Wie kent ze niet, de SMS-jes of WhatsApp berichten met een zielig verhaal, een dringend verzoek of een urgente actie. Vroeg of laat komt het verzoek om op het meegestuurde linkje te klikken of geld over te maken. Ook de e-mails met een nog te betalen factuur, een interessant CV of de laatste wijzigingen in de Corona-aanpak zijn populair bij cybercriminelen. Hoe komt het toch dat we ons regelmatig laten verleiden om op zo’n link te klikken? Waarom is phishing zo succesvol en vormt het nog altijd een serieuze bedreiging voor de digitale veiligheid van een organisatie?
Wat is phishing?
Phishing is een vorm van internetfraude waarbij cybercriminelen uit zijn op jouw persoonlijke gegevens. Ondanks dat er meer vormen zijn waarbij SMS, telefoon, WhatsApp ingezet worden en we ook combinaties zien met bijvoorbeeld traditionele post, gaan we in deze blog uit van de e-mail variant.
Het doel van een phishingcampagne is om informatie buit te maken die direct, of in een iets latere fase geld op levert. Dan kan zijn door de buitgemaakte inloggegevens te gebruiken om bijvoorbeeld een bankrekening te plunderen, maar ook om toegang te krijgen tot het bedrijfsnetwerk. Eenmaal binnen op het bedrijfsnetwerk, kan er worden gewerkt aan de vervolgstap om het einddoel te bereiken. Dat kan zijn het stelen van bijvoorbeeld persoonsgegevens van personeel of klanten, maar ook financiële gegevens of intellectueel eigendom. Heel kort door de bocht: het gaat om gegevens die bij verkoop geld opleveren. Daarnaast kan er malware, zoals ransomware, worden geïnstalleerd. Bestanden worden daarbij versleuteld waardoor bedrijfsprocessen stil komen te liggen en na betaling van losgeld is er een kans dat de bestanden weer gebruikt kunnen worden.
De laatste maanden zien we dat cybercriminelen de data eerst buitmaken en daarna de data op de bedrijfssystemen versleutelen. Zo kunnen organisaties worden gechanteerd met publicatie van de gegevens als men niet het gevraagde losgeld wil betalen. Betaling van het losgeld wil overigens niet automatisch beteken dat alle versleutelde data ook ongeschonden wordt teruggekregen.
Een andere factor die bijdraagt aan de populariteit van phishing bij cybercriminelen, is dat phishing een methode is die vrij schaalbaar is. Je kan een grotere groep mensen eenzelfde phishing bericht sturen, waarbij slechts een klein percentage succesvol hoeft te zijn.
Waarom slagen phishingaanvallen?
Veel phishingaanvallen slagen domweg door onoplettendheid. Dat klinkt bot, toch blijkt vaak dat medewerkers zich wel bewust zijn van de risico’s, maar er niet naar handelen. Waarom? Omdat de mens al snel denkt geen interessant slachtoffer te zijn. Daardoor onderschatten we bijvoorbeeld het risico van het hergebruiken van een wachtwoord, wachtwoorden opslaan in de browser of het gebruik van gratis wifi-netwerken.
Een andere factor die bijdraagt aan de slagingskans heeft te maken met het stukje voorbereiding. Veel informatie over medewerkers, hun functie, gezinssamenstelling en hobby’s zijn met enig social engineering te achterhalen. Informatie die een cybercrimineel weer kan gebruiken om een profiel te bouwen waarmee hij overtuigend op zijn slachtoffer over kan komen.
Er ligt daar overigens ook een taak weggelegd voor de werkgever. Je kan medewerkers trainen op het onderwerp phishing, maar zorg er dan wel voor dat de trainingsinhoud en vorm is afgestemd op de medewerker. Een gesimuleerde phishing-campagne kan vervolgens helpen om te kijken of de medewerker de kennis ook in de praktijk kan toepassen.
Phishingcampagnes zijn bovendien tegenwoordig zo professioneel opgezet dat de mail, de website waarop zou moet worden ingelogd, de domeinnaam etc niet van echt te onderscheiden zijn. De kans is daardoor groot dat een medewerker het verschil tussen echt en nep niet ziet en in een moment van onoplettendheid toch klikt.
Ook al zijn phishingberichten lastig te onderscheiden van echt, toch zijn de meeste phishingberichten zo opgesteld dat ze gebruik maken van een aantal basis beïnvloedingsprincipes. Deze zijn gebaseerd op wederkerigheid, schaarste, autoriteit, commitment & consistentie, sympathie, sociale bewijskracht en eenheid. Denk daarbij aan zaken als: wil jij 100 Euro overmaken want ik moet voor 10 uur… Betaal de boete voor 10 september anders wordt het boetebedrag met 50 Euro verhoogd, laatste mogelijkheid om gebruik te maken van… snel handelen is noodzakelijk. De kunst is om de rust te bewaren en het bericht nog eens goed te bekijken. Een andere tip is om de afzender even te bellen op het bij jou al bekende nummer (of via de receptie), om te controleren of het bericht legitiem is.
Hoe kan ik het risico op een cyberincident door phishing verkleinen?
Er zijn een aantal manieren waarop je het risico kan verkleinen, zowel aan de kant van de medewerker als aan de kant van de werkgever. Daarbij is het goed om te kijken naar zowel het vergroten van het cyberbewustzijn bij medewerkers, als naar het gedrag, de aanwezige processen binnen de organisatie en naar de inzet van technologie.
Kortom wees cyberbewust en maak het ze niet te makkelijk. Zorg dat je de basis op orde hebt.
Lees ook:
- Cybersecurityspecialist Tesorion neemt branchegenoot Kahuna over