Smartlockr Blog: E-mail- en databeveiliging

Wat is phishing en hoe herken én voorkom je het?

Geschreven door Elin Jansson | 7-3-23 15:41

Phishing is een vorm van online oplichting, meestal via email. Het doel van phishing is om toegang te krijgen tot gevoelige informatie of geld. De oplichters doen dit door zich voor te doen als een voor jou bekende afzender. Bijvoorbeeld je baas, je bank, pakketbezorgers of iemand uit je omgeving.

Phishing bestaat al heel lang en het bekendste voorbeeld is waarschijnlijk de 'Nigeriaanse prins' uit de jaren negentig. Sindsdien is deze vorm van fraude steeds professioneler geworden. Daardoor kan het soms vrij lastig kan zijn een phishing-aanval te herkennen. In een gemiddelde phishing-e-mail worden persoonlijke gegevens of een betaling gevraagd. Ook kan er een link of bestand met malware in de mail zitten.

 

Een paar voorbeelden van phishing

- De afzender doet zich voor als een logistiek bedrijf (zoals DHL of UPS). Het bericht meldt dat ze je pakje niet kunnen leveren. Je wordt gevraagd je leveringsgegevens bij te werken door op een link te klikken.

- De afzender zegt je bank te zijn en vraagt je om met spoed je inloggegevens voor internetbankieren bij te werken.

- De afzender beweert Paypal te zijn en zegt dat je je creditcard-gegevens moet bijwerken.

Phishing is een vorm van fraude waarbij iemand toegang krijgt tot gevoelige informatie of geld van een persoon of bedrijf.

Er zijn 5 fouten die veel organisaties maken waardoor ze extra kwetsbaar zijn voor phishing. Lees hier verder om te zien welke fouten.

 

Verschillende soorten phishing

Phishing komt voor in verschillende vormen. Met het handige overzicht hieronder kun je voortaan alle vormen van phishing herkennen. Daarnaast hebben we een aantal handige tips waarmee je een phishingpoging kunt herkennen en dus ook voorkomen.

 

Welke verschillende vormen van phishing zijn er?

 

Wat is spear phishing?

Spear phishing is een phishingaanval die is gericht op één persoon of een hele kleine specifieke groep mensen. Het slachtoffer is meestal een belangrijke medewerkers binnen een bedrijf, zoals iemand van de financiële afdeling, de personeelsmanager of een IT-medewerker.

Om deze mensen om de tuin te leiden, doet de aanvaller zich voor als iemand met een hooggeplaatste functie in het bedrijf, zoals een CEO of de directe manager van het slachtoffer. Vaak wordt er ook gedaan of er iets met spoed moet worden opgepakt. Het ideale recept om iemand in een onoplettend moment te misleiden.

 

Spear phishing vs phishing

Het verschil tussen spear phishing en klassieke phishing heeft te maken met het totaal aantal ontvangers. Gewone phishing e-mails worden verzonden naar een enorme aantallen mensen. De aanvallers schieten met hagel in de hoop net die ene persoon te treffen die erin trapt. Spear phishing is veel persoonlijker. Het slachtoffer zelfs met naam en toenaam aangesproken waardoor het veel echter lijkt.


Bij spear phishing wordt een individu of een hele kleine groep personen gericht benaderd.

Een variant op spear phising is 'whaling'. Deze vorm van spear phishing is nog specifieker en is vaak gericht op de CEO of het management van een bedrijf. Omdat dit letterlijk de grote vissen zin wordt dit whaling (walvissen) genoemd.

 

Wat is smishing?

Smishing is de afkorting van SMS-phishing. En de naam verraadt het al, smishing is phishing via sms. Ook bij het versturen van tekstberichten via sms is het doel van smishing hetzelfde; toegang te krijgen tot persoonlijke gegevens of geld. Internet was oorspronkelijk het exclusieve terein voor phishing, maar andere vormen, zoals sms-berichten en telefoongesprekken komen steeds vaker voor. (Later meer over telefonische phishing).

Net als bij traditionele phishing doet de aanvaller zich voor als een vertrouwde afzender, zoals je bank, je baas, de belastingdienst, noem maar op. En omdat je direct op je mobiele nummer benaderd wordt, voelt deze vorm van phishing heel persoonlijk en daardoor kun je er eerder intrappen.

