen:

  1. Het verzendadres: info@parkeren.nl, het échte adres van Parkmobile is noreply@parkmobile.nl.
  2. Je klantnummer staat niet op de factuur, dit doet parkmobile wel.
  3. De tijd dat jij geparkeerd hebt, heb jij deze maand wel voor €18,54 geparkeerd? Of heb je überhaupt deze maand ergens geparkeerd.
  4. Parkmobile schrijft in de meeste gevallen automatisch af en krijg je dus alleen een herinnering als dat in de deze maand niet was gebeurt.
Deze phishingmail doet zich voor als Parkmobile maar is afkomstig van info@parkeren. Dit is dus overduidelijk phishing.
Een phishingmail afkomstig van Parkmobile

Wat is een phishing simulatie?

Een phishing simulatie is een “nep” phishingmail die jij als gebruiker in je inbox krijgt als een daadwerkelijke phishingmail. Een phishing simulatie kan je als organisatie versturen naar je medewerkers om inzicht te krijgen op het security awareness niveau van je organisatie.

Een simulatie phishingmail is vaak moeilijk te onderscheiden van een échte mail. Een simpel streepje in de domeinnaam kan het verschil maken tussen een simulatie en een daadwerkelijke phishingmail. Kijk bijvoorbeeld naar deze mail afkomstig van Exact. Zie jij dat dit een phishing simulatie is?

Een afbeelding van een phishingsimulatie van Exact.
De mail is te herkennen aan het verzendadres: noreply@start-exactonline.nl

Hoe werkt een phishingsimulatie (video)?

5 kenmerken van phishing mail: let hier op

Nu je weet wat phishing is en een aantal voorbeelden hebt gezien van phishing. Is het tijd voor 5 dingen waar jij op moet letten om phishing te voorkomen. De tips die hieronder staan zijn zowel voor organisaties als particulieren interessant om toe te passen.

1. Klopt de afzender?

Vaak is het adres van de afzender een goede aanwijzing of het gaat om een echt bericht of niet. Klopt de domeinnaam waarvan wordt gemaild? Dat is het deel van het mailadres achter de apenstaart, bijvoorbeeld @ing.nl. Een phishingmail die ooit door oplichters namens ‘de ING’ was verstuurd, had als afzender support@ing-groepe.com. In de mail werd gevraagd om gegevens te controleren voordat een bepaalde betaling werd goedgekeurd. De echte ING-bank zou nooit mailen met een mailadres dat eindigt op ‘ing-groepe.com’.

2. Controleer de link in de e-mail

Dit doe je door je muis er overheen te bewegen zonder te klikken. Als het goed is verschijnt onderin beeld de link. Oplichters gebruiken hier ook wel eens een link die begint met ‘bit.ly’. Dat lijkt handig omdat het een kort internetadres is, maar in feite proberen oplichters zo te verhullen dat je wordt gestuurd naar een valse website. Bij twijfel, nooit op de link klikken! Vaak is het veiliger om zelf het internetadres van een bedrijf of organisatie in de browser in te tikken in plaats van te klikken op een link uit een mail.

3. Gebruik je gezonde verstand

Klopt het bericht wel? In phishingmails wordt vaak gevraagd om snel iets te doen. Je moet bijvoorbeeld snel een achterstallige betaling goedkeuren of inloggen om te voorkomen dat je bankpas wordt geblokkeerd. Maar is dat wel zo?

Zo zijn er vaak oplichtersmails verstuurd die zogenaamd van een bank afkomstig waren en waarin je wordt opgeroepen om een nieuwe pas aan te vragen omdat je huidige bankpas bijna verloopt. Als je zo’n mail ontvangt van een bank waar je helemaal geen rekening hebt, dan is het duidelijk een poging tot oplichting.

