Blog De 5 meest voorkomende phishing-methodes
Door Insight Editor / 30 Nov 2020 / Onderwerpen: Personeel
Phishing is vaak in het nieuws en de bijbehorende waarschuwingen zijn overal te vinden. Maar waar hebben we het eigenlijk over? Phishing is niets anders dan het – bijna letterlijk – vissen naar gegevens. Kleine stukjes van de puzzel verzamelen om uiteindelijk uw aanmeldgegevens tot systemen te verkrijgen. Wat zijn vandaag de dag gangbare methoden (meer dan e-mail alleen), hoe herkent u ze en wat kunt u tegen phishing doen? Dit is (bijna) alles wat u moet weten.
Leestijd: 8 minuten
Informatie verzamelen
We schreven het in de introductie al, om digitaal kwaad te kunnen doen hebben cybercriminelen toegang tot systemen nodig. We herkennen grofweg twee werkmethodes die kwaadwillenden gebruiken om aan de benodigde informatie te komen. De eerste is een breed opgezette, vaak wereldwijde campagne. Schieten met een shot hagel en als er maar één iemand is die ‘hapt’, dan is het ‘bingo’. De andere methode is juist schieten met scherp, gericht op een specifiek persoon. Via social engineering verzamelen cybercriminelen veel informatie over de persoon met toegang tot systemen om die persoon vervolgens persoonlijk te benaderen (targeted attack). Dat laatste gaat zo ‘sneaky’ dat het vaak moeilijk is te herkennen.
Phishing methodes
We kennen en herkennen vele phishing-methodes. Bekend en onbekend. In dit blog behandel ik de vijf meest voorkomende phishing-methodes:
- Bellen en post
- WhatsApp/SMS
- Apps
- Digitaal samenwerken/vergaderen
1. Klassiek: de telefoon
De klassieke manier via papieren post en telefoon komt veel voor bij particulieren, minder bij bedrijven en instellingen (maar niet uitgesloten uiteraard). Een zogenaamde medewerker van de bank belt en meldt dat uw pinpas is verlopen. Hij of zij meldt dat een collega van de bank straks langskomt om de pinpas om te ruilen, maar zekerheidshalve heeft de beller nog wel uw pincode nodig …. Of de medewerker (vaak Engelstalig met vreemd buitenlands accent) die belt namens Microsoft-support en meldt dat een belangrijke update nu op uw computer geïnstalleerd moeten worden, anders loopt u gevaar.
Hoe goed de smoezen ook zijn, vaak zijn dergelijke pogingen wel te herkennen en daarmee te blokkeren:
- Er is altijd een vorm van urgentie (als niet – dan ernstig gevolg)
- Ongewoon contact (de bank belt u normaal nooit ….)
- Taalfouten of buitenlands accent
- Vraag naar gevoelige informatie
1 Via social media en mogelijk via bekende verzamelen van persoonlijke informatie teneinde die bij de aanval op de persoon in te zetten om de slagingskans te verhogen.
2. Actueel: e-mail
Valse e-mail is de meest gangbare methode, de vervanger van de klassieke papieren post. Vele recente ransomeware-aanvallen zijn begonnen met phishing e-mails. De redenen liggen voor de hand: eenvoudig te verspreiden, mogelijkheid tot opnemen hyperlinks, moderne communicatiemethode, de ontvanger leest toch maar half de informatie …. Wat geldt voor het herkennen van een poging tot phishing bij klassieke post geldt ook voor de digitale variant, aangevuld met:
- Hyperlinks van populaire afkortingen-aanbieders als bit.ly en goo.gl
- Vreemde of onverwachte bijlagen bij de e-mail
- Bijlagen met vreemde extensies
3. WhatsApp of SMS
Short Message Service met 140 tekens, wie gebruikt het nog? Toch vaker dan u denkt. SMS is nog volop in gebruik voor het melden dat een servicemonteur onderweg is, voor een verificatiecode van uw bank of een zogenaamde token (tweestapverificatie) voor toegang tot IT-systemen. Het zal u dan ook niet verbazen dat via die weg kwaadwillenden proberen u te misbruiken voor toegang tot die systemen.
Erg populair is tegenwoordig de WhatsApp-fraude via een persoonlijke doelgerichte aanval. Via social engineering - denk aan bijvoorbeeld posts op publiekelijk toegankelijke Facebookpagina’s - weet men wie uw dierbaren zijn, hoe zij heten en als uw dierbaren zelf een publieke pagina hebben, ook de naam van hun vriend of vriendin of huisdier. Met die informatie nemen de criminelen via WhatsApp contact op en doen zich voor als ‘de bekende met een nieuw telefoonnummer.’ Vaak wordt gevraagd of u geld over wilt maken, want … en dan komt een uiterst ingewikkeld verhaal. Mocht u het niet 1-2-3 geloven, dan wordt extra argumentatie ingezet, als namen van familieleden, recente gebeurtenissen of andere persoonlijke zaken (“heb je al gehoord wat met oom Piet is gebeurd…..”). Een andere populaire route is via Marktplaats, waar iemand maar al te graag de vraagprijs betaalt, via WhatsApp wat af wil spreken, per ongeluk uw nummer heeft gebruikt en of jij dan even ‘de code’ door wilt geven. Met die code kan de crimineel uw WhatsApp overnemen en zo contacten benaderen voor de hierboven beschreven methode van oplichting. Met het beschrijven van deze methodes weet u direct hoe u deze kunt herkennen. Wilt u nog meer tips, kijk dan op de websites van de Overheid of Fraudehelpdesk.