 

Een paar voorbeelden van smishing

  • "Er zijn verdachte activiteiten of inlogpogingen ontdekt op uw rekening."
  • "Er is een probleem met uw rekening of betalingsgegevens."
  • "U moet persoonlijke informatie bevestigen."
  • "U moet een betaling uitvoeren. Klik op deze link om dat meteen te doen."
  • "U heeft een kortingscode of coupon ontvangen. Klik hier om deze te claimen."
  • "U heeft een prijs gewonnen! Claim deze nu voor het te laat is."

 

Wat is vishing?

Bij vishing proberen oplichters je telefonisch persoonlijke informatie te ontfutselen. Dit gaat vaak om je rekeningnummer, inloggegevens of andere persoonlijke informatie zijn.

Vishing staat voor voice phishing. Deze vorm van phishing is moeilijk te herkennen omdat het lastig is de identiteit van je degene aan de andere kant van de lijn te verifiëren. Als iemand zegt namens je bank te bellen denk je niet meteen dat dat misschien helemaal niet zo is.

 

Voorbeelden van vishing:

- De beller zegt dat hij namens je bank belt om je te informeren dat er een probleem is met je bankrekening, creditcard of een betaling.

- De beller doet zich voor als een overheidsinstelling, zoals de belastingdienst en zegt dat je enkele persoonlijke gegevens moet bevestigen.

- De aanvaller stelt zich voor als de klantenservice van een bekend bedrijf en heeft uw gegevens nodig om een factuur te betalen.


Vishing is extra lastig te herkennen omdat het moeilijk is om de identiteit van de beller te controleren.

 

Waarom is phishing zo effectief?

De meeste mensen herkennen een klassieke phishing-poging inmiddels wel. En niet klikken op onbekende links is eigenlijk het eerste wat je leert over cyberveiligheid. Net als dat je niet hetzelfde wachtwoord moet gebruiken voor alle accounts die je hebt. Maar toch levert phishing criminelen nog genoeg op om er mee door te blijven gaan.

Phishing en smishing zijn namelijk nog steeds erg zo succesvol. De reden daarvoor is dat er gewoon enorm veel van wordt verzonden. Wereldwijd worden er elke dag meer dan 3 miljard phishing-mails verstuurd. Slechts een fractie daarvan hoeft te werken om voor de aanvallers winstgevend te zijn.

Spear phishing en vishing zijn gebaseerd op de overtuigingskracht van de oplichters. De kans is groter dat het slachtoffer doet wat hem gevraagd wordt, als hij denkt dat hij praat met een bekende of een merk dat hij vertrouwt.

Sommige bedrijven en organisaties zijn extra kwetsbaar voor phishing. Lees de blog om te zien welke.

 

Hoe voorkom je dat je slachtoffer wordt van phishing?

De eerste stap in het voorkomen van phishing is dat je bewust bent van de risico's en dat je phishing herkent. En dat is eigenlijk verrassend eenvoudig: Blijf altijd kritisch als iemand je vraagt om een betaling te doen of om persoonlijke informatie te geven. Twijfel je? Sluit de email, hang de telefoon op of klik het SMS'je weg en neem zelf contact op met de afzender. Bekijk de zes tips hieronder waarmee je een poging tot phishing per e-mail makkelijk herkent.

6 tips om een phishing e-mail te herkennen

  1. Het e-mailadres komt niet overeen met de afzender. Je hebt bijvoorbeeld een bericht van DHL ontvangen, maar het e-mailadres is 'dfg123@gmail.com'.
  2. Je wordt gevraagd iets dringend te doen.
  3. Je wordt gevraagd persoonlijke of gevoelige informatie te verstrekken of een betaling te verrichten.
  4. In het bericht staan veel spel- en grammaticafouten.
  5. De domeinnaam klopt niet of lijkt niet officieel (er zijn extra cijfers of letters toegevoegd). Je hebt bijvoorbeeld een e-mail ontvangen van customerservice@paypal1.com.
  6. Pas op met klikken op links en bijlagen. Door met je muis over een link te gaan (zonder erop te klikken) kun je zien waar deze naartoe leidt. Ziet het er verdacht uit? Klik niet en waarschuw als het op je werk is je CISO of de IT-afdeling. 

Phishing bestrijden met slimme software

Wil je de beste bescherming tegen phishing? Met veilige e-mailsoftware zoals Smartlockr is het veel moeilijker voor phishers om je te pakken te krijgen. Zo krijg je een melding als je een e-mail wil verzenden buiten je eigen organisatie. Ook kun je gevraagd worden de ontvangers en alle bestanden te bevestigen voor je een email met gevoelige gegevens verstuurt. Dankzij die extra stap ben je extra waakzaam als je een verdacht bericht ontvangt.