4. Zet tweestapsverificatie aan

Bij tweestapsverificatie is het invoeren van een gebruikersnaam en wachtwoord niet genoeg om te kunnen inloggen. Je moet daarna bijvoorbeeld nog een cijfercode invullen die je per op je mobiel ontvangt, of die je per e-mail krijgt toegestuurd. Het gebruik van tweestapsverificatie zorgt voor een extra beveiligingslaag. Stel dat je toch een keer in een phishingmail trapt, dan kunnen oplichters nog steeds niet zomaar inloggen met je gebruikersnaam en wachtwoord omdat ze de extra code niet kennen.

5. Gebruik de Holmes Security Coach

Dit is een extra functie die je in je mailprogramma (bijv. Windows Mail of Microsoft Outlook) kunt installeren. De Outlook Security Coach geeft bij elke mail in de inbox aan of het een betrouwbare mail is of niet. Twijfel je alsnog? Dan kun je met één klik op de Life line-knop je mail laten controleren door een phishingexpert van Surelock.

De Outlook Security Coach is hét persoonlijke hulpmiddel tegen phishing waar elke medewerker op zijn of haar manier gebruik van kan maken. En dat 24 uur per dag en 7 dagen per week.

Zoals heel de wereld vooruit gaat met technologie blijven cybrcriminelen op het gebied van hun technologieën natuurlijk ook niet achter. Hieronder geef ik je een aantal voorbeelden van de nieuwste trends in de phishing wereld anno 2024.

  1. Phishing via kunstmatige intelligentie (AI): Phishing aanvallers gebruiken steeds vaker kunstmatige intelligentie en machine learning om aanvallen meer realistisch en overtuigend te maken. Dit kan door bijvoorbeeld Google AI Barth te gebruiken. Je vraagt de AI voor een mail te schrijven die prefect past bij je doelwit.
  2. Phishing via mobiele toepassingen: Mobiele gebruikers zijn een groeiend doelwit voor phishing aanvallen, aangezien steeds meer mensen steeds meer vertrouwen hebben in de beveiliging van mobiele toestellen.
  3. Osint methode gebruiken: Cybercriminelen gebruiken vaker osint om persoonlijke phishing e-mails te versturen. Ze doen dan eerst onderzoek naar het slachtoffer, door bijvoorbeeld je verjaardag op te zoeken via social media.
  4. Phishing via populaire platforms: Phishers richten zich steeds vaker op populaire platformen, zoals sociale media, cloudopslagdiensten en instant messaging-apps. Denk hierbij aan het krijgen van een bericht op Facebook met daarin een malafide link.
  5. Verbeterde social engineering: Phishingaanvallers verbeteren steeds vaker hun social engineering-vaardigheden en -technieken, waaronder het imiteren van bekende bedrijven of instanties, om vertrouwen te winnen en slachtoffers te misleiden.

Het is belangrijk op de hoogte te blijven van deze nieuwste phishing methoden en -trends als organisatie.

Spelfouten in phishingmails

Veel mensen denken dat de spelfouten in phishingmails per ongeluk zijn, dit is echter niet zo. De cybercriminelen maken door gebruik te maken van spellingsfouten onderscheidt in de doelgroep. Iemand die de spelfout herkent gaat gelijk door naar de volgende mail en negeert de phishingmail. Terwijl iemand die minder taalkundig is de phishingmail niet kan herkennen aan de spelfouten en ingaat op de mail.

Zo hebben de cybercriminelen later in het phishing proces ook geen last meer van slimme opmerkingen. Ze maken hun phishing proces dus makkelijker door vooraf onderscheidt te maken in hun doelgroep.

Herken jij een phishingmail?

Nu je weet hoe je phishing kan herkennen en wat de laatste trends zijn anno 2023, is het tijd voor een test. Doe de bot-or-not en test je kennis omtrent het onderwerp phishing.

Doe de phishing test

Hoe herken je phishing-berichten?

Als je de phishingtest (Bot or Not?) hebt gedaan, heb je waarschijnlijk gezien hoe lastig het kan zijn om nepmails te herkennen. Veel phishingmails zijn nauwelijks van echte e-mails te onderscheiden. Dat is niet altijd zo geweest. Een jaar of tien geleden stonden er zoveel taalfouten in e-mails dat het duidelijk niet om een echt bericht kon gaan. Tegenwoordig zijn de e-mails in keurig Nederlands opgesteld en vaak staat zelfs de naam eronder van iemand die ook echt bij die organisatie werkt.

