Phishing

Phishing is een aanval die gebruik maakt van social engineering, waarbij de crimineel zich voordoet als een betrouwbare bron in een poging gevoelige informatie van het slachtoffer te verkrijgen. 

Reading time icon

In 5 minuten te lezen

Reading time icon

In 5 minuten te lezen

Wat is phishing?

Heb je ooit een e-mail, SMS of ander elektronische bericht ontvangen van een bank, of andere populaire online dienst, die je vraagt je accountgegevens, creditcardnummer of andere gevoelige informatie te "bevestigen"? Dan weet je namelijk al hoe een veel voorkomende phishing-aanval er uitziet. Deze techniek wordt gebruikt om waardevolle gebruikersgegevens te verkrijgen die de aanvallers kunnen verkopen of gebruiken voor misdadige doeleinden, zoals afpersing, financiële diefstal of identiteitsdiefstal.

Oorsprong van de term

Het concept 'phishing' werd voor het eerst genoemd in een paper door Jerry Felix en Chris Hauck in 1987: "System Security: A Hacker's Perspective". Zij beschreven de techniek als een aanvaller die zich voordoet als een erkende bron of dienst. Het woord zelf komt van 'fishing' (vissen) naar doelwitten - het gebruikt namelijk dezelfde techniek als vissen. De "ph" aan het begin van het woord refereert aan "phreaks", een groep hackers die illegaal experimenteerde met de grenzen van het telecommunicatiesysteem in de jaren '90.

Phishing image

Hoe werkt phishing?

Phishing bestaat al jaren. In die tijd hebben aanvallers vele methoden ontwikkeld om slachtoffers te maken.

De meest voorkomende phishing-techniek is het zich voordoen als een bank of financiële instantie via e-mail en zo het slachtoffer over te halen om een nep-formulier in te vullen dat is bijgevoegd of in het bericht staat. Een andere techniek is het overhalen van een slachtoffer om naar een webpagina te gaan waar om account- en inloggegevens worden gevraagd.

In het verleden werden verkeerd gespelde of misleidende de domeinnamen hier vaak voor gebruikt. Tegenwoordig maken aanvallers gebruik van geraffineerdere methoden en laten ze de links en nep-pagina's zo veel mogelijk op de echte variant lijken. 

Lees meer

Informatie die gestolen is van slachtoffers wordt vaak online verkocht of misbruikt om zo hun bankrekeningen te legen.

Soortgelijke aanvallen kunnen ook via de telefoon (vishing) of sms-berichten (smishing) gedaan worden. 

Spearphishing

Een geavanceerde phishing-methode waarbij ogenschijnlijk authentieke phishing-berichten naar de inboxen worden gestuurd van specifieke groepen, organisaties of zelfs personen. Auteurs van spearphishing-emails doen van tevoren uitvoerig onderzoek naar hun doelwit(ten) waardoor het lastig is hun content te herkennen als nep.

Aanvallen gericht op specifieke, hoog-geplaatste zakenmensen - zoals executive managers en bedrijfseigenaren - noemt men ook wel "whaling" (vissen naar walvissen) vanwege de grootte van de mogelijke buit. 

Hoe herken je phishing?

Een e-mail of elektronisch bericht kan vaak de officiële logo's en andere tekenen van een erkende organisatie bevatten en nog steeds van phishers komen. Hieronder geven we een paar tips die je helpen phishing te herkennen

Lees meer

  1. Algemene of informele aanhef – Als een bericht niet persoonlijk en/of formeel is (bijv. "Beste klant"), is dit waarschijnlijk een teken dat er iets aan de hand is. Hetzelfde geldt voor pseudo-personalisatie, ofwel het gebruik van willekeurig gegenereerde referentienummers. 
  2. Een verzoek om persoonlijke informatie – Dit wordt vaak gebruikt door phishers, maar meestal vermeden door banken, financiële instanties en de meeste online diensten.
  3. Slechte grammatica – Spel- of typefouten en ongewone zinsopbouw duiden vaak op een nepbericht (maar het gebrek hieraan betekent niet gelijk dat het wel echt is). 
  4. Onverwacht contact – Ongevraagd contact van een bank of online dienst (nieuwsbrieven uitgezonderd) is hoogst ongewoon en dus verdacht. 
  5. Een gevoel van urgentie – Phishing-berichten  messages often try to induce rapid and less-considered action
  6. Te mooi om waar te zijn? – Als het bericht te mooi klinkt om waar te zijn, dan is dat waarschijnlijk zo. 
  7. Verdacht domein – Zou een Nederlandse of Amerikaanse bank een e-mail sturen vanuit een Chinees domein? 

