Phishing

Phishing is een methode om u via een e-mailbericht of telefoontje dat van een betrouwbare instelling of organisatie afkomstig lijkt te zijn, te verleiden om wachtwoorden, creditcardnummers en andere gevoelige informatie te delen.

Alles over phishing

Wat is phishing?

Phishing is het misdrijf waarbij mensen worden verleid tot het delen van gevoelige informatie zoals wachtwoorden en creditcardnummers. Net als bij sportvissen is er meer dan één manier om een slachtoffer binnen te hengelen, maar één phishing-taktiek is de meest voorkomende. Slachtoffers ontvangen een e-mail of een sms-bericht dat een vertrouwde persoon of organisatie, zoals een collega, een bank of een overheidsinstantie imiteert (of 'spooft'). Wanneer het slachtoffer de e-mail of de sms opent, treffen ze een alarmerend bericht aan dat is bedoeld om hun oordeelsvermogen te beïnvloeden door hen angst aan te jagen. In het bericht wordt het slachtoffer verzocht naar een website te gaan en onmiddellijke actie te ondernemen of anders bepaalde gevolgen te riskeren. 

Als de gebruiker toehapt en op de koppeling klikt, wordt deze naar een imitatie van een legitieme website gestuurd. Daar wordt de gebruiker gevraagd zich aan te melden met gebruikersnaam en wachtwoord. Als de gebruiker lichtgelovig genoeg is om daar gehoor aan te geven, gaat de aanmeldingsinformatie naar de aanvaller die deze gebruikt om identiteiten te stelen, bankrekeningen leeg te halen en persoonlijke informatie te verkopen op de zwarte markt.

\"Phishing is de eenvoudigste soort cyberaanval en tegelijk de meest gevaarlijke en effectieve\".

In tegenstelling tot andere soorten onlinebedreigingen is voor phishing geen zekere geavanceerde technische expertise vereist. Volgens Adam Kujawa, directeur van Malwarebytes Labs \"is phishing feitelijk de eenvoudigste soort cyberaanval en tegelijk de meest gevaarlijke en effectieve. Dat komt omdat de meest kwetsbare en krachtigste computer op de planeet wordt aangevallen: de menselijke geest\". Phishers proberen niet om een technische kwetsbaarheid in het besturingssysteem van uw apparaat uit te buiten — ze maken gebruik van 'sociale technieken. Van Windows en iPhone tot Mac en Android, geen enkel besturingssysteem is volkomen veilig voor phishing, hoe sterk de beveiliging ook is. Aanvallers nemen feitelijk hun toevlucht tot phishing omdat ze geen technische kwetsbaarheden kunnen vinden. Waarom tijd verspillen met het kraken van allerlei beveiligingslagen als je iemand ertoe kunt bewegen om je de sleutel te geven? De zwakste schakel in een beveiligingssysteem is veelal geen diep verborgen foutje in de computercode, maar een mens die niet afdoende heeft gecontroleerd waar een e-mail vandaan komt.

Het laatste nieuws over phishing

Kwalijke romance: catphishing uitgelegd
Een nieuw soort phishing-zwendel op Apple
Gekraakte LinkedIn-accounts gebruikt om phishing-koppelingen te verzenden via privéberichten en InMail

Geschiedenis van phishing

De oorsprong van de naam 'phishing' is makkelijk genoeg te achterhalen. Het uitvoeringsproces van een phishing-zwendel lijkt feitelijk heel erg op sportvissen. U verzamelt wat aas dat is bedoeld om uw slachtoffer te misleiden, vervolgens werpt u het uit en wacht u tot u beet hebt. De tweeklank 'ph' die de 'f' vervangt, kan het gevolg zijn van een vermenging van 'fishing' met 'phony', maar sommige bronnen noemen een andere mogelijke oorsprong.

In de jaren zeventig van de vorige eeuw vormde zich een subcultuur rond het gebruik van technisch eenvoudige hacks om het telefoonnetwerk uit te buiten. Deze vroege hackers werden 'phreaks'— een combinatie van 'phone' en 'freaks' genoemd. Toen er niet veel netwerkcomputers te hacken waren, was phreaking een veelgebruikte manier om gratis langeafstandsgesprekken te voeren of om niet-vermelde nummers te bereiken.

