Het afgelopen jaar, waarin er voornamelijk vanuit huis werd gewerkt, verschoof ook de criminaliteit van offline naar online. Steeds meer organisaties werden het slachtoffer van ransomware en hacks. Dit komt ook naar voren in de toename in het aantal gemelde datalekken als gevolg van social engineering en dan met name door phishing.

Wat is Phishing

Phishing is een vorm van oplichting waarbij een kwaadwillende zich voordoet als een persoon of organisatie met als doel om (gevoelige) data van personen of organisaties buit te maken of om toegang te krijgen tot een systeem. Jaar op jaar wordt er een toename in het aantal phishingmails geconstateerd en daarnaast worden de mails steeds realistischer waardoor deze soms bijna niet meer van echt te onderscheiden zijn. Kortom, het wordt steeds professioneler.

Phishing kent twee soorten:

Spearphishing is een soort waarbij een kwaadwillende zeer zorgvuldig zijn doelwit uitkiest en informatie over het doelwit verzameld voordat de phishing aanval uitgevoerd wordt. Hiermee richt de kwaadwillende zich op één persoon of afdeling van een organisatie en creëert hij een scenario voor de phishingmail die speciaal gericht is op de organisatie of persoon. Denk hierbij bijvoorbeeld aan CEO-fraude, waarbij een kwaadwillende zich voor doet als de directeur van het bedrijf en een verzoek indient om zo snel mogelijk geld over te maken.

De tweede soort is de algemene phishingmail waarbij er niet direct naar het doelwit wordt gekeken, maar eenzelfde mail naar een grote groep ontvangers wordt verstuurd. Iedereen kent dit soort mails wel van bijvoorbeeld banken, de overheid en webwinkels.

Vormen

Onder deze twee soorten phishing zijn er nog verschillende vormen van phishing, namelijk:

  • Phishing via de mail: de meest bekende vorm van phishing, een mail met een link of bijlage waarbij er inloggegevens worden achterhaald of ransomware wordt gedownload op de computer.
  • Smshing: Phishing via de sms. Hierbij richt de kwaadwillende zich vooral op het achterhalen van inloggegevens of tot het ontvangen van geld.
  • Vhishing: vhishing staat voor voice phishing oftewel het vissen naar gegevens via de telefoon. Hierbij doet een kwaadwillende zich via de telefoon voor als iemand anders en probeert hiermee (gevoelige) informatie over het doelwit te achterhalen.
  • Whatsapp phishing: Deze vorm is steeds meer in opkomst. Nu wordt het vooral gebruikt om particulieren te phishen en geld afhandig te maken door zich voor te doen als een familielid. Er zijn echter ook al gevallen bekend, waarbij de kwaadwillende probeert in app-groepen van organisaties terecht te komen om via deze groepen informatie buit te maken.

Waarom phishing

De reden dat phishing zo populair is komt doordat het succesvol en rendabel is. Mensen maken fouten en zijn manipuleerbaar. Hier maken kwaadwillende maar al te graag misbruik van. Daarnaast is het schaalbaar. Phishingmails kunnen in groten getale tegelijk worden verstuurd naar mensen over de hele wereld. En daar komt nog een belangrijk punt naar voren. Phishingmails versturen kan naar iedereen over de hele wereld, maar een mail kan ook verstuurd worden vanaf elke locatie in de wereld. Kwaadwillende doen dus alles op afstand, omdat het risico hierdoor veel kleiner is om gepakt te worden. Met verschillende technische snufjes kunnen er mails verstuurd worden vanuit Amerika, terwijl de kwaadwillende in werkelijk in Australië zit.

Gevolgen van phishing

De gevolgen van een phishing aanval kunnen verschillen. Kwaadwillende kunnen zich richten op het buit maken van data om deze vervolgens door te verkopen. De data wordt door de kopers weer verder misbruikt. Bijvoorbeeld voor identiteitsfraude of nieuwe phishing aanvallen. Of de focus ligt op het verkrijgen van toegang tot het systeem van het doelwit om vervolgens op zoek gaan in het netwerk van de organisatie naar de meest waardevolle informatie (kroonjuwelen) om deze vervolgens te “gijzelen” middels gijzelsoftware. Hierdoor heeft de organisatie geen toegang meer tot deze informatie, tenzij er betaald wordt. Wat de kwaadwillende ook kiezen voor soort of vorm, de gevolgen voor een organisatie of particulier kunnen gigantisch, en dus niet te overzien, zijn. Naast imagoschade en mogelijk grote financiële gevolgen gaat het vaak om informatie van bijvoorbeeld klanten van de organisatie. Hierdoor kan een aanval niet alleen schade veroorzaken voor de organisatie, maar vertaald dit zich mogelijk door naar de getroffen klanten.

Hoe phishing te voorkomen

100 procent voorkomen dat een organisatie slachtoffer wordt van phishing is een utopie. Wat wel mogelijk is, is om de kans voor het plaatsvinden en de mate van gevolgen te verkleinen. Denk hierbij aan het treffen van organisatorische maatregelen (procedures, richtlijnen processen) en technische maatregelen (multifactor authentication, autorisaties, scheiding van netwerken, spamfilters). Hierdoor wordt het risico en de gevolgen verkleint dat de organisatie slachtoffer wordt van een phishing aanval. Daarnaast is bewustwording een belangrijk onderdeel. Zodra medewerkers zich bewust zijn van phishing en in staat zijn om phishing te herkennen en ze melden dit, dan kan de organisatie hierop handelen. Bewustwording creëren kan op verschillende manieren en het is hierbij belangrijk dat dit op een constante basis gebeurt. De combinatie van de hierboven benoemden zaken (bewustwording, technische en organisatorische maatregelen) maakt jou als organisatie weerbaarder tegen phishing aanvallen.

Wil je meer weten over phishing of hoe je de bewustwording bij je medewerkers kan creëren of vergroten? Download dan onze productsheet of neem contact met ons op via mail@audittrail.nl of 071 – 747 17 17.

 

Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy en GRC. Audittrail ondersteunt organisatie met het opzetten van bewustwordingsprogramma’s en biedt organisatie inzicht in het bewustwordingsniveau van haar medewerker. Ben je geïnteresseerd in hoe jouw organisatie reageert op een phishingmail of heb je vragen naar aanleiding van dit artikel? laat het ons weten via mail@audittrail.nl of via 071 – 747 17 17.