Phishing is een cyberaanvalstechniek waarbij aanvallers misleidende berichten sturen om gevoelige informatie van een doelwit te verkrijgen, zoals wachtwoorden of bankgegevens, of om hen aan te zetten tot acties die hun veiligheid compromitteren, zoals het downloaden van malware. Phishing maakt gebruik van social engineering, een strategie waarbij mensen gemanipuleerd worden door hen voor te liegen of te misleiden.
Het is een van de oudste en meest gebruikte vormen van cybercriminaliteit, en ondanks de voortdurende ontwikkelingen op het gebied van cyberbeveiliging, blijft phishing een groot probleem. Volgens een rapport van SlashNext werden er in 2023 dagelijks gemiddeld 31.000 phishing-aanvallen verstuurd. Dit kan bedrijven miljoenen kosten; een studie van IBM schatte dat organisaties gemiddeld 4,91 miljoen dollar uitgaven aan phishing-gerelateerde datalekken in 2021.
In deze blog gaan we dieper in op wat phishing is, de verschillende soorten phishing-aanvallen, voorbeelden uit het verleden, en hoe je jezelf kunt beschermen tegen deze digitale plaag.
Hoe phishing werkt
De kern van phishing is bedrog: de aanvaller doet zich voor als een betrouwbare bron om een doelwit te misleiden. De meest voorkomende vorm van phishing is via e-mail, waarbij de aanvaller zich voordoet als een bank, collega, vriend, of IT-afdeling van een bedrijf. Dit e-mailbericht bevat meestal een verzoek om gevoelige informatie, zoals inloggegevens, of moedigt het doelwit aan om op een link te klikken of een bijlage te openen. Deze acties leiden vaak tot toegang tot vertrouwelijke accounts of het downloaden van kwaadaardige software.
Phishing-berichten lijken vaak legitiem door het gebruik van officiële logo’s, lettertypes en stijlen die overeenkomen met de echte organisaties die ze imiteren. Hackers maken vaak gebruik van link-verkortingsdiensten zoals Bitly om de werkelijke URL’s van schadelijke links te verbergen. Daarnaast worden technieken zoals e-mailspoofing gebruikt om e-mails te versturen vanaf adressen die sterk lijken op die van echte bedrijven. Bijvoorbeeld, een aanvaller kan een e-mail sturen vanaf een domein als “elecktron.com” in plaats van het legitieme “electron.com.”
Veelvoorkomende phishingtechnieken
Phishing valt uiteen in verschillende methoden en technieken, die steeds geavanceerder worden. Volgens Cloudflare werden de volgende technieken het vaakst gebruikt in 2023:
- Kwaadaardige link: 35,6%
- Identiteitsvervalsing: 14,2%
- Inloggegevensverzamelaar: 5,9%
- Merkimitatie: 5,4% (Microsoft was het meest geïmiteerde merk)
- Kwaadaardige bijlage: 1,9%
Hackers hebben toegang tot kant-en-klare phishingkits op het dark web, waarmee ze snel aanvallen kunnen opzetten. Deze kits bevatten vaak gekloonde versies van populaire websites en valse inlogpagina’s die bedoeld zijn om gevoelige informatie te verzamelen.
De geschiedenis van phishing
Phishing bestaat al sinds de vroege jaren 90, toen aanvallers nepgebruikersnamen gebruikten om via AOL Instant Messenger gevoelige informatie te verzamelen. De term “phishing” is waarschijnlijk afgeleid van het woord “fishing”, wat past bij het beeld van cybercriminelen die op zoek gaan naar slachtoffers ‘ <>< ‘ (wat lijkt op een vis). De “ph” is een knipoog naar de hackertraditie van grappige spellingswijzigingen en is mogelijk beïnvloed door de term “phreaking”, een vorm van telefoonhacken.
Een van de eerste grootschalige phishingaanvallen vond plaats in 2000, toen de “ILOVEYOU”-e-mail wereldwijd miljoenen mensen ertoe bracht een bijlage te openen die besmet was met een gevaarlijke computervirus. In de jaren 2000 begonnen aanvallers sites zoals PayPal te imiteren door domeinnamen te registreren die sterk leken op de originele namen. Tegen het einde van dat decennium maakten ze gebruik van persoonlijke informatie die mensen op sociale media plaatsten om hun aanvallen nog geloofwaardiger te maken.