\"Phishing is de eenvoudigste soort cyberaanval en tegelijk de meest gevaarlijke en effectieve\".

Zelfs voordat de feitelijke term 'phishing' gemeengoed werd, is een techniek voor phishing gedetailleerd beschreven in een paper en een presentatie die werd gegeven aan de International HP Users Group 1987, Interex.

Het gebruik van de naam zelf werd halverwege de jaren negentig van de vorige eeuw voor het eerst toegeschreven aan de beruchte spammer en hacker Khan C Smith. Volgens internetarchieven werd phishing voor het eerste openlijk gebruikt en geregistreerd op 2 januari 1996. De vermelding geschiedde in een Usenet-nieuwsgroep genaamd AOHell. Toentertijd was America Online (AOL) de meestgebruikte provider van internettoegang met dagelijks miljoenen aanmeldingen.

De populariteit van AOL maakte het uiteraard een doelwit voor oplichters. Hackers en softwarepiraten maakten er gebruik van om met elkaar te communiceren, en ook om phishing-aanvallen op legitieme gebruikers uit te voeren. Toen AOL stappen ondernam om AOHell af te sluiten, namen de aanvallers hun toevlucht tot anderen technieken. Ze stuurden berichten naar AOL-gebruikers waarin ze beweerden werknemers van AOL te zijn en vroegen mensen om hun accounts te controleren en factureringsinformatie te geven. Uiteindelijk werd het probleem zo groot dat AOL waarschuwingen aanbracht op alle e-mail- en IM-clients met de strekking dat \"niemand van AOL u om u wachtwoord of factureringsinformatie vraagt\".

\"Sociale-netwerksites werden het voornaamste phishing-doelwit\".

In het nieuwe millennium verlegde phishing de aandacht naar het uitbuiten van online betalingssystemen. Het werd een gewone zaak voor phishers om zich te richten op klanten van banken en online betalingsdiensten; sommige van die klanten werden — volgens nader onderzoek — zelfs nauwkeurig geïdentificeerd en aan de bank gekoppeld die ze feitelijk gebruikten. Evenzo werden sociale-netwerksites een voornaam doelwit voor phishing: aantrekkelijk voor oplichters aangezien persoonsgegevens op dergelijke sites bruikbaar zijn voor identiteitsdiefstal.

Criminelen registreerden tientallen domeinen die eBay en PayPal goed genoeg imiteerden om door te gaan voor het origineel als je er niet goed genoeg op lette. PayPal-klanten ontvingen vervolgens phishing-e-mails (met koppelingen naar de namaakwebsite) waarin hen werd gevraagd om hun creditcardnummers en andere persoonlijk identificeerbare informatie te actualiseren. De eerste bekende phishing-aanval op een bank werd in september 2003 gerapporteerd door The Banker (een publicatie die het eigendom is van The Financial Times Ltd.).

Tegen het jaar 2005 was er kant-en-klare phishing-software verkrijgbaar op de zwarte markt. Tezelfdertijd begonnen groepen hackers zich te organiseren om geavanceerde phishing-campagnes op touw te zetten. De geschatte verliezen als gevolg van geslaagde phishing gedurende deze periode variëren, waarbij een rapport uit 2007 van Gartner beweert dat 3,6 miljoen volwassenen $3,2 miljard zijn kwijtgeraakt tussen augustus 2006 en augustus 2007.

\"In 2013 zijn er 110 miljoen klant- en creditcardrecords gestolen van klanten van Target\".

In 2011 kreeg phishing overheidssteun toen een vermoedelijk Chinese phishing-campagne Gmail-accounts van hoge functionarissen van de Verenigde Staten en Zuid-Koreaanse overheden en militairen bestookte, evenals Chinese politiek activisten.

Bij waarschijnlijk de meest vermaarde gebeurtenis in 2013 werden 110 miljoen klant- en creditcardrecords van Target-klanten gestolen via een door phishing gekraakte account van een onderaannemer.

