8 vormen van phishing die je als IV-professional moet kennen (deel 1/3)

Gepubliceerd op 10 november 2023

In 2022 wisten oplichters in Nederland ruim 43 miljoen euro buit te maken, een toename van 18% ten opzichte van het jaar ervoor (Fraudehelpdesk, 2023). Dit is geen nieuwe trend, aangezien het aantal fraudegevallen van online scammen al jaren toeneemt en dat terwijl driekwart van de Nederlanders claimt een redelijk tot goede kennis van digitale veiligheid te hebben (Conradie & Doms, 2022a). Daarnaast worden de manieren waarop cybercriminelen slachtoffers proberen op te lichten steeds complexer, verfijnder en moeilijker om te herkennen.

Bedrijven en organisaties zijn vaak de dupe

Alhoewel scammers al een verwoestende impact kunnen hebben op particuliere slachtoffers, zien we regelmatig dat ook grote bedrijven en organisaties de dupe zijn. Van systemen die op slot worden gezet en alleen ontgrendeld worden voor gigantische bedragen tot persoonlijke gegevens van honderdduizenden mensen die op het darkweb worden verkocht. Zowel grote bedrijven als kleine organisaties lopen nu eenmaal het risico om opgelicht te worden met soms onoverzienbare consequenties voor de reputatie, financiën of zelfs het voortbestaan van de organisatie.

Daar komt nog eens bij dat de oplichtingsmethodes continu worden geïnnoveerd. De ouderwetse e-mails van prinsen uit verre landen die hun rijkdom willen delen, zijn inmiddels vervangen door bijna perfect nagebootste berichten van klanten, leveranciers, collega’s, leidinggevenden of zelfs de CEO. E-mails in gebrekkig Nederlands van organisaties waar je helemaal niet eens bij aangesloten bent, zijn veranderd in gerichte phishing e-mails waar zelfs een doorgewinterde beveiligingsexpert in zou kunnen trappen.

Met zo’n breed scala aan ontwikkelingen in digitale criminaliteit, met nieuwe technieken en risico’s van dien, is het al moeilijk genoeg geworden om zelf altijd waakzaam te blijven en niet opgelicht te worden. Maar het is als IV-professional natuurlijk ook een absolute noodzaak om ervoor te zorgen dat jouw eindgebruikers geïnformeerd en waakzaam zijn, en vooral ook blijven. Maar welke vormen van online oplichting zijn er nu? Hoe herken en voorkom je deze? En nog belangrijker, hoe zorg je ervoor dat je iedereen in de organisatie meekrijgt? De beveiliging van een organisatie is immers zo sterk als de zwakste schakel.

Acht Vormen van Phishing

Phishing is een begrip dat al sinds de jaren ’90 in omloop is. Van origine was de term bedacht als een woordspeling op “fishing”, waarmee werd bedoeld dat scammers aan het ‘vissen’ zijn naar persoonlijke informatie of andere gevoelige gegevens. Het is een brede term die op allerlei verschillende manieren tot uitvoering wordt gebracht. Toch blijft het doel overal hetzelfde: onwetende slachtoffers worden verleid om moedwillig hun gevoelige informatie af te staan. Op dit punt bestaat ook een belangrijk onderscheid met hacken, waarbij toegang tot systemen of gevoelige gegevens juist wordt gekraakt.

Ondanks dat de meerderheid van phishing-methodes inmiddels bij de meeste Nederlanders bekend is (Conradie & Doms, 2022a, p. 16), zijn er altijd nieuwere of minder bekende manieren die minstens net zo gevaarlijk zijn. Hieronder hebben we alvast een lijst voor je van 8 vormen van phishing met beknopte uitleg.

1. Traditionele phishing

Bij de traditionele phishing-methodes is het doel om persoonlijke informatie te bemachtigen, voornamelijk door middel van e-mailberichten die op massale schaal worden verstuurd naar een grote groep onbekende ontvangers. Vaak bevatten deze een gewiekst of treurig verhaal om een nietsvermoedende ontvanger in de val te lokken. Daarnaast wordt hierbij vaak gebruik gemaakt van ‘spoofing’; een methode waarbij de identiteit van de afzender zo wordt aangepast dat het lijkt alsof het bericht van een andere afzender komt.

2. Spear phishing

Bij deze vorm van phishing worden berichten niet langer massaal en willekeurig verstuurd, maar juist heel specifiek gericht op jou als persoon of op de organisatie. Spear-phishing aanvallen zijn buitengewoon effectief omdat cybercriminelen veel tijd besteden aan het maken van deze specifieke berichten. Zij kunnen bijvoorbeeld refereren naar vergaderingen die daadwerkelijk in je organisatie hebben plaatsgevonden of ze kunnen een bericht sturen over een onderwerp dat actueel is binnen jouw organisatie maar vervolgens een schadelijke bijlage heeft.

