Phishing 101: Het grote Phishing woordenboek voor doelwitten

Phishing 101: Het grote Phishing woordenboek voor doelwitten

In de serie Phishing 101 gaan wij dieper in op het phishing probleem waar steeds meer mensen mee te maken krijgen. Aanvallers worden steeds creatiever en beter in het misleiden van nietsvermoedende slachtoffers en bedrijven. In deze serie proberen wij u meer inzicht te geven in de werkwijze van de oplichters en zo (hopelijk) te zorgen voor minder slachtoffers!

In dit eerste artikel uit de reeks zullen we u bekend maken met het idee achter phishing en de verschillende manieren waarop dit voorkomt. Stap één naar een betere beveiliging is namelijk bewustwording.

Wat is phishing?

Phishing is een vorm van internetoplichting en fraude. Het woord phishing komt van het Engelse woord Fishing (vissen) en doelt op het hengelen van oplichters naar privégegevens en geldzaken. Bij generieke phishing mails wordt er een mailtje opgesteld namens bijvoorbeeld een bank. In deze mailtjes wordt een poging gedaan om de ontvanger in te laten loggen op hun persoonlijke account via de bijgevoegde link. De website waar de ontvanger dan op terecht komt is vaak een nagemaakte variant van de originele website (soms nauwelijks te onderscheiden). Door op de nep-site gegevens achter te laten krijgt de oplichter de login/creditcard gegevens in handen, met alle gevolgen van dien.

De terminologie van phishing-land

Er zijn verschillende soorten phishing aanvallen en termen waar u mee in aanraking kunt komen. In het onderstaande lijstje leggen wij u de belangrijkste termen verder uit.

1. (Standaard) Phishing

Het eerdere voorbeeld met de nepmails namens een bank kan beschouwd worden als “standaard” phishing. Deze mailtjes worden vaak naar veel mensen tegelijk verstuurd in de hoop dat er een paar slachtoffers aan de haak geslagen worden. 

2. Smishing 

Smishing of SMS-phishing is een vorm van Phishing waarbij de oplichter persoonlijke informatie probeert te verkrijgen via SMS-berichten met misleidende informatie.

3. Vishing

Bij Vishing of Voice Phishing creëert de oplichter een automatisch system van spraakberichten om via telefoontjes naar de persoonlijke gegevens van gebruikers te vragen. Tegenwoordig worden Vishing aanvallen steeds moderner. Technologische ontwikkelingen zorgen ervoor dat oplichters stemmen kunnen nabootsen van bijvoorbeeld CEO’s om zo bedrijven op te lichten. 

4. Spear Phishing

Spear phishing is een vorm van phishing waarbij de oplichter het gemunt heeft op een specifieke individu of organisatie. Bij spear phishing wordt gebruik gemaakt van de informatie die de oplichter reeds beschikbaar heeft om zich voor te doen als een vertrouwelijke bron. Bijvoorbeeld door zich voor te doen als een belangrijke klant of manager.

5. Business Email Compromise (BEC)

Bij business email compromise is de oplichter in staat om zich voor te doen als bijvoorbeeld de CEO of een manager door zijn/haar emailadres over te nemen of na te bootsen. Bij verkeerde mail instellingen kan het soms al heel makkelijk zijn om bijvoorbeeld mail te sturen via [email protected] zonder dat het bij bedrijf-x in de spam terecht komt.

6. Whaling

Een vorm van phishing waarbij de oplichter zich specifiek focust op high-profile doelwitten. Hierbij kan gedacht worden aan de CEO of CFO van een bedrijf. Vaak is het doel van whaling om het doelwit een grote transactie goed te laten keuren. Daarnaast hebben de mensen met een hoge positie binnen een bedrijf vaak ook meer toegang hebben tot gevoelige informatie. Een oplichter steekt meestal meer tijd in een whaling aanval ten opzichte van een doorsnee phishing aanval. Hierdoor wordt het soms moeilijker om de aanval te herkennen.

7. Clone Phishing

Een clone phishing aanval is een vorm van phishing waarbij er een eerder verstuurde en legitieme mail door een oplichter wordt gebruikt om een nieuwe mail te versturen. In de mail worden bijvoorbeeld bijlagen veranderd naar geïnfecteerde bestanden en wordt er gedaan alsof het een update/bijgewerkte versie is. Over het algemeen is de ontvanger bij deze aanval al een keer eerder gehacked waardoor de oplichter toegang had tot de oorspronkelijke mail. 

8. CEO-fraude

Een van de door de FBI vastgestelde vormen van Business Email Compromise is de CEO-fraude. Een oplichter doet zich voor als de CEO van een bedrijf en verstuurt uit zijn naam een mail naar de financiële afdeling met de vraag of ze een bepaald bedrag willen overmaken naar een (vaak) buitenlandse rekening. Er wordt door de oplichter vaak een gevoel van urgentie opgewekt door middel van het taalgebruik en de toon van de mail. Soms volgen er zelfs telefoontjes om het urgentiegevoel verder te verhogen.

In de komende artikelen zullen we verder in gaan op het herkennen en tegenhouden van phishing aanvallen. Door bekend te raken met bovenstaande termen en bewust met mails om te gaan kunnen er al een hoop problemen worden voorkomen. Heb je vragen of mis je zaken in dit artikel? Laat het gerust even weten via onze social media kanalen!