Nóg beruchter was de phishing-campagne die in het eerste kwartaal van 2016 werd gelanceerd door Fancy Bear (een cyberspionagegroep die is gekoppeld aan de Russische militaire inlichtingendienst GRU) en die was gericht op e-mailadressen die waren gekoppeld aan de Democratic National Committee. Hoofdzakelijk werd de Gmail van John Podesta, Hillary Clintons campagnemanager voor de presidentsverkiezingen van 2016, gehackt en vervolgens gelekt nadat hij in een oude truc was getrapt — een phishing-aanval waarbij werd beweerd dat zijn e-mailwachtwoord was misbruikt (en hij dus hier moest klikken om het te wijzigen).

In 2017 werden de boekhoudafdelingen van Google en Facebook er via een enorme phishing-zwendel toe verleid om geld, in totaal meer dan $100 miljoen, over te maken naar buitenlandse bankrekeningen die werden beheerd door een hacker.

Soorten phishing-aanvallen

Ondanks de vele variëteiten is de grootste gemene deler van alle phishing-aanvallen het gebruik van een frauduleus voorwendsel om waardevolle zaken te verkrijgen. Enkele grote categorieën zijn:

Spear phishing

Bij de meeste phishing-campagnes worden bulke-mails naar zo veel mogelijk mensen verzonden, maar spear phishing werkt gericht. Spear phishing valt een specifieke persoon of organisatie aan, vaak met inhoud die is toegesneden op het slachtoffer of de slachtoffers. Voorafgaand aan de aanval is verkenningswerk vereist om namen, functietitels, e-mailadressen en dergelijke te ontdekken. De hackers speuren internet af om deze informatie te koppelen aan andere opgezochte kennis over de collega's van het doelwit, samen met de namen en werkrelaties van belangrijke medewerkers in diens organisatie. Hiermee construeert de phisher een geloofwaardige e-mail.

Een oplichter kan bijvoorbeeld spear phishing uitvoeren op een medewerker die verantwoordelijk is voor de autorisatie van betalingen. De e-mail lijkt afkomstig te zijn een leidinggevende in de organisatie die de medewerker opdraagt om een aanzienlijke betaling te verzenden naar de leidinggevende of naar een bedrijfsleverancier (in werkelijkheid wordt de betaling via de kwaadaardige betalingskoppeling naar de aanvaller gestuurd).

Spear phishing is een kritieke bedreiging van bedrijven (en overheden) en het kost veel geld. Volgens een rapport uit 2016 over een onderzoek naar het onderwerp was spear phishing verantwoordelijk voor 38% van de cyberaanvallen op deelnemende ondernemingen gedurende 2015. Bovendien bedroegen de gemiddelde kosten van spearphishing-aanvallen voor de Amerikaanse betrokken bedrijven $1,8 miljoen per incident.

\"Een langdradige phishing-e-mail van iemand die beweert dat hij een Nigeriaanse prins is, is een van de eerste en langstlopende zwendels op internet\".

Clone phishing

Bij deze aanval maken criminelen een kopie — of kloon — van eerdere bezorgde en legitieme e-mails die een koppeling of een bijlage bevatten. Vervolgens vervangt de phisher de koppelingen of de bestanden in bijlage door kwaadaardige substituten die vermomd zijn als de oorspronkelijke koppelingen of bestanden. Nietsvermoedende gebruikers klikken op de koppeling of openen de bijlage waardoor hun systemen in veel gevallen worden overgenomen. Vervolgens kan de phisher de identiteit van het slachtoffer nabootsen om zich aan andere slachtoffers in dezelfde organisatie voor te doen als een vertrouwde afzender.

419/Nigeriaanse zwendel

Een langdradige phishing-e-mail van iemand die beweert dat hij een Nigeriaanse prins is, is een van de eerste en langstlopende zwendels op internet. Volgens Wendy Zamora, hoofd Content van Malwarebytes Labs, \"komt de phish over de Nigeriaanse prins van iemand die beweert een overheidsfunctionaris of een lid van een koninklijke familie te zijn, die hulp nodig heeft om miljoenen dollars Nigeria uit te krijgen. De e-mail is gemarkeerd als 'dringend' of 'privé' en de afzender vraagt de ontvanger om een bankrekening op te geven waarop de gelden in bewaring kunnen worden gegeven\".