Soorten phishingaanvallen
Phishing is in de loop van de jaren geëvolueerd en er zijn verschillende vormen en technieken ontstaan:
- Spear phishing: Gericht op een specifieke persoon, vaak iemand met toegang tot gevoelige bedrijfsgegevens. De aanvaller gebruikt persoonlijke informatie van het slachtoffer om de aanval geloofwaardiger te maken. Een bekend voorbeeld is de aanval op het elektriciteitsnet van Oekraïne in 2015, waarbij spear-phishing werd gebruikt om de IT-systemen te compromitteren.
- Business email compromise (BEC): Hierbij doet de aanvaller zich voor als een CEO of een andere topfunctionaris van een bedrijf en misleidt hij een medewerker om grote bedragen over te maken naar een frauduleuze bankrekening. In 2022 waren 68% van alle phishing-aanvallen BEC-aanvallen, wat wereldwijd miljarden dollars aan schade veroorzaakte.
- Whale phishing: Gericht op zeer hooggeplaatste personen binnen een bedrijf, zoals een CEO, met als doel geld, handelsgeheimen of intellectueel eigendom te stelen.
- Smishing: Dit is phishing via sms-berichten. Deze methode is bijzonder effectief omdat mensen vaak minder waakzaam zijn bij het ontvangen van tekstberichten.
- Vishing: Phishing via telefoongesprekken of voicemailberichten. Deze aanvallen gebruiken vaak VoIP-technologie om de identiteit van de beller te maskeren en zo duizenden geautomatiseerde berichten te sturen.
- Quishing: Dit is een phishingmethode die gebruik maakt van QR-codes om slachtoffers te verleiden malware te downloaden of een frauduleuze website te bezoeken.
Een van de meest opvallende gevallen van vishing was de aanval op MGM Resorts in 2023. Hackers gebruikten persoonlijke informatie van een MGM-medewerker die ze via LinkedIn hadden verkregen, om zich vervolgens voor te doen als deze medewerker in een telefoongesprek met de IT-helpdesk. Dit leidde tot een wachtwoordreset en de inzet van ransomware, wat het bedrijf meer dan 100 miljoen dollar kostte.
AI en phishing
Met de opkomst van kunstmatige intelligentie (AI) zijn phishingaanvallen nog gevaarlijker geworden. Generatieve AI, zoals ChatGPT, kan enorme hoeveelheden data doorzoeken om overtuigende phishing-e-mails te schrijven die foutloos en zeer geloofwaardig zijn. De Cyber Security Agency van Singapore rapporteerde dat phishing-e-mails geschreven door AI net zo effectief waren als die van menselijke aanvallers.
Bovendien kunnen aanvallers door middel van AI-gegenereerde stemklonen telefoongesprekken voeren die bijna niet van echt te onderscheiden zijn. Dit gebeurde bijvoorbeeld bij een Canadese vrouw die $7.000 verloor nadat aanvallers zich voordeden als haar kleinzoon met behulp van AI-gegenereerde spraak.
Hoe je phishing kunt voorkomen
Het voorkomen van phishing vereist alertheid en de juiste tools en protocollen. Hier zijn enkele belangrijke maatregelen:
Voor individuen:
- Klik nooit zomaar op links of bijlagen in e-mails van onbekende afzenders.
- Geef nooit gevoelige informatie prijs via e-mail of tekstberichten, vooral niet als dit onverwacht wordt gevraagd.
- Verifieer de echtheid van e-mails door zelf de officiële website van de afzender op te zoeken en daar contactinformatie te vinden.
- Gebruik sterke wachtwoorden en schakel waar mogelijk multifactorauthenticatie (MFA) in.
Voor bedrijven:
- Zorg ervoor dat alle software en systemen up-to-date zijn met de laatste beveiligingspatches.
- Gebruik beveiligingsprotocollen zoals DMARC, SPF en DKIM om phishingaanvallen via e-mail te voorkomen.
- Voer regelmatig penetratietests uit om te controleren of de beveiliging van je netwerk waterdicht is.
- Onderwijs werknemers continu over de laatste phishingtechnieken en zorg ervoor dat ze weten hoe ze verdachte e-mails moeten rapporteren.