Return to Blog

augustus 07, 2022

Wat is phishing en wat kun je ertegen doen?

By Ariën van Wetten

SaaS Protection - 365 Cyberbeveiliging

Hackers gebruiken heel veel vormen van cyberaanvallen. Het doel is om allerlei soorten informatie te bemachtigen wat ze daarna gaan gebruiken om te chanteren of om het te gelde te maken. Het is cruciaal om je hiertegen te beschermen.

Het is en blijft een kat en muis spelletje: Naarmate de beveiliging tegen cyberaanvallen effectiever worden, worden de hackers ook steeds inventiever om alle beveiligingsmaatregelen slim te omzeilen.

Maar wat is Phishing eigenlijk, en hoe werkt Phishing?

Phishing is een vorm van een social engineering aanval. De aanval is ontworpen om gebruikers te misleiden zodat ze uiteindelijk (in de meeste gevallen natuurlijk onbewust) gevoelige informatie aan de hackers geven. Denk hierbij aan inloggegevens, bankrekeningnummers, of toegang tot een intern IT-systeem. De gebruikers worden vaak geconfronteerd met een e-mail of een sms wat sprekend lijkt op een legitieme instelling, bijvoorbeeld een sms van je bank waarin je gevraagd wordt om in te loggen.

Hoe is Phishing ontstaan?

Weet je nog? In het begin van de jaren negentig had iedereen een zogenaamde inbelverbinding nodig om toegang tot het internet te krijgen. America Online (AOL) was een van de eerste serviceproviders die deze dienst aanbood. Het internet werd al snel heel populair onder bedrijven en particulieren. Deze groeiende populariteit, in combinatie met relatief weinig kennis over het internet, was voor de hackers het signaal om hier misbruik van te maken. De eerste phishing aanvallen zagen het daglicht.

In 1995 werd ‘AOHell’ gemaakt: Software om gebruikerswachtwoorden te stelen en om willekeurige bankrekeningnummers te creëren. Er werden e-mails verzonden uit naam van medewerkers en systeembeheerders van AOL. In die mails werd gevraagd om de inloggegevens als onderdeel van systeemcontroles en audits.

In het begin van de jaren 2000 werd de aandacht van de hackers verlegd naar financiële systemen. Het was al in 2003 dat de hackers massaal begonnen met domeinnamen registreren. Deze domeinnamen waren vaak minieme varianten op bekende domeinnamen zoals die van eBay en PayPal. Een onwetende gebruiker zag vaak het verschil niet. Er werden massale mailing verzonden waarin werd gevraagd op de betreffende site in te loggen om uiteindelijk de creditcard gegevens bij te werken. De gebruiker had meestal niet in de gaten dat ze dat deden op een (in die tijd vaak slecht) gekopieerde versie van de site.

In September 2013 werden met behulp van Cryptolocker-ransomware maar liefst 250.000 computers geïnfecteerd. Dit was de eerste malware die werd verspreid door middel van downloads van geïnfecteerde websites.

De statistieken liegen er niet om: In 2020 werd in de Verenigde Staten op 74% van de organisaties een succesvolle aanval uitgevoerd.

Wij worden, als beveiligings-specialisten, steeds slimmer. Maar ook de hackers staan niet stil: Het bekende kat-en-muis spelletje!

Het is daarom erg belangrijk om op de hoogte te zijn van de verschillende methodes om je uiteindelijk zo efficiënt mogelijk te kunnen wapenen tegen de hackers.

Verschillende vormen van Phishing

Er zijn inmiddels heel veel vormen van Phishing, maar ze hebben allemaal één ding gemeen: De aanvaller probeert het slachtoffer over te halen om persoonlijke en gevoelige informatie te delen. De verschillen zitten in de manier waarop ze dit willen bereiken.

Hierbij een aantal vormen van Phishing:

Spear-Phishing

De hackers doen zich voor als iemand die het slachtoffer heel goed kent. Een goed voorbeeld is een hacker die zich voordoet als CEO van het bedrijf waar het slachtoffer werkt. De hacker vervalst het e-mailadres van de CEO en sturen een mail naar het slachtoffer waarin wordt gezegd dat hun inloggegevens niet werken en vragen om hun inloggegevens te delen.