In een jolige update van de klassieke Nigeriaanse phishing-sjabloon meldde de Britse nieuwssite Anorak in 2016 dat ze een e-mail hadden ontvangen van een zekere dr. Bakare Tunde, die beweerde de projectmanager ruimtevaart te zijn van Nigeria's National Space Research and Development Agency. Dr. Tunde voerde aan dat zijn neef, luchtmachtmajoor Abacha Tunde, al meer dan 25 jaar vastzat op een oud Sovjetruimtestation. Maar voor slechts $3 miljoen konden Russische ruimteautoriteiten een vlucht organiseren om hem thuis te krijgen. Alles wat de ontvangers hoefden te doen, was hun bankrekeninggegevens doorgeven om het benodigde bedrag over te maken, waarvoor dr. Tunde een vergoeding van $600.000 zou betalen.

Overigens is het getal \"419\" aan deze zwendel gekoppeld. Dat verwijst naar de sectie van de Nigeriaanse strafwet die handelt over fraude, tenlasteleggingen en straffen voor de plegers.

Phone phishing

Bij phishing-pogingen per telefoon, soms ook voice phishing of 'vishing' genoemd, belt de phisher u op en beweert namens uw bank, de politie of zelfs de belastingdienst te handelen. Vervolgens maken ze u bang met een of ander probleem en dringen aan om dit direct op te lossen door uw rekeninggegevens te delen of anders een boete te betalen. Ze vragen u doorgaans om via een telegrafische overboeking of via prepaidkaarten te betalen zodat ze onmogelijk op te sporen zijn.

SMS phishing, of 'smishing', is de kwade evenknie van vishing, waarbij via sms-berichten dezelfde soort zwendel wordt bedreven (soms met een ingebouwde kwaadaardige koppeling om op te klikken).

\"In de e-mail wordt een aanbod gedaan dat te mooi klinkt om waar te zijn\".

Hoe u een phishing-aanval vaststelt

Het herkennen van een poging tot phishing is niet altijd even gemakkelijk, maar met een paar tips, wat discipline en een beetje gezond verstand komt u een heel eind. Zoek naar iets dat onwaarschijnlijk of ongewoon is. Vraag uzelf af of het bericht de 'reuktest' doorstaat. Vertrouw op uw intuïtie, maar laat uzelf niet bang maken. Phishing-aanvallen maken vaak gebruik van angst om uw oordeelsvermogen te benevelen.

Hier volgen nog enkele indicaties van een poging tot phishing:

In de e-mail wordt een aanbod gedaan dat te mooi klinkt om waar te zijn. U hebt bijvoorbeeld de loterij gewonnen, een grote prijs of een ander ongelooflijk artikel.  

  • U herkent de afzender, maar het is iemand met wie u geen contact hebt. Zelf als u de naam van de afzender kent, moet u achterdochtig zijn als het iemand is met wie u normaal gesproken niet communiceert, vooral als de inhoud van de e-mail niets te maken heeft met uw normale werktaken. Hetzelfde geldt als u een cc bent in een e-mail aan mensen die u niet eens kent, or misschien een groep collega's van andere afdelingen.
  • Het bericht is schrikaanjagend. Pas op als de e-mail geladen of alarmerende taal bevat om een gevoel van urgentie te bewerkstelligen en u aan te sporen om te klikken en 'nu te handelen' voordat uw account wordt beëindigd. Bedenk dat verantwoordelijke organisaties u nooit via internet om persoonlijke gegevens vragen.
  • Het bericht bevat onverwachte of ongewone bijlagen. Deze bijlagen kunnen malware, ransomware of een andere online bedreiging bevatten.
  • Het bericht bevat koppelingen die er wat onwaarschijnlijk uitzien. Zelfs als uw zesde zintuig niet gevoelig is voor het bovenstaande, moet u ingebouwde hyperlinks niet op het eerste gezicht vertrouwen. Beweeg uw muisaanwijzer over de koppeling om de feitelijke URL te bekijken. Let vooral op subtiele spelfouten in een er verder vertrouwd uitziende website, aangezien dat op namaak wijst. Het is altijd beter om de URL zelf rechtstreeks in te voeren dan op de ingebouwde koppeling te klikken.

