Phishing is ongetwijfeld de meest bekende vorm van internetfraude. Bovendien worden is de malafide link in de zogenaamde e-mail van je bank, creditcardmaatschappij of verzekeraar vaak het startschot voor een veel vervelender vorm van cybercrime zoals ransomware en DDoS. 

Waar je ook werkt, je hebt ongetwijfeld weleens een vreemd mailtje ontvangen van je bank om een nieuwe bankpas te bestellen of je persoonlijke gegevens te wijzigen, terwijl je daar helemaal niet om hebt gevraagd. Een typisch voorbeeld van phishing, waarbij cybercriminelen hopen dat je de gefalsificeerde e-mail niet onderscheid van een originele e-mail van je bank en klikt op de link die is meegestuurd.

Hoe werkt phishing?

Phishing betekent letterlijk ‘vissen’ en de e-mails worden op die manier ook onder miljoenen mensen verspreid. Echter, zo ongestructureerd als hierboven beschreven gaat het natuurlijk niet. Doel is om nietsvermoedende medewerkers te misleiden en daarbij geldt: hoe persoonlijker hoe overtuigender. Als een e-mail voor niet persoonlijk is en voor jou niet relevant, is de kans klein dat je de mail überhaupt opent, laat staan op een link klikt.

Zoals ook te lezen in het artikel over ransomware, kan het klikken op een link in een phishing mail een hele keten aan criminele activiteiten activeren. Zo kan er een Exploit Kit op je pc worden geïnstalleerd die je besturingssysteem doorzoekt naar kwetsbaarheden en deze uitbuit door bijvoorbeeld je bestanden en/of desktop te gijzelen met een payload.

Hoe herken je een phishing mail?

Voorheen werd er vaak verwezen naar de aanhef. Die zou algemeen moeten zijn, waardoor het wel phishing moest zijn. Bij e-mails die in duizenden worden verstuurd is dat het geval. Echter, als de gegevens van gebruikers bekend zijn, worden phishing mails ook gepersonaliseerd en gericht verstuurd. Dit is dus niet langer een criteria om naar te kijken. Maar wat dan wel?

Afzender

Ook al zegt de e-mail dat hij afkomstig is van de ABM AMRO of van Nationale Nederlanden, staar je niet blind op alleen de afzendernaam. Kijk ook goed naar het e-mailadres waarmee deze e-mail is verstuurd. Is dit een vaag e-mailadres zoals bij onderstaand voorbeeld? Vertrouw het dan niet.

Vormgeving

Omdat phishing mails snel geld moeten opleveren, zal de e-mail niet volledig conform de huisstijl zijn van je bank of verzekeraar. Ontbreken er logo’s of is de footer anders? Let dan extra goed op.

Vreemde links

De link in een phishing mail is nooit een natuurlijke en betrouwbare url, maar ziet er vaak ingewikkeld uit. Ook kan er een hele lange url achter zitten als je met de muis over de link beweegt.

Verzoek

Inhoudelijk zal er in een phishing mail altijd een verzoek staan om ergens op te klikken, gegevens achter te laten of in te loggen. Is hier geen aanleiding voor? Laat je niet zomaar verleiden.

Check, check, dubbelcheck

Ziet alles er redelijk oke uit, maar ben je niet helemaal overtuigd? Aarzel niet en neem contact op met de instantie van wie de e-mail afkomstig zou moeten zijn. Let op: gebruik de contactgegevens van hun website, niet die uit de mail.

Wat kun je doen tegen phishing?

Awareness is het sleutelwoord. Hoe groter je kennis van phishing mails, hoe kleiner de kans dat je in de fout gaat. Echter, één klik binnen je organisatie is genoeg. Zorg er dus voor dat iedereen op de hoogte is en de best practices beheerst.

Maar wat als het toch misgaat? Natuurlijk kan het altijd gebeuren dat er iemand toch klikt op een phishing mail. Hoe groot de schade dan is, is volledig afhankelijk van je IT security.

Meer informatie over hoe je je security het beste kunt inrichten lees je hier.