Wat is phishing?
Een techniek die wordt gebruikt om waardevolle gebruikersgegevens te verkrijgen die door aanvallers kunnen worden verkocht of misbruikt voor kwade doeleinden, zoals afpersing, gelddiefstal of identiteitsdiefstal.
Heeft u ooit een e-mail, sms of andere vorm van elektronische communicatie ontvangen die schijnbaar afkomstig is van een bank of een andere populaire online dienst, waarin u werd gevraagd om uw accountgegevens, een creditcardnummer of andere gevoelige informatie te "bevestigen"? Zo ja, dan weet u al hoe een veelvoorkomende phishingaanval eruitziet.
Oorsprong van de term
Het concept werd voor het eerst beschreven in een conferentiepaper van 1987 door Jerry Felix en Chris Hauck met de titel “System Security: A Hacker’s Perspective” (1987 Interex Proceedings 1:6). Het besprak de techniek waarbij een aanvaller een gerenommeerde entiteit of dienst imiteert. Het woord zelf is een homofoon van “fishing” om doelwitten – omdat het dezelfde “aas-vang”-logica gebruikt. De “ph-” aan het begin verwijst naar “phreaks”, een groep hackers die in de jaren '90 experimenteerden met en illegaal de grenzen van telecommunicatiesystemen verkenden.
Hoe werkt phishing?
Phishing is al jaren een probleem en in die tijd hebben aanvallers een breed scala aan methoden ontwikkeld om slachtoffers te targeten.
De meest voorkomende phishing-techniek is zich voor te doen als een bank of financiële instelling via e-mail, om het slachtoffer te verleiden een nepmail in te vullen - of als bijlage bij het e-mailbericht - of om een webpagina te bezoeken die vraagt om inloggegevens of accountgegevens in te voeren.
Lees meer
Informatie die van de slachtoffers is gestolen, wordt meestal misbruikt om hun bankrekeningen leeg te maken of wordt online verkocht.
Soortgelijke aanvallen kunnen ook worden uitgevoerd via telefoongesprekken (vishing) evenals via SMS-berichten (smishing).
Spearphishing
Een meer geavanceerde phishingmethode waarbij schijnbaar authentieke phishingberichten in de inboxen van specifieke groepen, organisaties of zelfs individuen terechtkomen. Auteurs van spearphishing-e-mails doen gedetailleerd onderzoek naar hun doel(wit) vooraf, waardoor het moeilijk wordt om de inhoud als frauduleus te identificeren.
Whaling
Aanvallen gericht op specifieke, meestal hooggeplaatste bedrijfsleden – zoals topmanagers of eigenaren – worden aangeduid als “whaling”, vanwege de omvang van de potentiële opbrengst (de slechteriken die "de grote vissen" willen vangen).
Hoe phishing te herkennen
In het verleden werden vaak fout gespelde of misleidende domeinnamen voor dit doel gebruikt. Tegenwoordig gebruiken aanvallers meer geavanceerde methoden, waardoor de links en valse pagina's sterk lijken op hun legitieme tegenhangers.
Een e-mail of elektronisch bericht kan officiële logo's of andere tekenen van een gerenommeerde organisatie bevatten en toch van phishers komen. Hieronder staan enkele tips die u kunnen helpen een phishingbericht te herkennen.
Verdachte tekenen
- Algemene of informele begroetingen – Als een bericht personalisering mist (bijvoorbeeld "Beste klant") en formaliteit, dan is er waarschijnlijk iets mis. Dit geldt ook voor pseudo-personalisatie met willekeurige, valse referentienummers.
- Een verzoek om persoonlijke informatie – Vaak gebruikt door phishers, meestal vermeden door banken, financiële instellingen en de meeste online diensten.
- Slechte grammatica – Spelfouten, typfouten en ongebruikelijke formuleringen duiden vaak op fraude (maar het ontbreken van deze elementen is geen bewijs van legitimiteit).
