Wat is phishing?
Een techniek die wordt gebruikt om waardevolle gegevens te verkrijgen die door de aanvallers kunnen worden verkocht of misbruikt voor bijvoorbeeld afpersing, geld- of identiteitsdiefstal.
Heb je ooit een e-mail, sms'je of bericht ontvangen wat van een bank leek te komen? Of een ander bekend bedrijf dat jou vroeg om je accountgegevens, creditcard nummer of andere gevoelige informatie te "bevestigen"? Als het antwoord hierop 'ja' is, weet je al hoe een algemene phishing-aanval eruit ziet.
Lees meer
Het concept werd voor het eerst genoemd in een artikel van een lezing die werd gehouden door Jerry Felix en Chris Hauck in 1987. Hierin noemden zij het: "Systeembeveiliging: Het Perspectief van een Hacker" (1987 Interex Proceedings 1:6). Hierin werd de techniek uitgelegd waarbij een aanvaller een betrouwbare service nabootste. Het woord zelf wordt vertaald naar "vissen" naar doelwitten. De "ph-" aan het begin van het woord refereert naar “phreaks”, een groep hackers die experimenteerden met- en illegaal grenzen verlegden van telecommunicatiesystemen in de jaren '90.
Hoe werkt phishing?
Phishing is er al jaren en in die tijd hebben aanvallers een groot scala aan methodes ontwikkeld om slachtoffers te maken.
De meest gebruikelijke phishingtechniek is dat er per e-mail wordt gedaan alsof een bank of financiële instelling contact opneemt met het slachtoffer om deze te verleiden tot het invullen van een nepformulier in - of als bijlage bij - het e-mailbericht, of om een webpagina te bezoeken met het verzoek om accountdetails of inloggegevens in te voeren.
Lees meer
Informatie die wordt gestolen van de slachtoffers wordt verkocht, of misbruikt om toegang te krijgen tot bankrekeningen.
Soortgelijke aanvallen kunnen ook worden plaatsvinden via telefoontjes (vishing) en sms-berichten (smishing).
Speervissen
Een meer geavanceerde phishing-methode waarbij schijnbaar authentieke phishingberichten in de inbox van specifieke groepen, organisaties of zelfs individuen terechtkomen. Auteurs van e-mails met spearphishing voeren van tevoren uitgebreid onderzoek uit naar hun doel(en), waardoor het moeilijk is om de inhoud als frauduleus te identificeren.
Aanvallen gericht op specifieke (meestal zakelijke) individuen - zoals topmanagers of CEO's - worden aangeduid als "whaling" (walvisvangst), vanwege de omvang van de mogelijke winst (de slechteriken die "de grote vis" najagen).
Hoe herken je phishing?
In het verleden werden vaak spelfouten of misleidende domeinnamen gebruikt. Tegenwoordig gebruiken aanvallers meer geavanceerde methoden, waardoor de links en neppagina's veel op hun legitieme tegenhangers lijken.
Een e-mail of bericht kan officiële logo's of andere tekens van een gerenommeerde organisatie bevatten en nog steeds afkomstig zijn van phishers. Hieronder volgen enkele hints die je kunnen helpen bij het herkennen van een phishing-bericht.
Lees meer
- Algemene of informele begroetingen - Als een bericht niet persoonlijk aanvoelt (bijvoorbeeld 'Geachte klant'), is er waarschijnlijk iets mis.Hetzelfde geldt voor pseudo-personalisatie door middel van willekeurige, neppe referentienummers.
- Een verzoek om persoonlijke informatie - Veelvuldig gebruikt door phishers. Dit wordt normaliter nooit verzocht door banken, financiële instellingen en de meeste online diensten.
- Slechte grammatica - Spelfouten, typefouten en ongewone zinsopbouw duiden vaak op namaak (maar de afwezigheid hiervan is geen garantie dat het echt is).