Hoe herken je een phishingmail in 5 stappen?

Er zijn verschillende onderdelen die erop kunnen wijzen dat een e-mail een phishing is. Hier zijn 5 veelvoorkomende kenmerken:

  1. Onbekende afzender: Als de afzender niet bekend is, of als de afzender een verdacht e-mailadres heeft, dan is dit een rode vlag.
  2. Verkeerde URL: Als er een link in de e-mail staat, kun je de echte bestemming controleren door op de link te klikken en de URL in de adresbalk te bekijken. Als de URL niet overeenkomt met de verwachte URL van de website waarnaar je gaat, is het waarschijnlijk een phishing.
  3. Dringend verzoek om gegevens: Cybercriminelen proberen vaak persoonlijke of financiële informatie te stelen. Als de e-mail een dringend verzoek bevat om deze informatie te verstrekken, is het waarschijnlijk een phishingmail.
  4. Spelfouten en slechte grammatica: Phishingmails worden vaak in haast gemaakt en bevatten vaak spelfouten en slechte grammatica.
  5. Verdachte bijlagen: Als de e-mail een bijlage bevat, moet je voorzichtig zijn. Download geen bijlagen van verdachte afzenders of van e-mails die verdachte inhoud bevatten.

Het is belangrijk om op te letten voor deze 5 onderdelen, maar houd er rekening mee dat phishingmails steeds slimmer en specifieker worden. Als je twijfelt over de authenticiteit van een e-mail, is het altijd het beste om deze te verwijderen en te verifiëren via een andere methode, zoals telefonisch contact of door de website handmatig in de browser te bezoeken.

Verifieer een website met de Google proef

Dit is een handige methode voor het controleren van je linkje en ook nog eens heel makkelijk. Je hebt er namelijk alleen de zoekfunctie van Google voor nodig. Wat doe je met de Google proof? Stel je twijfelt over een linkje, kopieer de link en zoek hem op Google. Krijg je precies dezelfde site, is deze hoogst waarschijnlijk veilig, komt de link niet overeen verwijder de mail en de link dan direct.

Voorbeeld: je krijgt de link www.rabo-bank.nl, je vertrouwd het niet omdat er een streepje tussen staat, heel goed. Maar toch wil je het zeker weten, je kopieert de link en plakt hem in Google en ziet ineens dat link niet klopt het is namelijk www.rabobank.nl zonder streepje. Nu weet je dat de link onjuist was en waarschijnlijk ook nog een phishing.

Voorbeeld van de Google proof voor het controleren van phishing

Wat als je op een phishingmail hebt geklikt?

Heb je op een phishingmail geklikt en je gegevens achtergelaten? Neem dan als eerste contact op met de instelling en geef aan wat er gebeurt is. Verander direct het wachtwoord van je account.

Ben je nieuwsgierig of jouw gegevens ergens zijn uitgelekt? Je kunt bij de site Have I been pwnd? 
met je e-mailadres controleren welk account in handen is van hackers.

Zijn er gegevens uitgelekt? Dan is het belangrijk om van dat betreffende account snel je wachtwoord te wijzigen en tweestapsverificatie aan te zetten.

Waar kan ik phishing melden?

Als ontvanger van de phishingmail kun je de organisaties of instellingen die gebruikt worden als afzender helpen. Dit kun je doen door de phishingmail die jij ontvangt door te sturen naar de “echte” afzender. Een phishingmail kan je altijd melden bij de fraude helpdesk.

Controleren of je gephished bent? Doe de hack check.

Voorbeeld van een succesvolle phishingaanval in 2023

Het discussieplatform Reddit is op 5 februari 2023 gehackt. Na een phishingaanval probeerden cybercriminelen toegang te verkrijgen tot het platform, dit met succes. Volgens Reddit is er geen buit gemaakt er zijn namelijk geen persoonsgegevens buitgemaakt.