- Onverwachte correspondentie – Ongevraagd contact van een bank of online serviceprovider is zeer ongebruikelijk en daarmee verdacht.
- Een gevoel van urgentie – Phishingberichten proberen vaak een snelle en minder doordachte actie op te wekken.
- Een aanbod dat je niet kunt weigeren? – Als het bericht te mooi klinkt om waar te zijn, is het dat bijna zeker ook.
- Verdachte domeinen – Zou een Amerikaanse of Duitse bank echt een e-mail sturen vanaf een Chinees domein?
Hoe uzelf te beschermen tegen phishing
Om een phishing-aas te vermijden, wees u bewust van de bovenstaande indicatoren waarlangs phishingberichten
zich vaak verraden. Volg deze eenvoudige stappen :
Wees bewust van nieuwe phishing-technieken
Volg de media voor rapporten over phishingaanvallen, aangezien de aanvallers mogelijk nieuwe technieken ontwikkelen om gebruikers in een val te lokken.
Geef uw persoonlijke informatie niet weg
Wees altijd alert als een elektronisch bericht van een schijnbaar betrouwbare entiteit om uw inloggegevens of andere gevoelige details vraagt.
Denk twee keer na voordat je klikt
Als een verdachte boodschap een link of bijlage biedt, klik dan niet en download niet. Dit kan je naar een kwaadaardige website leiden of je apparaat infecteren met malware.
Controleer uw online accounts regelmatig
Zelfs als u niet vermoedt dat iemand probeert uw inloggegevens te stelen, controleer dan uw bank- en andere online accounts op verdachte activiteit. Voor de zekerheid.
Gebruik een betrouwbare anti-phishingoplossing.
Pas deze technieken toe en 'Geniet van veiligere technologie'.
Opmerkelijke voorbeelden
Systeemmatig phishing begon in het America Online (AOL) netwerk in 1995. Om legitieme inloggegevens te stelen, namen aanvallers contact op met slachtoffers via AOL Instant Messenger (AIM), vaak zich voordoend als AOL-medewerkers die de wachtwoorden van gebruikers verifiëren. De term “phishing” dook op in een Usenet-nieuwsgroep die zich richtte op een tool genaamd AOHell die deze methode automatiseerde, en de naam bleef hangen. Nadat AOL in 1997 tegenmaatregelen had geïntroduceerd, realiseerden de aanvallers zich dat ze dezelfde techniek in andere delen van het online domein konden gebruiken – en begonnen ze met het zich voordoen als financiële instellingen.
Andere eerdere voorbeelden
Een van de eerste grote, zij het mislukte, pogingen vond plaats in 2001, waarbij de chaos van de 11 september terreuraanslagen werd uitgebuit. Phishers stuurden e-mails naar enkele van de slachtoffers met het verzoek om een identificatiecontrole, en probeerden de verkregen gegevens te misbruiken om financiële details te stelen van de digitale valuta service e-gold.
Het duurde nog maar drie jaar voor phishing een stevige voet aan de grond kreeg in de online wereld en tegen 2005 had het al meer dan 900 miljoen US dollar gekost voor Amerikaanse gebruikers.
Volgens de APWG Wereldwijde Phishing Enquête, werden er in 2016meer dan 250.000 unieke phishingaanvallen waargenomen, met een record aantal kwaadwillend geregistreerde domeinnamen – dat de 95.000 grens overschreed. In de afgelopen jaren hebben phishers zich voornamelijk gericht op bank-, financiële en gelddiensten, e-commerce klanten en sociale netwerken en e-mail inloggegevens.
ESET beschermt u tegen phishing
ESET HOME Security Premium
Krachtige en eenvoudig te beheren bescherming die oplichting blokkeert, gevoelige gegevens versleutelt en mappen en online transacties beveiligt. Inclusief geïntegreerde VPN voor verbeterde privacy. Beveiligt Windows-, macOS-, Android- en iOS-apparaten.
