Op een rustige dinsdagochtend opende Alex zijn laptop. Met een verse kop koffie was hij klaar om zijn dag te beginnen met het doornemen van zijn email. Terwijl hij door zijn inbox scrolde, viel zijn oog op een email met het onderwerp: “Belangrijke informatie over uw bestelling.”

Alex schrok: “Er zijn problemen met de levering van uw bestelling. Controleer uw gegevens om verdere vertraging te voorkomen.”

Na geklikt te hebben, leidde de link hem naar de pagina van de leverancier…

Iedereen ontvangt weleens een dergelijk bericht via email of SMS. In de meeste gevallen kijk je er niet naar om: je verwacht de email niet, of soms is aan de spelfouten al te zien dat het een phishing poging is. Hoe komt het dan toch dat phishing de meest succesvolle aanvalsvector is? Voordat we daar antwoord op geven, is het interessant om te weten welke soorten phishing we onderscheiden.

Welke verschillende soorten phishing zijn er?

Er zijn verschillende soorten phishing-aanvallen. Elk met een specifiek doel, gebruikte techniek, of inzetbaarheid in een bepaalde situatie. In het onderstaande vind je een overzicht van een aantal belangrijke categorieën.

• Email phishing: Dit is de meest voorkomende vorm van phishing. Aanvallers sturen valse e-mails die doorgaans lijken op legitieme e-mails die je zou kunnen ontvangen van personen die je kent, of bedrijven en instanties waar je interactie mee hebt.

• Spear phishing: In deze vorm van phishing richten aanvallers zich op specifieke individuen of organisaties. Ze passen de aanval aan op basis van gedetailleerde informatie over het doelwit, waardoor de kans op succes groter is.

• Vishing (Voice Phishing): Bij vishing gebruiken aanvallers telefonische oproepen waarbij ze zich veelal voor doen als een medewerker van een bedrijf of instantie om vertrouwelijke informatie te verkrijgen. Vishing kan zowel geautomatiseerd plaatsvinden, of persoonlijk. De AI-revolutie (artificial intelligence) zal deze aanvalsmethode in de toekomst zeer waarschijnlijk nóg dreigender maken. De ‘Microsoft Support medewerker’ die je telefonisch probeert te overtuigen externe toegang tot jouw systeem te geven omdat er zogenaamd kwaadaardige software is gedetecteerd, is hiervan een sprekend voorbeeld.

• Smishing: Hierbij maken cybercriminelen gebruik van SMS-berichten om slachtoffers te overtuigen persoonlijke of vertrouwelijke informatie te delen. Omdat steeds meer diensten gebruik maken van SMS om klanten op de hoogte te houden van hun bestelling en mensen op mobiele apparaten gewend zijn links te ontvangen, is deze vorm van phishing er eentje om rekening mee te houden.

• Pharming: Bij pharming worden slachtoffers omgeleid naar valse websites, zelfs als ze het juiste webadres intypen. Dit kan gebeuren door de DNS-instellingen (DNS, Domain Name System, is het protocol wat domeinnamen omzet in IP-adressen). te manipuleren. Het doel is ook hier om inloggegevens en andere gevoelige informatie te stelen.

• Man-in-the-middle Phishing: In MitM-phishing plaatst een aanvaller zichzelf tussen de communicatie van twee partijen. Hierdoor kan de aanvaller gegevens onderscheppen en manipuleren zonder dat de betrokkenen het weten. Dit kan gebeuren in e-mails, chats of bij het surfen op internet.

Psychologische phishingtrucs

Omzeilen van beveiliging

Phishing is erg populair onder cybercriminelen: volgens het Verizon Data Breach Investigations Report, het meest uitgebreide onderzoek naar datalekken in zijn soort, begint ongeveer 74% van de incidenten bij de mens. Phishing is een belangrijke aanvalsvector die uiteindelijk toegang geeft tot persoonlijke of vertrouwelijke informatie. Dat is een sterke indicatie dat de scoringskans hoog is.

De belangrijkste reden dat de cybercrimineel zich richt op de mens is omdat beveiligingssystemen zodanig geëvolueerd zijn dat inbreken en het stelen van data veel tijd en moeite kost. Dan is het efficiënter die beveiligingsmaatregelen te omzeilen. Dat kan door zich te richten op de mens. Die is namelijk minder consistent dan een computer én makkelijk te bereiken door gebruik te maken van een openbaar communicatiesysteem, zoals email of SMS. Een mogelijk slachtoffer aanvallen is dus zeer laagdrempelig en wordt hiermee “a numbers game:” het versturen van meer phishing e-mails zal automatisch leiden tot meer slachtoffers.

Urgentie

Bij het opstellen van phishing berichten maken aanvallers doorgaans gebruik van een psychologische trukendoos om slachtoffers te misleiden. Zo creëren ze onder anderen gevoelens van urgentie waardoor je het idee krijgt dat je snel moet handelen. “Je account wordt opgeheven tenzij je onmiddellijk je informatie verifieert”. Het ervaren van urgentie of druk kan mensen ertoe brengen kenmerken van een phishing-poging over het hoofd te zien en direct te handelen, zonder na te denken over het risico.