De aanval vond plaatsen via verschillende mailtjes die de medewerkers ontvingen. Wat voor mailtjes dit waren is niet bekend gemaakt door Reddit. Wel weten we dat er op zijn minst 1 persoon zijn gebruikersnaam en wachtwoord heeft achtergelaten.

Door het stelen van deze data hebben de hackers toegang gekregen tot interne documentatie. Denk hierbij aan interne dashboard of dev-code. Ook kregen de hackers toegang tot een aantal bedrijfscontacten en personeelsgegevens (intern).

Een hack als dit had voorkomen kunnen worden door een effectief security awareness beleid.

De phishing infographic

In deze infographic laten we zien hoe phishing werkt. Dit doen we door aan te geven waar cybercriminelen naar opzoek zijn, wachtwoorden, bank gegevens, identiteit wat samen komt tot los geld. Verder gaan we ook nog in op welke componenten een goede phishingmail heeft. Phishing is de oorzaak van 91% van alle datalekken. Ook geven we je 5 tips om phishing te herkennen.

Geschreven door: Stefan Schepers

 
Delen: Phishing: Wat is het & wat kun je doen aan phishing mail?

Door

- Stefan Schepers
security professional
StefanSchepers

Veel gestelde vragen

Wat is phishing?


Bij phishing probeert een aanvaller iemand te verleiden om belangrijke informatie door te geven, bijvoorbeeld inloggegevens of creditcardgegevens. Om slachtoffers te laten geloven dat ze te maken hebben met een echt bedrijf, worden er vaak websites en e-mails van bekende bedrijven nagemaakt. Een phishing-aanval wordt vaak uitgevoerd per e-mail waarbij het slachtoffer naar een nepwebsite wordt geleid. Maar phishing kan ook plaatsvinden via WhatsApp, sociaalmedia of sms.



Vaak gaat het dan om een bericht waarbij de oplichter zich voordoet als een vriend, familielid of andere bekende. In dat bericht schrijft de ‘bekende’ dat hij of zij dringend financiële hulp nodig heeft en vraagt je om snel geld over te maken. Achteraf blijkt vaak dat het account van deze vriend is gehackt of dat de oplichter een vals account of een nieuw telefoonnummer gebruikte. De echte bekende in kwestie is zich van geen kwaad bewust. Ondertussen heeft de oplichter wel geld ontvangen van het slachtoffer.


Welke bedrijven zijn een potentieel doelwit voor phishing aanvallen?

Elk bedrijf kan een potentieel doelwit zijn voor een phishingaanval, ongeacht of het een eenmanszaak, een mkb of een grote corporate is. Elk bedrijf werkt met gevoelige informatie en data, dit kan van jouzelf zijn, maar ook van anderen, zoals klanten en leveranciers. Hackers, zoals CEO fraudeurs kijken niet naar de omvang van je organisatie, maar naar het gemak waarmee zij binnen kunnen dringen en gevoelige informatie kunnen stelen.

Komt phishing voor in het onderwijs?

Ja, phishing komt voor in het onderwijs. Scholen beschikken over persoonlijke informatie van studenten en medewerkers. Daarom zijn ze een geliefd doelwit voor cybercriminelen. Gelukkig bestaat er goede wet- en regelgeving voor scholen. Sinds de introductie van NIS 2.0 worden scholen uitgerust met robuuste instrumenten en richtlijnen om zich te verdedigen tegen kwaadwillende cyberaanvallen.

Wat is telefoon phishing?

Telefoon phishing, beter bekend als voice phishing, is een vorm van phishing waarbij criminelen door middel van telefoongesprekken mensen proberen op te lichten. Het slachtoffer wordt gevraagd om waardevolle informatie, zoals persoonlijke (bank) gegevens, te delen.

Hoe herken je phishing via Whatsapp?

Whatsapp fraude gebeurt vaak in naam van een familielid, zoals een zoon of dochter. De zogenaamde 'verwant' kondigt aan dat hij/zij een nieuw telefoonnummer heeft. Het gesprek wordt voortgezet en snel schakelen ze over naar actie, namelijk het identificeren van een dringend probleem. Er wordt dringend verzocht om geld over te maken, vaak met enige spoed. Als je probeert de betreffende persoon te bellen ter verificatie, wordt je verteld dat dit niet mogelijk is.