Hier volgt een voorbeeld van een poging tot phishing waarbij een bericht van PayPal wordt geïmiteerd en de ontvanger wordt gevraagd om op de knop 'Nu bevestigen' te klikken. Als u de aanwijzer over de knop beweegt, ziet u de werkelijke bestemming van de URL in de rode rechthoek.

Poging tot phishing door PayPal-imitator

Hier is nog een afbeelding van een phishing-aanval waarbij wordt beweerd dat het bericht van Amazon afkomstig is. Merk op dat gedreigd wordt om de account te sluiten als er niet binnen 48 uur wordt gereageerd.

Poging tot phishing waarbij wordt beweerd dat het bericht van Amazon afkomstig is

Door op de koppeling te klikken, komt u bij dit formulier en wordt u uitgenodigd om informatie te geven die de phisher nodig heeft om u te bestelen:

Formulier van poging tot phishing door Amazon-imitator

Hoe bescherm ik mezelf tegen phishing?

Zoals eerder gezegd is phishing een bedreiging die zich net zo goed kan voordoen op desktop- en laptopcomputers als op tablets en smartphones. De meeste internetbrowsers kunnen controleren of een koppeling veilig is, maar de eerste verdedigingslinie tegen phishing is uw eigen oordeelsvermogen. Train uzelf om de tekenen van phishing te herkennen en probeer veilig met de computer te werken wanneer u uw e-mail ophaalt, Facebook-berichten leest of uw favoriete online spelletje speelt.

Onze eigen Adam Kujawa doet u nog een aantal van de belangrijkste werkwijzen aan de hand om veilig te blijven:

  • Open geen e-mails van afzenders waarmee u niet bekend bent.
  • Klik nooit op een koppeling in een e-mail tenzij u precies weet waartoe die koppeling leidt.
  • U kunt een laag toevoegen aan deze bescherming: als u een e-mail ontvangt van een bron die u niet vertrouwt, navigeert u handmatig naar de opgegeven koppeling door het legitieme websiteadres in uw browser in te voeren.
  • Kijk naar het digitale certificaat van een website.
  • Als u wordt gevraagd om gevoelige informatie te verstrekken, controleert u of de URL van de pagina begint met 'HTTPS' in plaats van alleen 'HTTP'. De 'S' staat voor 'secure'. Dat is geen garantie dat een site legitiem is, maar de meeste legitieme sites gebruiken HTTPS omdat het veiliger is. HTTP-sites, zelfs legitieme sites, zijn kwetsbaar voor hackers. 
  • Als u vermoedt dat een e-mail niet legitiem is, neemt u een naam of wat tekst uit het bericht en voert u dat in een zoekmachine in om te kijken of er bekende phishing-aanvallen bestaan waarbij dezelfde methodes worden gebruikt.
  • Beweeg de muisaanwijzer over de koppeling om te zien of het een legitieme koppeling is.

Zoals altijd raden we aan om enige vorm van antimalware-software te gebruiken ter beveiliging. De meeste computerbeveiligingstools kunnen detecteren wanneer een koppeling of een bijlage niet echt is, dus zelfs wanneer u in een sluwe poging tot phishing trapt, betekent dat niet dat u uw informatie met de verkeerde mensen hoeft te delen.

Alle Malwarebytes Premium-beveiligingsproducten bieden robuuste bescherming tegen phishing. Ze kunnen frauduleuze sites detecteren en u verhinderen deze te openen, zelfs al bent u ervan overtuigd dat ze legitiem zijn.

Blijf dus waakzaam, neem voorzorgsmaatregelen en pas op voor zaken die phishy zijn.

Raadpleeg al onze rapportages over phishing op de website van Malwarebytes Labs

Onmisbare informatie over computerbeveiliging

Wilt u op de hoogte blijven van de nieuwste ontwikkelingen in computerbeveiliging? Abonneer u op onze nieuwsbrief en ontdek hoe u uw computer kunt beschermen tegen bedreigingen.

Selecteer uw taal