Wat is phishing en hoe het u geld en geheimen kan beroven?

Wat is phishing en hoe gevaarlijk is het?

Phishing is een veel voorkomende vorm van cyberfraude gericht op het in gevaar brengen van accounts records en onderschepping van controle over hen, diefstal van creditcardgegevens of andere vertrouwelijke informatie informatie.

Aanvallers gebruiken meestal e-mail: ze sturen bijvoorbeeld brieven namens een bekend bedrijf en lokken gebruikers naar hun nepwebsite onder het voorwendsel van een winstgevende promotie. Het slachtoffer herkent de nep niet, voert de gebruikersnaam en het wachtwoord van zijn account in en dus draagt ​​de gebruiker zelf de gegevens over aan de oplichters.

Iedereen kan lijden. Geautomatiseerde phishing-e-mails zijn meestal gericht op een breed publiek (honderdduizenden of zelfs miljoenen adressen), maar er zijn ook aanvallen gericht op een specifiek doelwit. Meestal zijn deze doelen topmanagers of andere medewerkers die geprivilegieerde toegang hebben tot bedrijfsgegevens. Deze gepersonaliseerde phishing-strategie heet vailing (eng. walvisvangst), wat zich vertaalt als "walvissen vangen".

De gevolgen van phishingaanvallen kunnen verwoestend zijn. Fraudeurs kunnen uw persoonlijke correspondentie lezen, phishing-berichten naar uw kring van contacten sturen, geld opnemen van bankrekeningen en in het algemeen namens u in brede zin optreden. Als u een bedrijf runt, is het risico nog groter. Phishers kunnen bedrijfsgeheimen stelen, gevoelige bestanden vernietigen of de gegevens van uw klanten lekken, waardoor de reputatie van het bedrijf wordt geschaad.

Volgens het rapportRapport over trends in phishingactiviteit Anti-Phishing Working Group ontdekten alleen al in het laatste kwartaal van 2019 cyberbeveiligingsexperts meer dan 162 duizend frauduleuze sites en 132 duizend e-mailcampagnes. Gedurende deze tijd zijn ongeveer duizend bedrijven van over de hele wereld het slachtoffer geworden van phishing. Het valt nog te bezien hoeveel aanvallen niet werden gedetecteerd.

Ivan Budylin

Architect van het Microsoft Technology Center in Rusland.

Het is belangrijk om duidelijk over uzelf te zijn en een paar dingen te vertellen aan uw collega's, vrienden en familie. Ten eerste is de industrie tegen ons. Cybercriminelen zijn geen enthousiaste grappenmakers meer, het zijn ervaren professionals die op de een of andere manier geld aan je willen verdienen. Ten tweede heeft alle informatie waarde, ook al lijkt het niet belangrijk. En uw activiteit op sociale netwerken en de naam van uw favoriete kat - alles kan voor beide worden gebruikt directe inkomsten genereren, of als aanvalsfase om toegang te krijgen tot duurdere gegevens. Ten derde verschuift het gebruik van multi-factor authenticatie en wachtwoordvrije logins geleidelijk van de categorie van sterke aanbevelingen naar de categorie van harde eisen van een veranderde realiteit.

Evolutie en soorten phishing

De term "phishing" komt van het Engelse woord "fishing". Dit soort zwendel lijkt echt op vissen: de aanvaller gooit het aas in de vorm van een nepbericht of link en wacht tot de gebruikers bijten.

Maar in het Engels wordt "phishing" een beetje anders gespeld: phishing. De digraph ph wordt gebruikt in plaats van de letter f. Volgens één versie is dit een verwijzing naar het woord nep ("bedrieger", "oplichter"). Aan de andere kant - naar de subcultuur van vroege hackers die phreakers ("phreakers") werden genoemd.

Aangenomen wordt dat de term phishing voor het eerst in het midden van de jaren negentig in het openbaar werd gebruikt op Usenet-nieuwsgroepen. Op dat moment lanceerden oplichters de eerste phishing-aanvallen op klanten van de Amerikaanse internetprovider AOL. De aanvallers stuurden berichten waarin ze vroegen om hun inloggegevens te bevestigen, waarbij ze zich voordeden als werknemers van het bedrijf.

