Laat je niet vangen door phishing of spear phishing

20/10/2016

Oktober is European Cyber Security Month. Daarom delen we elke week een tip over cyber security.

Heb je ooit al een mail gekregen waarbij je bankgegevens of paswoord werden opgevraagd?
Of ben je al geconfronteerd met advanced fee fraud? Dat zijn nepmails waarbij je eerst een klein bedrag moet betalen om dan een grote som te ontvangen door het winnen van de loterij of via een erfenis van een verre oom. Dergelijke misleidende mails vallen allemaal onder de noemer phishing.
Bij phishing doen oplichters zich voor als een betrouwbare bron (zoals een bank, een vriend(in) of collega) om zo gevoelige informatie te verkrijgen. Via mail of telefoon proberen ze om kredietkaartgegevens, paswoorden, gebruikersnamen enz. te weten te komen, om deze te misbruiken voor frauduleuze doeleinden of om geld af te troggelen.

Zowel op het werk als thuis communiceren we heel vaak via e-mail. Daarom is e-mail één van de gedroomde doelwitten voor cybercriminelen.
Vroeger waren phishing mails er gemakkelijk uit te halen omdat er hier en daar een foutje in geslopen was, waardoor het opviel dat er iets mis was met de e-mail. Nu gaan oplichters steeds ‘professioneler’ en verfijnder te werk.
We geven een aantal tips hoe je bewust kunt worden van pogingen tot phishing, zowel thuis als op het werk.

We starten met de belangrijkste. Klik niet zomaar op links of bijlagen in een e-mail.
Elke bijlage kan een virus bevatten dat bij het openen wordt geïnstalleerd. Als je twijfelt, neem dan rechtstreeks contact op met de afzender om te luisteren of het bericht wel echt van hem, haar, of het bedrijf in kwestie afkomstig is. Doe dit via telefoon, SMS, of social media, maar niet door te antwoorden op de mail.
Het klikken op een link in een nepmail kan ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd of dat je naar een valse website wordt geleid. Door met je cursor over een link te zweven kan je de volledige domeinnaam zien. Onbetrouwbare links leiden meestal naar een niet-officiële website of maken gebruik van nagebootste domeinnamen. Deze lijken op de echte maar er ontbreekt iets aan of er werd net iets aan toegevoegd.

Bij e-mailadressen is dit ook een vaak gehanteerde techniek. Check dus zeker het e-mailadres van de afzender op spellingsfouten of eigenaardigheden (bijv. een bank zal nooit een e-mail sturen vanuit een Gmail-account).
Ook als het bericht van een betrouwbaar e-mailadres komt, zoals van een vriend(in) of een collega moet je op je hoede zijn. Als hij/zij je onverwachts of met een vreemd verzoek een e-mail stuurt, kan het zijn dat zijn of haar account gehackt is.

Wees alert voor de inhoud van e-mails. In nepmails gebruikt men vaak het verzoek om persoonlijke gegevens te verstrekken of te controleren. Vertrouwelijke informatie wordt door officiële instanties nooit per e-mail opgevraagd. Verstuur identiteitsgegevens, wachtwoorden of pincodes en kaartnummers ook nooit via e-mail.

Kenmerkend voor phishing is dat het meestal ook snel moet gaan, omdat je vriend(in) in nood zit, of omdat je account anders wordt gedesactiveerd, of een zogezegde openstaande betaling zal verder oplopen,..

Het taalgebruik en de vormgeving in de huidige generatie nepmails zijn erop vooruit gegaan. Er staan minder tot geen spelfouten meer in en ook de lay-out ziet er meestal professioneel uit met logo’s die niet van de echte te onderscheiden zijn. Bekijk de e-mail goed en lees deze aandachtig na op onregelmatigheden.

Dit soort cybercriminaliteit vindt meestal op grote schaal plaats en zoals eerder vermeld niet alleen via e-mail, maar ook via telefoon, SMS (smishing), LinkedIn, Voice over IP (vishing), enz.

Een meer doelbewuste vorm van phishing is spear phishing. Dit is heel gerichte phishing, waarbij een bepaalde persoon of een selecte groep personen worden geviseerd. De hackers doen een uitgebreid vooronderzoek, personaliseren de boodschap en zorgen ervoor dat de spear phishing mail heel waarheidsgetrouw overkomt. Dit doen ze door bepaalde informatie te gebruiken die ze vinden op social media. Een voorbeeld hiervan is iemand van de HR-afdeling die een e-mail ontvangt met in bijlage een CV. De e-mail en het CV zien er net als uit alsof deze van een echte sollicitant komen, maar het CV bevat malware bij het openen .

Neem gerust contact op als je meer informatie wenst over hoe je jouw bedrijf kan beschermen tegen phishing of spear phishing.