Phishing is een techniek die wordt ingezet door cybercriminelen. Door een website na te bouwen, worden logingegevens achterhaald. Dit kunnen bijvoorbeeld logingegevens zijn van een e-mailaccount, computernetwerk of internetbankieren. Wat vervolgens met deze gegevens wordt gedaan, verschilt per situatie.
Phishing is een social engineering tactiek. Het werkt met websites die lijken op de website van de organisatie die zij nadoen. De cybercriminelen maken deze websites zo goed mogelijk na. De URL van de phishingsite lijkt vaak ook op de echte URL. Er zijn verschillende manier waarop jij naar deze pagina gelokt kan worden:
- E-mail: Dit is de meest voorkomende manier om slachtoffers naar een phishingsite te lokken. In een phishing e-mail wordt vaak gebruik gemaakt van urgentie, tijdsdruk en actuele onderwerpen zoals de coronacrisis. Begin 2021 zijn veel phishing mails verstuurd vanuit PostNL waarin er wordt gesuggereerd dat er nog aanvullende gegevens nodig zijn voordat een pakket kan worden bezorgd. In het bedrijfsleven wordt deze vorm van phishing Business Email Compromise (BEC) genoemd.
- Advertenties: Phishers kunnen advertenties inkopen bij zoekmachines zoals Google of Bing. Veel mensen klikken bij zoekmachines op het bovenste zoekresultaat. Als dit de advertentie van de phisher is, komt iemand onbedoeld terecht op de phishingsite.
- Websites voor tweedehands producten: Phishers kunnen bijvoorbeeld via Marktplaats een link sturen naar een vervalste pagina van Tikkie of een bank om een betaling van 1 cent te vragen.
- Social media: social media kanalen worden gebruikt om persoonlijke gegevens te achterhalen.
- SMS: deze vorm van phishing wordt ook wel “smishing” genoemd. Hierbij wordt een verkorte link in een SMS-bericht gestuurd. Door deze link met een smartphone te openen, kom je op een phishingsite terecht.
Wat doen phishers met mijn gegevens?
Wanneer een cybercrimineel jouw gegevens binnen heeft via een phishing pagina, dan worden deze gebruikt om in te loggen bij de echte website. In het geval van bankgegevens zal de crimineel toegang krijgen tot de bankrekening. Tegenwoordig voegen bedrijven en organisaties extra authenticatie stappen toe om de veiligheid van bijvoorbeeld bankrekeningen te verbeteren. Cybercriminelen evolueren alleen weer heel snel mee en bedenken nieuwe manieren om die authenticatie te omzeilen of te hacken.
Het zijn geen pagina’s meer waar alleen om de gebruikersnaam en wachtwoord wordt gevraagd. Op het moment dat jij jouw gegevens invult op de phishing pagina, dan logt de crimineel direct in bij jouw bank terwijl jij nog bij de phishing site aan het wachten bent. Als er dan om verificatie aan de crimineel wordt gevraagd, dan stuurt hij een berichtje via de phishing site naar jou. Zo krijg jij een bericht dat je je inlog moet verifiëren, bijvoorbeeld via een sms'je.
Hoe zit phishing technisch in elkaar?
Achter een phishing site zit een phishing panel. Dit panel draait op de infrastructuur van de criminelen. Zij kunnen dit panel zelf hosten of het kan een gehackte website zijn. In het panel kan de crimineel alle verzamelde gegevens inzien. Op het moment dat een nieuw persoon zijn of haar gegevens op een phishingsite invult krijgt de aanvaller een pop-up te zien met diezelfde gevoelige informatie.
Vroeger moesten criminelen phishing panels zelf ontwikkelen, maar tegenwoordig kan via de dark net een kant-en-klare phishing kit gekocht worden. Dit kan al voor een paar tientjes. Hierdoor hoeft een crimineel geen ervaren programmeur te zijn. Criminelen kunnen een kit zelf installeren via een stappenplan waarna de phishing site direct actief is.
Waarom komt phishing zo veel voor?
In tegenstelling tot aanvallen met malware zoals ransomware, hoeft een crimineel niet veel technische kennis te hebben om met phishing te starten. Bij een ransomware aanval hackt een crimineel een netwerk en verspreid daarna de malware naar alle computers binnen het netwerk. Ondertussen moet hij onder de radar blijven om niet gedetecteerd te worden met zijn malware, dan moet hij alle computers versleutelen inclusief de back-ups. Dit is slechts een korte omschrijving, maar het is ingewikkeld om een ransomware aanval uit te voeren.
Als je kijkt naar phishing is het voor criminelen een stuk makkelijker. Ze kopen een phishing-kit via het dark net, ze voeren een stappenplan uit en ze manipuleren de facturen. Voor het manipuleren van de facturen hoef je als crimineel niet eens goed Nederlands te spreken.
Klanten van banken zijn al jarenlang het doelwit van phishing. Banken investeren dan ook veel geld en tijd in het voorkomen dat hun klanten slachtoffers worden van deze aanvalsmethode. Voor veel andere organisaties is phishing een minder bekend fenomeen, maar weldegelijk een reële dreiging. Lees in dit blog hoe je jouw organisatie kan wapenen tegen phishing.
Vind je dit een interessant onderwerp? Luister dan onze podcast Sh** ik ben gehackt.. wat nu? Hierin vertelt Dennis van Dijk, CISO van de Gemeente Haarlemmermeer, over de hack die bij hun heeft plaats gevonden met behulp van de phishing tactiek business email compromise. Erik Biemans, hoofd cybersecurity bij Nomios, legt uit hoe wij de gemeente hebben geholpen bij het oplossen van deze hack.
Phishing in cijfers
Belangrijkste bevindingen op basis van een onderzoek onder 7.500 gebruikers en 1.050 security professionals uit het 2024 State of the Phish rapport van Proofpoint.
Oplossingen om phishing aanvallen te voorkomen
Ons team staat voor je klaar
Wil je meer weten over dit onderwerp? Laat een bericht of je nummer achter en we bellen je terug. We helpen je graag verder.
Updates
SOC
Waarom een SOC uitbesteden zinvol is
Uitbesteding aan een SOC biedt gespecialiseerde expertise op het gebied van cybersecurity, continue bewaking en kosteneffectief risicobeheer.
Cybersecurity Artificial Intelligence
AI in cybersecurity: Voordeel of gevaar?
AI speelt een dubbele rol in cybersecurity: het versterkt verdedigingen tegen cyberdreigingen en wordt tegelijkertijd door aanvallers gebruikt om geavanceerde aanvallen te ontwikkelen.
NIS2
NIS2 vraagt van industriële bedrijven grote inspanningen om hun OT-omgevingen te beveiligen: Waar te beginnen?
Duizenden industriële bedrijven krijgen te maken met de implementatie van NIS2, waarbij de uitdagingen per bedrijf sterk verschillen. Wij presenteren je 12 stappen om naleving te bereiken.
Arnaud Masson