4. Moderne Apps
Wie leest er de kleine lettertjes? Bijna niemand. Bij het installeren van een app op telefoon of tablet klikt u al snel op ‘Accepteren’ (de voorwaarden) en installeren. Dat is precies de reden waarom cybercriminelen tegenwoordige kleine, maar oh-zo-praktische apps bouwen en publiceren. Ogenschijnlijk kunt u bijna niet zonder die app en als gebruiker krijgt u veel voor gratis. Daarom is het voor de criminelen zo aantrekkelijk; u installeert toch wel. Maar daarmee geeft u wel toestemming om bijvoorbeeld microfoon en camera open te zetten. Of u staat toe dat bepaalde data die u in de cloud heeft staan ook toegankelijk wordt voor de maker van de app. Met al die verzamelde informatie kunnen de cybercriminelen een gerichte aanval uitvoeren op u of uw directe collega’s. Een concreet voorbeeld is een nep-app gericht op IT-beheerders die voor hen bepaalde beheertaken veel eenvoudiger maakt. Die IT-beheerders hebben meestal toegangsrechten op hoog niveau (admin rights), waardoor een crimineel direct binnenkomt in het hart van de digitale organisatie. Ons advies: wanneer een app iets beloofd te doen wat eigenlijk te mooi is om waar te zijn, dan is dat het ook. Lees altijd de voorwaarden en klik nooit zomaar op ‘accepteren en installeren.’
5. Digitaal samenwerken
Zeker in deze tijden waarin veel mensen vanaf huis digitaal samenwerken verleggen cybercriminelen hun phishing-activiteiten naar Teams en Zoom (als voorbeeld). Voor veel medewerkers is het digitaal werken nieuw, of op zijn minst niet gangbaar. De gebruikte technologie is ook nieuw en daarmee zijn medewerkers sneller geneigd om op iets te klikken (“Zal wel zo horen ...”). Een concreet praktijkvoorbeeld dat u direct praktische informatie geeft over waar u op moet letten.
Via uw profiel op LinkedIn hebben cybercriminelen achterhaalt bij welk bedrijf u werkt. Zij kennen uw e-mailadres van uw werk dat u gebruikt en ze kennen de namen van enkele collega’s. Een kwaadwillende stuurt u een e-mail die lijkt af te komen van een bekende collega. In die e-mail staat een link naar ‘het document dat hoort bij de Teams-meeting van afgelopen week’. Omdat u vaker online vergaderingen heeft, Teams volop in gebruik is en de link naar het document – op zijn zachts gezegd – niet te herkennen is als ‘vals’, trapt u er zomaar in. Voorbeeld van zo’n weergegeven hyperlink:
Weet u waar deze link daadwerkelijk uitkomt en welke snode applicatie automatisch gestart wordt?
Proef op de som
Hoe u voorkomt dat u slachtoffer wordt van phishing is bij de voorbeelden grotendeels al beschreven. Ook online is voldoende te vinden. Daarnaast is het slim om technische maatregelen te nemen om phishing e-mails vroegtijdig te signaleren en te isoleren zodat deze niet bij de gebruiker komen. Maar als dat toch gebeurt…
De mens is vaak de zwakke schakel. Informatie verstrekken (zoals ik nu doe in dit blog) helpt. Medewerkers trainen helpt ook. Wat écht goed helpt is medewerkers er ‘een keer’ te laten intrappen. Uiteraard niet in een echt bericht, maar een bericht vanuit een gesimuleerde aanval. Organisaties die gebruik maken van Microsoft Defender for Office 365 kunnen daarvoor de Attack Simulator inzetten. Neem de proef op de som en ga gerust met medewerkers die ‘erin trappen’ het positieve gesprek aan om hen meer te leren over de digitale gevaren en hoe die te herkennen.
Gelaagde beveiliging
Hoe goed u de zaken technisch en met uw medewerkers ook voor elkaar heeft, helemaal voorkomen kunt u niet. Cybercriminelen verzinnen steeds weer nieuwe, innovatieve methoden om stukjes van de puzzel te bemachtigen. De tegenmaatregelen volgen pas later. Het is een soort kat-en-muis-spel. Dit betekent dat u er goed aan doet om een gelaagde beveiliging in te zetten. Tegenhouden van berichten, gevolgd door het detecteren en tegenhouden van bepaald internetverkeer. Afgesloten met het op de achtergrond blokkeren van verdachte kopieer-acties van informatie. Precies daarvoor heeft Insight het 3-laags security model bedacht. Neem gerust contact met mij op voor meer informatie. Bellen met uw Insight-accountmanager mag natuurlijk ook.
Rogier Dijkman
Senior Consultant Cloud & Datacenter Transformation.