Autoriteit

Urgentie wordt met enige regelmaat gecombineerd met het nabootsen van autoriteit. Dit kan gedaan worden door gebruik te maken van een instantie zoals een bank of de overheid. Met officieel ogende logo’s en taalgebruik worden mensen ervan overtuigd dat de email legitiem is. Deze vorm van manipulatie maakt gebruik van het vertrouwen dat je hebt in deze organisaties.

Valse identiteit

Autoriteit kan echter ook geclaimd worden doordat cybercriminelen zich voordoen als hooggeplaatste medewerkers van de organisatie waar je werkt. Medewerkers zijn dan uiteraard veel sneller geneigd om uit te voeren wat uit naam van deze persoon gevraagd wordt, zoals het overmaken van geld, verstreken van gevoelige informatie of het uitvoeren van financiële transacties. In combinatie met het uitoefenen van druk is dit de basis voor een specifieke soort phishing: CEO-fraude.

Personalisatie

Om aanvallen nóg realistischer te doen overkomen, wordt steeds vaker gebruik gemaakt van personalisatie op basis van publieke bronnen en/of gelekte persoonlijke informatie. Door het toevoegen van persoonlijke details, zoals je naam, e-mailadres, bedrijfsinformatie of functietitel, lijkt de zender de ontvanger te kennen waardoor het vertrouwen in het bericht toeneemt.

Kennis en bewustszijn rondom phishing-e-mails

Er is cybercriminelen veel aan gelegen om hun e-mails zo waarheidsgetrouw mogelijk op te stellen. Maar dat garandeert natuurlijk nog geen succes. De evolutie van de e-mails van de “Nigeriaanse Prins” met zijn vele spelfouten naar de nauwelijks-van-echt-te-onderscheiden e-mails van vandaag heeft ook kunnen plaatsvinden door een gebrek aan kennis en bewustzijn van deze dreiging bij e-mailgebruikers. Nog steeds zijn veel mensen slecht op de hoogte van cyberdreigingen en phishing-technieken. Mensen met beperkte kennis lopen gemakkelijker in de val en een laag bewustzijn over de gevaren van phishing kunnen leiden tot onvoorzichtigheid bij het openen van e-mails of het klikken op links.

Hier kan een security awareness programma helpen, door medewerkers:

• Te leren hoe ze verdachte e-mails, links en bijlagen kunnen herkennen. Door consistente en doordachte interventies worden ze zich bewust van de methodes die aanvallers gebruiken (zoals hiervoor genoemd, bijvoorbeeld: urgentie, nabootsen van autoriteit en het gebruik van personalisatie).

• Bewust te maken van de dreiging, waardoor ze – ook onder druk – alert blijven in risicovolle situaties. Het simuleren van aanvallen kan hier een grote bijdrage aan leveren.

• Te stimuleren melding te maken van verdachte e-mails. Belangrijk hierbij is het wegnemen van de drempel om de melding te doen. Ook al is het kwaad (bijv. de klik) al geschied, dan nog is melding van waarde en moet duidelijk zijn dat dit geen negatieve gevolgen heeft.

Meer weten? Lees dan onze blog met tips over het succesvol implementeren van security awareness programma’s. 

Technische maatregelen bij phishing-aanvallen

Naast de menselijke vatbaarheid voor phishing-aanvallen heeft menig organisatie ook de beveiliging van de mailserver nog niet op orde. Specifiek heb ik het dan over het gebruik van SPF, DMARC en DKIM zodat cybercriminelen zich niet zomaar kunnen voordoen als legitieme zender. Het gebruik van deze authenticatiemethodes (SPF, DKIM) en het bijbehorende beleidskader (DMARC) versterken de authenticiteit van legitieme e-mails en verlagen de kans dat phishing e-mails de gebruiker bereiken.

Conclusie

De vatbaarheid voor phishing is een samenspel van factoren: Vanuit de aanvaller gezien wordt de psychologische kwetsbaarheid van mensen gecombineerd met e-mails die in sommige gevallen nauwelijks van echt te onderscheiden zijn.

Vanuit de ontvanger, ofwel mens bekeken, is er een duidelijke achterstand in kennis en bewustzijn. Kennis zorgt ervoor dat de kenmerken van een phishing email vaak niet worden herkend, waardoor ons gedrag niet wordt aangepast aan het risico. Het gebrek aan bewustzijn heeft onder andere te maken met de verwachting dat technologie het probleem zal oplossen. Dit is zeker binnen bedrijven vaak het geval: “De afdeling IT of Security regelt het toch?” Er is daarmee een duidelijk gebrek aan eigenaarschap bij het individu.

Onwetendheid in combinatie met een gebrek aan bewustzijn zorgt er ook voor dat de technische middelen die ons ter beschikking staan om het aantal phishing-pogingen wat mensen bereikt significant te verminderen, niet (voldoende) wordt ingezet. Immers, het verlagen van risico is een samenspel van mensen, processen en technologie. In isolatie blijven wij vatbaar voor phishing. Dat is op dit moment zeker het geval.