3. Vishing

Vishing staat voor ‘voice phishing’, een vorm van een phishing die telefonisch plaatsvindt. Hierbij ontvang je een oproep of voicemail, ofwel met een echt persoon ofwel met een ingesproken bandje, die vervormd is als communicatie van bijvoorbeeld je bank, verzekeringsmaatschappij of zorgverlener. Vervolgens word je gevraagd om je inloggegevens, pincode, wachtwoord, etc. door te geven.

4. Whaling

Whaling is een vorm van phishing die voornamelijk is gericht op topbestuurders van een organisatie. De naam is afgeleid uit het Engelse woord voor walvis (whale), aangezien er bij deze vorm van phishing achter ‘grote vissen’ aan wordt gegaan. De gedachte hierachter is dat de gegevens van een directeur meer waardevolle deuren zullen openen dan de gegevens van een doorsnee medewerker. Cybercriminelen kunnen verschillende methodes inzetten om een topdoelwit te misleiden.

5. Business e-mail compromise (BEC)

Bij deze vorm van phishing doen cybercriminelen zich voor als de directeur of een leidinggevende van een organisatie. In deze hoedanigheid contacteren zijn de financiële afdeling met het urgente verzoek om geld over te maken naar een externe of onbekende bankrekening, namelijk die van de scammer. Aangezien de e-mail vanuit de eigen organisatie verstuurd lijkt te zijn, wordt dit ook wel interne phishing genoemd.

6. Clone phishing

Bij deze methode van phishing wordt een legitiem bericht dat je al eens in je mailbox hebt ontvangen, nagemaakt door criminelen. Ook hierbij wordt vaak de afzender gespoofd om te lijken op de afzender waar je al een bericht van hebt ontvangen, waardoor zowel het bericht als de afzender legitiem lijkt. Het enige verschil is dat de bijlage of de koppeling in het bericht is verwisseld met een kwaadwillende. Vaak wordt hierbij genoemd dat het bericht ‘helaas opnieuw verzonden moest worden’ of dat ‘een eerdere verificatie is mislukt’.

7. Smishing

Phishing via SMS, WhatsApp of vergelijkbare berichtenservice is de afgelopen jaar flink toegenomen. Denk hierbij aan je streamingdienst die je vraagt gegevens te bevestigen, je bank die je vraagt in te loggen of iemand uit je familie die plots een nieuwe telefoon heeft en dringend geld nodig heeft. Cybercriminelen zijn hierbij op zoek naar inloggegevens, creditcardinformatie, pincodes, eenmalige transacties of persoonlijke gegevens.

8. AI Voice Cloning

Na de opmars van ChatGPT ontwikkelen ook andere vormen van kunstmatige intelligentie (AI) zich sneller dan ooit tevoren. Een nieuwe ontwikkeling is ‘AI Voice Cloning’, oftewel het klonen van een stem met behulp van kunstmatige intelligentie. Naar verluidt heeft AI slechts één tot twee minuten aan gesproken materiaal nodig om iemands stem nagenoeg perfect te imiteren. Wanneer dit telefonisch wordt ingezet, is het bijna niet van echt te onderscheiden.

Zo kwam in april 2023 het verhaal naar voren waarbij een Amerikaanse vrouw plotseling door een onbekend nummer werd gebeld. Toen zij opnam, hoorde zij aan de andere kant van de lijn de stem van haar dochter, die toen op wintersport was. Haar ‘dochter’ vertelde toen dat zij was ontvoerd en dat ze geld eisten voordat ze vrijgelaten kon worden. Toen de scammer ophing, belde de vrouw haar dochter, die gewoon opnam alsof er niets aan de hand was – wat natuurlijk ook het geval was. Hierdoor realiseerde zij zich dat ze werd opgelicht en heeft ze dit weten te voorkomen; toch gaf de moeder aan dat haar dochters stem perfect nagebootst was en dat zij geen seconde eraan twijfelde dat zij haar dochter aan de lijn had (Karimi, 2023).

Het is belangrijk om te beseffen dat beveiliging een voortdurende inspanning is. Nieuwe vormen van phishing zullen blijven opduiken en daarom is het zeker als professional superbelangrijk om op de hoogte te blijven van de nieuwste trends en ontwikkelingen op het gebied van digitale veiligheid.

Blijf zelf op de hoogte, vertel je collega's en eindgebruikers hoe zij te maken kunnen krijgen met phishing en wat ze moeten doen als ze twijfelen over de echtheid van een bericht. Dat is al een mooie basis. Maar er is veel meer wat je kan doen om jouw organisatie beter te beschermen tegen phishing.

In deel 2 (van de 3) lees je 6 manieren waaraan jij én jouw eindgebruikers phishing kunnen herkennen.