Vaak gaat dit samen met tijdsdruk om een vorm van urgentie toe te voegen. Denk bijvoorbeeld maar eens aan een persconferentie die op het punt staat om te beginnen, of een bestuursvergadering. Omdat het slachtoffer de CEO kent en ze geen ‘nee’ willen verkopen aan de directeur, worden eventuele rode vlaggen al snel genegeerd.

Vooraf wordt er vaak diepgaand onderzoek gedaan naar de organisatie, de CEO, en natuurlijk. Het slachtoffer. Dit resulteert in een sterk gepersonaliseerde aanval wat de geloofwaardigheid alleen maar groter maakt.

Een mooi voorbeeld uit de praktijk is een Phishing-aanval in 2016 bij de Belgische bank Crelan Bank. Deze aanval heeft de bank maar liefst 75 miljoen dollar gekost.

Massa Phishing

Deze vorm van Phishing is onder hackers erg populair: Er worden zo veel mogelijk berichten verzonden naar (meestal) een willekeurige groep mensen. Het is een beetje zoals ‘schieten met hagel’. Bij deze aanvallen worden vaak bekende merken of organisaties gebruikt om gevoelige informatie te verkrijgen. Er wordt vaak gevraagd om een reset van het wachtwoord of om een controle van de betalingsgegevens.

De schade die dit soort cyberaanvallen veroorzaakt is vaak niet direct duidelijk, omdat er vaak veel tijd verstrijkt tussen de succesvolle aanval en het uiteindelijke gebruik (of verkoop) van de verkregen gegevens door de hacker.

Mobile Phishing

Iedereen heeft een mobiele telefoon en is dus altijd en overal bereikbaar. Hackers maken hier gebruik van door een sms-bericht te sturen met het bericht dat een of andere snelle actie vereist is.

Een slachtoffer kan bijvoorbeeld een sms ontvangen van zijn ‘bank’ met de tekst:

"We hebben ongebruikelijke activiteit op uw bankrekening gedetecteerd. Als u dit niet was, log dan in op uw account en controleer uw transacties."

Deze tekst is bedoeld om direct paniek te veroorzaken zodat het slachtoffer op de link klikt zonder verder na te denken. Door deze link krijgen de hackers toegang tot je mobiel en kunnen ze malware installeren.

Bescherm jezelf tegen Phishing!

Er zijn een aantal belangrijke manieren om jezelf en je organisatie te beschermen tegen Phishing:

  • Regelmatige training van personeel EN klanten
  • Identificeer de psychologische triggers
  • Zorg dat iedereen zich bewust is van de gevaren van Phishing
  • Implementeer anti-phishing software
  • Controleer regelmatig de effectiviteit van de trainingen.

Als je vragen hebt, aarzel dan niet om vrijblijvend contact op te nemen voor een deskundig advies over deze complexe problematiek van Phishing.

Related
SaaS-bescherming: Uw eerste verdedigingslinie tegen cyberbedreigingen
SaaS-bescherming: Uw eerste verdedigingslinie tegen cyberbedreigingen

We zullen bespreken waarom het hebben van een SaaS Back-Up van vitaal belang is als het gaat om het beter beschermen van uw klanten, en tijdens een korte demo zullen we u laten zien hoe u met behulp van Datto SaaS-Protectie uw klanten op een betrouwbare manier kunt beschermen.

 Datto SaaS Protection voor Microsoft Teams
Datto SaaS Protection voor Microsoft Teams

Download dit datasheet om te lezen hoe Datto SaaS Protection zorgt dat de gegevens van Microsoft Teams veilig worden geback-upt en gemakkelijk hersteld kunnen worden.
Want to learn how Datto can help with SaaS Protection - 365?
Learn More

[eBook] Complete bescherming tegen ransomware: detectie, response en herstel

Lees in dit e-book wat een MSP moet weten over een brede aanpak tegen ransomware.

Bekijk de bron
Suggested Next Reads