Hoe Phishing Scams te Herkennen en te Vermijden

In dit moderne tijdperk van globalisering, waar meer dan twee derde van de wereldbevolking toegang heeft tot sms’en, mobiel bellen en e-mail, zou men gemakkelijk kunnen concluderen dat meer dan de helft van de wereldbevolking is blootgesteld aan een poging tot phishing. De gesuggereerde blootstelling komt omdat phishingaanvallen meestal worden uitgevoerd via een van de genoemde media, waarbij e-mails het meest voorkomen. Het uiteindelijke doel van een phishingaanval is om persoonlijke informatie van het slachtoffer te verkrijgen, waarbij bankgegevens de pot met goud zijn. Dit artikel zal je alles vertellen over deze cyberdreiging, en je laten zien hoe je phishing kunt herkennen en voorkomen dat je slachtoffer wordt van phishers.

De Eigenaardige Routekaart van Phishing Scams

Het voornaamste doel van Phishing is om toegang te krijgen tot uw persoonlijke financiële rekeningen. Hoewel oplichters in de loop der jaren zijn geëvolueerd met de tactieken die worden gebruikt om individuen te bedriegen, zijn er echter enkele rode vlaggen die het mogelijk maken om phishing-oproepen, -teksten of -e-mails te onthullen voor wat ze zijn – oplichterij!

• Phishingtelefoontjes, e-mails en sms’jes van schijnbaar betrouwbare organisaties. Heb je ooit een e-mail ontvangen die zogenaamd is verzonden door je ‘account officer’ en waarin wordt gevraagd om persoonlijke gegevens zoals je burgerservicenummer en andere bankgegevens? Het zou je interesseren om te ontdekken dat die berichten en e-mails afkomstig zijn van phishers die zich voordoen als de echte organisaties.  
• Phishing e-mails en sms’jes komen vaak met ongegronde verhalen. De truc van zulke spannende verhalen is om passie op te wekken bij het slachtoffer. Een beroemde phishingaanval waarvan verschillende bankgebruikers het slachtoffer werden, vroeg klanten om ‘alsjeblieft’ hun laatste inloggegevens opnieuw te sturen om de database van de bank bij te werken. Dit verzoek kwam na een verhaal over hoe hackers onlangs de gegevensinfrastructuur van de bank hadden aangevallen.

Een bekender verhaal, en makkelijk om in te trappen, zijn die waarin wordt beweerd dat er verdachte inlogpogingen op je account zijn waargenomen. Vervolgens wordt gebruikers geadviseerd om hun wachtwoord opnieuw in te stellen door enkele persoonlijke gegevens in te vullen, meestal op een nepwebsite die is gecreëerd of de daadwerkelijke website die tijdelijk is gekaapt.

Typisch is dit hoe phishing oplichters slachtoffers hun persoonlijke informatie op een slinkse manier verzamelen:

1. Ze kopen gegevens van je abonnement op online diensten, zoals mobiele nummers of e-mailadressen.
2. Vervolgens creëren ze het lokaas in de vorm van misleidende e-mails, tekst en valse websites om gebruikers ervan te overtuigen dat de berichten afkomstig zijn van organisaties die je kent en vertrouwt.
3. De oplichters sturen de berichten in bulk naar de aanvankelijk gekochte contacten, soms naar duizenden gebruikers tegelijk.
4. De phishers gebruiken de gegevens die ze kunnen verzamelen van onwetende ontvangers van de berichten om ongeautoriseerde aankopen en handelingen te verrichten met de account van het slachtoffer.