- Onverwacht contact - Ongevraagd contact van een bank of online serviceprovider is hoogst ongebruikelijk en dus verdacht.
- Een gevoel van urgentie - Phishing-berichten proberen vaak tot snelle en minder doordachte actie te leiden.
- Een aanbod dat je niet kunt weigeren?- Als het bericht te mooi klinkt om waar te zijn, is dit bijna altijd het geval.
- Verdacht domein - Zou een Amerikaanse of Duitse bank echt een e-mail verzenden vanuit een Chinees domein?
Hoe bescherm je jezelf tegen phishing?
Wees je bewust van bovenstaande indicatoren om geen slachtoffer te worden van phishing. Volg onderstaande stappen:
Houd rekening met nieuwe phishingtechnieken
Volg de media om up-to-date te blijven over phishingaanvallen, want aanvallers kunnen nieuwe technieken bedenken om gebruikers in de val te lokken.
Geef je persoonlijke gegevens niet weg
Wees alert als een bericht van een schijnbaar betrouwbare bron om je inloggegevens of andere gevoelige informatie vraagt. Verifieer indien nodig de inhoud van het bericht met de afzender of de organisatie die zij blijkbaar vertegenwoordigen.
Denk twee keer na voordat je klikt
Als een verdacht bericht een koppeling of bijlage bevat, klik hier niet op. Download dit niet. Als je dit doet, kan dit naar een kwaadwillende website leiden of jouw apparaat met malware infecteren.
Controleer je online accounts regelmatig
Controleer voor de zekerheid je bank- en andere online accounts op verdachte activiteiten, zelfs als je niet vermoedt dat iemand je inloggegevens probeert te stelen.
Gebruik een betrouwbare anti-phishing-oplossing
Pas deze technieken toe en 'Enjoy Safer Technology'.
Noemenswaardige voorbeelden
Het systematisch phishen begon in 1995 in het America Online (AOL) -netwerk. De aanvallers namen contact op met slachtoffers via AOL Instant Messenger (AIM) om accountgegevens te stelen. Ze deden zich vaak voor als AOL-werknemers die gebruikerswachtwoorden controleerden. De term "phishing" verscheen op een Usenet-nieuwsgroep die zich bezighield met een tool genaamd AOHell. De naam bleef hangen. Nadat AOL in 1997 tegenmaatregelen had genomen, realiseerden de aanvallers zich dat ze dezelfde techniek elders in het online domein konden toepassen. Zo ontwikkelden zij zich verder in het imiteren van financiële instellingen.
Lees meer
Een van de eerste grote (mislukte) pogingen vond plaats in 2001, tijdens de chaos van de aanslagen van 11 september. Phishers stuurden e-mails waarbij zogenaamd een ID-controle werd gehouden bij de slachtoffers, waarbij ze de verkregen gegevens probeerden te misbruiken om financiële gegevens te stelen van de digitale valutadienst, het "e-goud".
Drie jaar later kreeg phishing een vaste voet aan de grond in de online wereld en in 2005 verrichtte het bij Amerikaanse gebruikers meer dan $900 miljoen aan schade.
Volgens de APWG Global Phishing Survey werden in 2016 meer dan 250.000 unieke phishing-aanvallen waargenomen, waarbij een recordaantal (meer dan 95.000) kwaadwillige domeinnamen werd gebruikt. De afgelopen jaren zijn phishers geneigd om zich te richten op banken, financiële diensten, e-commerce klanten en sociale netwerk- en e-mailreferenties.
ESET beschermt je tegen phishing
Op beantwoorden de securityexperts van ESET Nederland vragen over online veiligheid. Wil jij weten wat je kunt doen om online veilig te blijven? Bekijk de nieuwste artikelen!
Het bericht Waar moet je op letten bij het kiezen van een VPN? verscheen eerst op Online Veilig.
Het bericht Hoe gehackte YouTube-kanalen scams en malware verspreiden verscheen eerst op Online Veilig.