Phishing is niets nieuws en bijna iedereen kent de gevaren ervan. Toch werd in 2021 meer dan 40% van alle Belgen het slachtoffer van phishing. Waarom blijft deze techniek zo succesvol?
Het doel van phishing blijft nog steeds om de slachtoffers te laten klikken op valse links om zich vervolgens te doen inloggen op valse webportalen die bijvoorbeeld lijken op het intranet van hun bedrijf, een online banking platform of sociaalnetwerksite. Zodra het slachtoffer klikt op de valse link, die door de aanvaller is gestuurd, wordt hij omgeleid naar de valse website van de aanvaller. Wanneer het slachtoffer daarop inlogt, geeft hij gevoelige informatie door aan de aanvaller.
Specifieke doelwitten
We merken recent wel een verandering in de methodologie van phishingmails. We merken dat aanvallers vaker senior level of C-level executives als doelwit hebben, dit noemen we whaling. Ook het aantal gevallen van spear phishing kent een stijging. Daarbij sturen aanvallers heel gepersonaliseerde phishingmails uit naar individuen. Vaak zijn financiële profielen, IT security profielen of nieuwe medewerkers het doelwit.
Tegenwoordig is ook de extra beveiligingslaag die veel gebruikers activeren in de vorm van multi factor authentication (MFA) het doelwit van aanvallers. Zo proberen cybercriminelen one-time passwords (eenmalige en tijdsgebonden wachtwoorden die bv. door een verificatie-app worden gegenereerd) te achterhalen door op valse websites een MFA-scherm na te bootsen waar nietsvermoedende gebruikers wordt gevraagd om hun one-time password in te voeren.
Ook zien we aanvallen waar cybercriminelen valse QR-codes aanmaken. Wanneer deze QR-codes gescand worden, krijgen de slachtoffers zogezegd een grote korting voor restaurants, supermarkten of een ander merk aangeboden in ruil voor – uiteraard - een online betaling. Deze betaling gaat logischerwijs dan ook naar de rekening van de aanvaller.
Phishing via tekstberichten of telefonische oproepen
Naast de klassieke phishingmail bestaan er ook andere vormen van phishing. De twee meest voorkomende zijn smishing en vishing. Bij smishing krijgt het slachtoffer een sms, vaak van een bank, koerier of een geliefde die zogezegd van telefoonnummer veranderd is. Meestal bevat de sms ook een valse link. Bij vishing wordt het slachtoffer opgebeld, vaak gaat het om een computerstem die zegt dat er probleem is met je computer of dat je gezocht wordt door de politie. De aanvallers verwachten dat het slachtoffer de instructies van deze stem opvolgt, wat meestal leidt tot het overmaken van geld om 'geholpen te worden'.
Train uw medewerkers
Omdat het phishinglandschap zo snel verandert, blijft phishing de nummer één aanvalsvector. Aanvallers blijven voortdurend nieuwe manieren vinden om het moeilijker te maken om echte en valse berichten van elkaar te onderscheiden. Enkel door de awareness van de eindgebruikers te verhogen en de juiste training kan men phishing proactief bestrijden.
Enkel interessante bronnen die u kunnen helpen om uw medewerkers te trainen, zijn:
- De trainingmodule ‘Kijk waar je naartoe gaat’, het eerste deel van de serie Surfen zonder zorgen, een reeks eenvoudige en toegankelijke online opleidingen over cybersecurity ontwikkeld door het Centrum voor Cybersecurity België (CCB) en de Cyber Security Coalition (CSC).
- De phishingtest op Safeonweb en de bijhorende adviezen.
- De Cyber Security Kit ontwikkeld door het CCB en de CSC, die een aantal handige hulpmiddelen voor kleine en middelgrote organisaties omvat.
- De ‘No Phish’ video’s van Secuso (in het Engels).
Raf Gillisjans studeerde toegepaste computerwetenschappen in Brugge en maakt al bijna twee jaar deel uit van het Security Team bij Belnet. Hij evalueert nieuwe oplossingen om de Belnet-omgeving veiliger te maken en maakt ook deel uit van het Security Awareness Team. Buiten Belnet is hij te vinden in de radiostudio, achter de camera of aan zijn pc terwijl hij een spelletje speelt.