Veelvoorkomende soorten phishing en hoe ze te herkennen

Phishing is geenszins beperkt tot de hieronder genoemde voorbeelden, aangezien oplichters voortdurend veranderen in hun tactieken; echter, verslagen van breed gerapporteerde phishingaanvallen zouden ons helpen ze in de volgende categorieën in te delen:

1. SMS-phishing houdt in dat tekstberichten worden doorgestuurd naar mobiele telefoongebruikers, met het verzoek om contact op te nemen met een klantenservicemedewerker, of een organisatie te bezoeken via een link in de tekst. Door op de link te klikken, komen slachtoffers terecht op een inlogpagina of tekst dialoogvenster waar het invoeren van persoonlijke informatie vereist is voordat volledige toegang tot de vermeende website of bron wordt verkregen. Dit type aanval is in opkomst deels omdat fabrikanten van mobiele telefoons zich hebben ingekocht in de internetrevolutie door voornamelijk smartphones te produceren.

Een eenvoudige manier om een SMS-phishingaanval te herkennen is dat het bericht meestal wordt verzonden vanuit vreemde nummers of zelfs komt met slecht geformuleerde teksten.

2. E-mail phishing berichten worden via e-mail naar nietsvermoedende slachtoffers gestuurd. De mails worden meestal als een massaverzending (BCC) naar meerdere e-mailadressen gestuurd, met logo en voetnoten die gestolen zijn van de daadwerkelijke organisatie of persoon die wordt nagebootst. E-mail phishing-aanvallen eindigen zelden met het bericht zelf; ontvangers van het bericht worden vaak doorgestuurd om een populaire website te bezoeken via een tekstlink of om een spam-bijlage die in de e-mail is opgenomen te downloaden. Op de landingspagina van de bijgevoegde link wordt aan slachtoffers gevraagd om persoonlijke informatie in te vullen. De webpagina kan eveneens malware automatisch laten installeren op een computer zodra de webpagina wordt geladen. De geladen phishing-malware verzamelt persoonlijke informatie van de computer, smartphone of het apparaat van het slachtoffer op een van de vele manieren:

• Recording user keystrokes while filling forms
• Assessing user cache and forwarding its contents to the remote assailant

Net als bij SMS-phishing zal een grondige blik op het bron-e-mailadres een ontvanger helpen om kwaadaardige berichten te isoleren en te rapporteren als een phishing-aanval. Bijvoorbeeld, een phisher die Amazon Klantenservice wil imiteren, kan een adres gebruiken zoals – *[email protected]*. Een legitieme e-mail van Amazon zou komen met de domeinnaam van het bedrijf, bijv., *[email protected]*. Bovendien zal geen enkele goed gestructureerde organisatie om uw persoonlijke of financiële gegevens vragen via e-mail.

3. Spear phishing is een meer strategische vorm van oplichting die ook gebruikmaakt van de e-mail zwakke plek. In tegenstelling tot e-mail phishing, waarbij e-mails naar meerdere personen worden verzonden als broadcastberichten, is spear phishing meer gericht. Medewerkers van online dienstverleners of overheidsinstanties die zijn aangemerkt als personen met toegang tot de persoonlijke informatie van meerdere gebruikers, zijn de voornaamste doelwitten van spear phishing.

De e-mail lijkt afkomstig te zijn van een leidinggevende, of de bedrijfsbaas, met het verzoek om toegang tot gebruikersinformatie. In andere gevallen wordt de mail verzonden vanuit duidelijk onbekende bronnen, met een aantrekkelijke kop, boeiend genoeg om de ontvanger het bericht te laten openen. Het bericht is meestal leeg en bevat een bijlage; nieuwsgierigheid zal de ontvanger dan aanzetten om de bijlage te openen en ransomware op de computer te installeren.

Slachtoffers van spear phishing-aanvallen kunnen worden vergeleken met de kop van de spreekwoordelijke Hydra. De gegevens die tijdens dergelijke aanvallen worden verzameld, worden vervolgens gebruikt om een grootschalige inbreuk op gebruikersaccounts die verbonden zijn met de betreffende organisatie uit te voeren.