Met de ontwikkeling van internet zijn er nieuwe soorten phishing-aanvallen verschenen. Fraudeurs begonnen hele websites te vervalsen en beheersten verschillende kanalen en communicatiediensten. Deze soorten phishing zijn tegenwoordig te onderscheiden.

• E-mail phishing. Fraudeurs registreren een postadres dat lijkt op het adres van een bekend bedrijf of een kennis van het geselecteerde slachtoffer en sturen er brieven van. Tegelijkertijd kan een nepbrief, door de naam van de afzender, het ontwerp en de inhoud, bijna identiek zijn aan het origineel. Alleen binnenin is er een link naar een nepsite, geïnfecteerde bijlagen of een direct verzoek om vertrouwelijke gegevens te verzenden.
• Sms-phishing (smishing). Dit schema is vergelijkbaar met het vorige, maar er wordt sms gebruikt in plaats van e-mail. De abonnee krijgt een bericht van een onbekend (meestal kort) nummer met een verzoek om vertrouwelijke gegevens of met een link naar een nepsite. Zo kan een aanvaller zichzelf voorstellen als bank en de verificatiecode opvragen die u eerder heeft ontvangen. In feite hebben oplichters de code nodig om uw bankrekening te hacken.
• Phishing via sociale media. Met de snelle toename van instant messengers en sociale media, hebben phishing-aanvallen ook deze kanalen overspoeld. Aanvallers kunnen contact met u opnemen via valse of gecompromitteerde accounts van bekende organisaties of uw vrienden. De rest van het aanvalsprincipe verschilt niet van de vorige.
• Phishing via telefoon (vishing). Oplichters zijn niet beperkt tot sms-berichten en kunnen u bellen. Meestal wordt hiervoor internettelefonie (VoIP) gebruikt. De beller kan zich bijvoorbeeld voordoen als een medewerker van de ondersteunende dienst van uw betalingssysteem en gegevens vragen om toegang te krijgen tot de portemonnee - zogenaamd ter verificatie.
• Zoek phishing. U kunt phishing direct in de zoekresultaten tegenkomen. Het is voldoende om op de link te klikken die naar een nepsite leidt en er persoonlijke gegevens op achter te laten.
• Pop-up phishing. Aanvallers gebruiken vaak pop-ups. Als u een twijfelachtige bron bezoekt, ziet u mogelijk een banner die een voordeel belooft - bijvoorbeeld kortingen of gratis goederen - namens een bekend bedrijf. Door op deze link te klikken, wordt u naar een site geleid die wordt beheerd door cybercriminelen.
• Landbouw. Niet direct gerelateerd aan phishing, maar landbouw is ook een veel voorkomende aanval. In dit geval vervalst de aanvaller de DNS-gegevens, waarbij de gebruiker automatisch wordt omgeleid in plaats van de oorspronkelijke sites naar de nep-sites. Het slachtoffer ziet geen verdachte berichten of banners, wat de effectiviteit van de aanval vergroot.

Phishing blijft evolueren. Microsoft onthulde nieuwe technieken die zijn anti-phishing-service Office 365 Advanced Threat Protection in 2019 ontdekte. Zo hebben oplichters geleerd om kwaadaardige inhoud beter te verbergen in zoekresultaten: naar boven legitieme links weergeven die de gebruiker naar phishing-sites leiden met behulp van meerdere omleidingen.

Bovendien begonnen cybercriminelen automatisch phishing-links en exacte kopieën van elektronische informatie te genereren brieven op een kwalitatief nieuw niveau, waarmee u gebruikers effectiever kunt misleiden en geld kunt omzeilen bescherming.

Hoe u uzelf tegen phishing kunt beschermen

Verbeter uw technische geletterdheid. Zoals ze zeggen, is hij die is gewaarschuwd, gewapend. Bestudeer zelf informatiebeveiliging of raadpleeg experts voor advies. Zelfs een simpele kennis van de basisprincipes van digitale hygiëne kan u al veel problemen besparen.

Wees voorzichtig. Volg geen links en open geen bijlagen in brieven van onbekende gesprekspartners. Controleer zorgvuldig de contactgegevens van de afzenders en de adressen van de sites die u bezoekt. Reageer niet op verzoeken om persoonlijke informatie, zelfs niet als het bericht er geloofwaardig uitziet. Als een bedrijfsvertegenwoordiger om informatie vraagt, is het beter om zijn callcenter te bellen en de situatie te melden. Klik niet op pop-ups.