Hoe bescherm je jezelf tegen phishing?

Om phishing te vermijden, let op de volgende indicatoren die vaak de ware aard van een phishingbericht verraden:

Volg deze eenvoudige stappen

  1. Wees bewust van nieuwe phishing-technieken: Volg het nieuws voor verslag over phishing-aanvallen - het is mogelijk dat nieuwe technieken worden bedacht door aanvallers om gebruikers in de val te lokken. 
  2. Bewaak je persoonlijke gegevens: Wees altijd alert als een elektronisch bericht van een schijnbaar betrouwbare organisatie je om persoonlijke of gevoelige gegevens vraagt. Verifieer indien nodig de inhoud van het bericht met de afzender of de organisatie die ze ogenschijnlijk vertegenwoordigen. Doe dit wel via echte contactgegevens en niet via die uit het bericht. 
  3. Denk na voor je klikt: Als een verdacht bericht een link of bijlage bevat, klik er dan niet op en downloadt 't ook niet. Als je dat doet, kun je doorgestuurd worden naar een kwaadaardige website of onbewust je apparaat infecteren met malware.
  4. Controleer regelmatig je online accounts: Zelfs als je niet vermoedt dat iemand je inloggegevens probeert te stelen, is het verstandig - voor het geval dat - je online accounts (zoals die van internetbankieren) te controleren op verdachte activiteiten. 
  5. Gebruik een betrouwbare anti-phishingoplossing. Gebruik deze technieken en 'Enjoy Safer Technology'. 

Meer leren over phishing? Dan kan hier en hier.

History of phishing image

Bekende voorbeelden

Systematische phishing begon in het America Online (AOL) netwerk in 1995. Om legitieme accountgegevens te stelen, contacteerden aanvallers hun slachtoffers via AOL Instant Messenger (AIM). Vaak deden zij zich voor als AOL-werknemers die wachtwoorden van gebruikers moesten verifiëren. De term “phishing” dook op in een nieuwsgroep op Usenet die zich richtte op de tool AOHell, die de methode automatiseerde. Hierna bleef de naam goed hangen. Nadat AOL in 1997 maatregelen trof, realiseerden aanvallers zich dat dezelfde techniek ook in andere delen van de online wereld gebruikt kunnen worden. Zo werd de stap gemaakt om zich voor te doen als financiële instanties

Lees meer

Eén van de eerste grote phishing-pogingen vond plaats in 2001, waarbij werd geprofiteerd van de chaos na de terroristische aanvallen van 9/11. Phishers stuurden e-mails waarin slachtoffers werden gevraagd om hun ID te verifiëren om zo the verkregen data te gebruiken in een poging financiële gegevens te stelen van de digitale valutadienst e-gold Ltd. 

Het duurde slechts drie jaar hierna voordat phishing een vaste voet aan de grond van de online wereld kreeg. Tegen 2005 had het Amerikaanse gebruikers al meer dan $900 miljoen gekost

Volgens de APWG Phishing Activity Trends Report werden er in het tweede kwartaal van 2018 meer dan 260.000 unieke phishing-pogingen gerapporteerd. In de laatste jaren richten phishers zich vaak op inloggegevens van banken, financiële diensten, online winkels, social media en e-mail. 

ESET beschermt je tegen phishing

ESET Smart Security Premium

De ultieme beschermer van je online veiligheid

ESET Smart Security Premium

De ultieme beschermer van je online veiligheid

ESET Smart Security Premium

Ultieme bescherming voor de gebruiker die alles wil.
Jouw online leven eindelijk in veilige handen. 

Free Download