4. Clone phishing, zoals de naam al doet vermoeden, houdt in dat een slachtoffer een e-mail ontvangt die precies dezelfde inhoud heeft als een die eerder is verzonden door een vertrouwde organisatie; de phisher voegt echter een nietsvermoedende link toe naar een kwaadaardige bijlage of nepwebsite. De enige variatie is dat het bron-e-mailadres licht is aangepast en zeer vergelijkbaar is gemaakt met dat van de oorspronkelijke afzender. Deze tactiek maakt clone phishing het moeilijkst te detecteren type.

5. Whaling phishing is zeer vergelijkbaar met Spear phishing. Het doel is toegang krijgen tot gevoelige of persoonlijke informatie van individuen die zich abonneren op de diensten van een organisatie. Echter, whaling-aanvallen richten zich op de ‘walvissen’ in organisaties – zoals topmanagers en het bestuur.

6. Pop-up phishing is zeer vergelijkbaar met de advertentie pop-ups die je gebruikerservaring onderbreken tijdens het browsen op een gemonetiseerde website. Pop-up phishing komt echter als een waarschuwing, niet als een advertentie; de pop-up waarschuwt de gebruiker voor een niet nader genoemd kwaadaardig document of applicatie dat de computer heeft geïnfecteerd. Vervolgens wordt de optie geboden om een antivirus te downloaden dat de dreiging kosteloos zal elimineren. Het installeren van dergelijke software stelt je computer bloot aan het risico om geïnfecteerd te raken door ongewenste malware; de beweerde dreiging is meestal een hoax.

Bescherm Uzelf Tegen Het Slachtoffer Worden van Phishing

In dit tijdperk van e-commerce, om te voorkomen dat je een slachtoffer wordt of gebruikt wordt als een kanaal om gevoelige gegevens gerelateerd aan je organisatie te onthullen, volgen hieronder waterdichte gidsen om te volgen.

• Back-up maken van je gegevens. Het is essentieel om een kopie van de vitale gegevens op je computer of smartphone op externe media te bewaren. Mocht het gebeuren dat je slachtoffer wordt van een ransomware-aanval, dan is de reservekopie van je documenten veilig op misschien een cloudopslagservice of een extern opslagmedium dat niet is aangesloten op je computernetwerk.
• Maak gebruik van meerfasige gebruikersauthenticatie. Phishers zijn altijd uit op accountgegevens zoals gebruikersnaam en wachtwoord. In situaties waar de tweede fase van authenticatie is ingesteld voor je gevoelige accounts, worden het hebben van je wachtwoord en gebruikersnaam irrelevant. Een uitstekend voorbeeld van authenticatie in meerdere fasen is de bevestigingscode die naar je mobiele contactpersoon wordt gestuurd wanneer je banktransacties uitvoert of inlogt. Een biometrische verificatielaag, zoals een vingerafdruk, oogscan of gezichtsscan, zijn veilige methoden om onze accounts te beveiligen.
• Update apparaten met de nieuwste beveiligingspatches. De belangrijkste computer- en smartphonefabrikanten updaten hun besturingssystemen regelmatig om bugs en mazen in de wet te repareren waardoor phishers zijn geïdentificeerd om aan te vallen. Het updaten van deze apparaten bespaart technologiegebruikers een hoop hoofdpijn op het gebied van beveiliging.
• Vermijd het openen van verdachte berichten. Let op alle genoemde fouten die eigen zijn aan phishingaanvallen. Controleer de inhoud van e-mails zorgvuldig voordat u op links klikt, bijlagen opent of begeleidende formulieren invult. Als je de integriteit van een bewering in een e-mail wilt bevestigen, ga dan rechtstreeks naar de website van het bedrijf in plaats van via een meegeleverde link.

Conclusie

Naarmate de online aanwezigheid van verschillende organisaties en individuele gebruikers groeit, is er een grotere kans dat phishing in omvang en impact zal toenemen. Maar met proactieve voorzorgsmaatregelen, zoals voorgesteld in dit artikel, zouden internetgebruikers in staat moeten zijn om phishers voor te blijven.