Gebruik wachtwoorden verstandig. Gebruik voor elk account een uniek en sterk wachtwoord. Abonneer u op services die gebruikers waarschuwen als wachtwoorden voor hun accounts op internet verschijnen, en verander onmiddellijk de toegangscode als deze gecompromitteerd blijkt te zijn.

Stel meervoudige authenticatie in. Deze functie beschermt bovendien het account, bijvoorbeeld met eenmalige wachtwoorden. In dit geval moet u elke keer dat u zich vanaf een nieuw apparaat aanmeldt bij uw account, naast het wachtwoord voer een code van vier of zes tekens in die naar u is verzonden via sms of gegenereerd in een special toepassing. Het lijkt misschien niet erg handig, maar deze aanpak beschermt u tegen 99% van de veelvoorkomende aanvallen. Immers, als fraudeurs het wachtwoord stelen, kunnen ze nog steeds niet invoeren zonder een verificatiecode.

Gebruik wachtwoordloze inlogfaciliteiten. In die services moet u, waar mogelijk, het gebruik van wachtwoorden volledig staken en deze vervangen door hardwarebeveiligingssleutels of authenticatie via een applicatie op een smartphone.

Gebruik antivirussoftware. Een tijdig bijgewerkt antivirusprogramma helpt uw ​​computer te beschermen tegen schadelijke programma's die doorverwijzen naar phishing-sites of die aanmeldingen en wachtwoorden stelen. Maar onthoud dat uw belangrijkste bescherming nog steeds het naleven van digitale hygiëneregels en het naleven van aanbevelingen voor cyberbeveiliging is.

Als u een bedrijf runt

De volgende tips zijn ook nuttig voor bedrijfseigenaren en bedrijfsleiders.

Train uw medewerkers. Leg aan ondergeschikten uit welke berichten ze moeten vermijden en welke informatie niet via e-mail of andere communicatiekanalen mag worden verzonden. Verbied werknemers om bedrijfspost voor persoonlijke doeleinden te gebruiken. Leer ze hoe ze met wachtwoorden moeten werken. Het is ook de moeite waard om een ​​beleid voor het bewaren van berichten te overwegen: om veiligheidsredenen kunt u bijvoorbeeld berichten verwijderen die ouder zijn dan een bepaalde periode.

Voer training phishing-aanvallen uit. Als je de reactie van werknemers op phishing wilt testen, probeer dan een aanval te faken. Registreer bijvoorbeeld een postadres dat lijkt op het uwe en stuur vanaf dat adres brieven naar ondergeschikten met het verzoek om u vertrouwelijke gegevens te verstrekken.

Kies een betrouwbare postdienst. Gratis e-mailproviders zijn te kwetsbaar voor zakelijke communicatie. Bedrijven zouden alleen veilige zakelijke diensten moeten kiezen. Gebruikers van de Microsoft Exchange-mailservice in de Office 365-suite hebben bijvoorbeeld uitgebreide bescherming tegen phishing en andere bedreigingen. Om oplichters tegen te gaan, analyseert Microsoft elke maand honderden miljarden e-mails.

Huur een cybersecurity-expert in. Als uw budget het toelaat, zoek dan een gekwalificeerde professional die u doorlopend beschermt tegen phishing en andere cyberdreigingen.

Wat u moet doen als u het slachtoffer bent van phishing

Als er enige reden is om aan te nemen dat uw gegevens in verkeerde handen zijn gevallen, handel dan onmiddellijk. Controleer uw apparaten op virussen en wijzig accountwachtwoorden. Informeer het bankpersoneel dat uw betalingsgegevens mogelijk zijn gestolen. Informeer klanten indien nodig over het mogelijke lek.

Kies betrouwbare en moderne samenwerkingsservices om te voorkomen dat dergelijke situaties zich opnieuw voordoen. Producten met ingebouwde beschermingsmechanismen zijn het meest geschikt: het werkt zo gemakkelijk mogelijk en hoeft geen gevaar te lopen voor digitale veiligheid.