Komt phishing via sms veel voor?

Phishing via sms is een variant dat al jaren wordt gebruikt en is een van de bekendste soorten phishing. Wees altijd alert bij het klikken op links in een sms-bericht. In de meeste gevallen vraagt de cybercrimineel om een bepaald bedrag over te maken. Dit doen ze vaak onder het mom dat ze een familielid zijn en hun telefoon kwijt is geraakt, of namens een financiële instelling.

Bestaan er tools of middelen om mijn bedrijf te beschermen tegen phishing?

Ja, er is een phishing tool waarmee je jouw organisatie kunt beschermen tegen phishing. Zo heeft Surelock in 2017 Holmes ontworpen. Dit is een platform waarop je jouw medewerkers kunt trainen in het herkennen van phishing, ze online trainingen kunt laten volgen en grip kunt krijgen op de menselijke factor binnen je organisatie.

Wat is een phishing simulatie?

Een phishing simulatie is een “fake” phishingmail die bij jou in je mailbox komt als echt. De phishingmails worden vaak periodiek verstuurd waardoor een bedrijf beter inzicht krijgt in het kennisniveau van haar personeel. Een phishing simulatie is vaak niet te onderscheiden van een échte mail. Zie Bijvoorbeeld het Microsoft office template hieronder. Je ziet hier dat de simulatie, precies hetzelfde is als een Office 365 mail echter klopt er iets niet in de link die je opent.

Is phishing malware?

Nee, phishing is geen malware. Wel kun je malware ontvangen via een phishingmail. Dit malware phishing is een vorm van phishing waarbij de cybercriminelen een downloadlink mee sturen met malware.

Hoe phishing verwijderen?

Phishing verwijderen doe je door de mail permanent te verwijderen. Dit doe je door de mail naar je prullenbak in je mailbox te verplaatsen en vervolgens je prullenbak te legen. Let er wel op dat je niet per ongelijk mails verwijdert die je niet wilt verwijderen. Sommige emailproviders laten je mails ook direct permanent verwijderen zo heb je de prullenbak niet nodig.

Wat is het verschil tussen phishing en spear phishing?

Spear phishing is een vorm van phishing. Bij spear phishing richt de cybercrimineel zijn ''speer'' op één slachtoffer. Deze vorm van cybercriminaliteit wordt vaak gebruikt om gegevens te verzamelen, zoals een gebruikersnaam of wachtwoord. Zoals hierboven al is vermeld, is spear phishing bedoeld om één specifiek doelwit aan te vallen. Dit betekent ook dat de hackers meer gerichte phishingaanvallen kunnen uitvoeren. Denk bijvoorbeeld aan een CEO die via e-mail toegang krijgt tot de jaaropgave in Exact.

Hoe weet je of je op een phishing mail hebt geklikt?

Het kan soms moeilijk zijn om direct te weten of je op een phishing-e-mail hebt geklikt, maar als je het niet vertrouwd zijn er verschillende manieren waaraan je kan zien of het een phishing mail is:
1. Klopt de afzender van de email?
2. Bestaat de domeinnaam van de URL?
3. Verwachtte je de email van deze afzender?
Antwoord je op 1 of meer vragen 'nee', dan is de kans groot dat dit een phishing mail is.

Op een phishing mail geklikt maar geen gegevens ingevuld: kan dit kwaad?

Goed dat je geen gegevens hebt ingevoerd! Maar helaas kan het klikken op een phishing mail nog steeds risico's met zich meebrengen.
Ten eerste kan de phishing-website malware proberen te installeren op je computer zonder dat je het merkt.
Daarnaast kunnen cyber criminelen je e-mailadres als actief beschouwen als je hebt geklikt op een phishing-link, hierdoor zullen ze jou mogelijk meer phishing e-mails sturen.
Dus let de volgende keer goed op als je een verdacht mailtje ontvangt.